Chronologie — Encadrement de l'intelligence artificielle

L'évolution de l'AI Act UE, des normes ISO en IA (22989, 23894, 38507, 42001, 42005), du projet C-27 et du référentiel OWASP Top 10 LLM. Dates clés, statut courant et changements à surveiller. Mis à jour le 9 mai 2026.

Cette page consolide l'évolution de toutes les lois et normes encadrant l'intelligence artificielle que je suis pour mes mandats. Pour le volet gouvernance générale (Loi 25, RGPD, ISO 27001/27701), voir Chronologie Gouvernance. Pour le volet sécurité technique (CIS, OWASP web, NIST CSF), voir Chronologie Sécurité numérique.

AI Act (Union européenne) — Règlement (UE) 2024/1689

Premier cadre législatif global au monde pour l'IA. Application progressive jusqu'en 2027. Sanctions jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour pratiques prohibées.

1
13 mars 2024 — Adoption Parlement européen

Approbation Conseil le 21 mai 2024, adoption finale le 13 juin 2024.

2
12 juillet 2024 — Publication au Journal officiel

Règlement (UE) 2024/1689. Entrée en vigueur formelle le 1er août 2024.

3
2 février 2025 — Première vague d'obligations

Interdictions des pratiques d'IA prohibées (Article 5) et obligations de littératie en IA (Article 4).

4
2 août 2025 — Modèles GPAI et gouvernance

Obligations pour les modèles d'IA à usage général (GPAI), gouvernance, organismes notifiés, sanctions, AI Office opérationnel. Premier code de pratique GPAI publié.

5
2 août 2026 — Application générale (haut risque)

Obligations pour les systèmes IA à haut risque listés à l'Annexe III (emploi, crédit, éducation, etc.) et exigences de transparence (Art. 50). Échéance critique à moins de 3 mois.

6
2 août 2027 — Phase finale

Systèmes IA à haut risque intégrés dans des produits réglementés (Annexe I) et modèles GPAI mis sur le marché avant le 2 août 2025.

Pour une PME québécoise : s'applique extraterritorialement à toute PME qui (1) place un système IA sur le marché de l'UE, (2) déploie un système IA dont les sorties sont utilisées dans l'UE, ou (3) fournit un GPAI accessible aux utilisateurs UE. Une PME qui développe un chatbot ou un système IA destiné à des clients UE = AI Act applicable.

Source officielle : EUR-Lex — texte officiel · Commission européenne — AI Act

ISO/IEC 22989 — Concepts et terminologie de l'IA

Vocabulaire de référence pour s'exprimer correctement sur l'IA dans documents internes, contrats, communications. Définit les rôles humains (in-the-loop / on-the-loop / over-the-loop), les propriétés (transparence, robustesse, équité), le cycle de vie. Fondation terminologique pour ISO 42001 et 23894.

  • Juillet 2022 — ISO/IEC 22989:2022 (édition 1)
  • 2025-2026 — Amendement 1 sur l'IA générative en cours d'élaboration au stade DAmd (Draft Amendment), date de publication non officialisée
  • Au 9 mai 2026 — version courante : ISO/IEC 22989:2022. Surveiller la publication de l'Amendement 1

Source officielle : ISO — fiche 22989

ISO/IEC 23894 — Gestion des risques IA

Extension de ISO 31000 spécifiquement pour les risques IA : biais algorithmique, dérive de modèle, explicabilité, impact sociétal. Méthodologie reconnue pour structurer une analyse de risque IA — peut servir de base à une EFVP « augmentée IA » dans le contexte Loi 25.

  • Février 2023 — ISO/IEC 23894:2023 (édition 1)
  • Au 9 mai 2026 — stable, adoption croissante en lien avec préparation à l'AI Act

Source officielle : ISO — fiche 23894

ISO/IEC 38507 — Implications de l'IA en gouvernance

S'adresse au conseil d'administration et à la direction. Guide pour gouverner l'usage de l'IA dans l'organisation (responsabilité, supervision, redevabilité). Utile pour les PME qui adoptent l'IA et veulent structurer leur gouvernance avant la certification 42001.

  • Avril 2022 — ISO/IEC 38507:2022 (édition 1)
  • Au 9 mai 2026 — stable, pas encore révisée

Source officielle : ISO — fiche 38507

ISO/IEC 42001 — Système de management de l'IA (SMIA)

Première norme certifiable pour démontrer un management responsable de l'IA. Strongly aligné avec les exigences de l'AI Act UE. Path de conformité naturel pour PME exposées au cadre européen ou à de futurs régimes canadiens.

  • 18 décembre 2023 — ISO/IEC 42001:2023 (édition 1)
  • 2024-2025 — adoption rapide à l'international (Microsoft, plusieurs banques, organismes publics certifiés). Écosystème de certification accrédité en construction (organismes accrédités par l'IAF/UKAS)
  • Au 9 mai 2026 — stable. Première révision attendue 2028-2029. Standards complémentaires en développement (ISO/IEC 42006 sur les exigences pour organismes de certification, ISO/IEC 42007, etc.)

Source officielle : ISO — fiche 42001

ISO/IEC 42005 — Évaluation d'impact des systèmes IA

Première norme internationale dédiée à l'évaluation d'impact des systèmes IA. Couvre les dimensions sociales, économiques, environnementales, éthiques et de gouvernance. Sert à compléter une EFVP traditionnelle quand un système IA traite des renseignements personnels.

  • Mai 2025 — ISO/IEC 42005:2025 (édition 1)
  • Au 9 mai 2026 — stable. Sera utilisée comme méthodologie de référence pour les évaluations d'impact exigées par l'AI Act (haut risque, échéance 2 août 2026)

Source officielle : ISO — fiche 42005

LIAD / AIDA (volet IA du C-27) — Mort et retiré

  • 16 juin 2022 — dépôt comme partie 3 du projet C-27
  • 28 novembre 2023 — amendements gouvernementaux (modèles de fondation, IA générative)
  • 6 janvier 2025 — mort au feuilleton à la prorogation du Parlement
  • Juin 2025 — confirmation officielle du retrait définitif par le ministre Solomon. La LIAD ne sera pas réintroduite telle quelle
  • Au 9 mai 2026 — un nouveau cadre fédéral IA distinct est en cours d'élaboration, calendrier non publié. Probabilité que le Canada s'inspire davantage de l'AI Act UE et de NIST AI RMF
Pour une PME québécoise : plus aucune obligation directe découlant de la LIAD. Surveiller le futur cadre fédéral IA. En attendant, se conformer à l'AI Act UE si opérations en Europe et suivre les bonnes pratiques (ISO 42001, NIST AI RMF, OWASP Top 10 LLM).

Source officielle : ISDE — politique fédérale IA · LEGISinfo — C-27 (figé)

OWASP Top 10 LLM Applications

Référentiel pratique pour toute PME qui déploie ou intègre un assistant IA, un chatbot ou un système RAG. Couvre les risques opérationnels concrets (exfiltration d'info, prompt injection, hallucinations).

  • 1er août 2023 — Top 10 LLM v1.0
  • 16 octobre 2023 — v1.1
  • Novembre 2024Top 10 LLM v2025 (version courante)

Top 10 LLM v2025 — les 10 catégories

  1. LLM01 — Prompt Injection
  2. LLM02 — Sensitive Information Disclosure
  3. LLM03 — Supply Chain
  4. LLM04 — Data and Model Poisoning
  5. LLM05 — Improper Output Handling
  6. LLM06 — Excessive Agency
  7. LLM07 — System Prompt Leakage (nouveau 2025)
  8. LLM08 — Vector and Embedding Weaknesses (nouveau 2025 — RAG)
  9. LLM09 — Misinformation
  10. LLM10 — Unbounded Consumption

Note : le projet OWASP Machine Learning Security Top 10 reste à l'état de draft v0.3 au 9 mai 2026 — à utiliser avec prudence.

Source officielle : OWASP Gen AI Top 10 LLM

CIS Controls — Volet IA

CIS Controls v8.1 (juin 2024) ne contient pas de catalogue dédié IA distinct, mais CIS publie depuis 2024 des guides spécifiques sur l'usage sécurisé des outils IA générative en entreprise (ChatGPT, Copilot, etc.). Les contrôles techniques de v8.1 (gestion des actifs, configuration, contrôle d'accès, journalisation) s'appliquent directement aux systèmes IA déployés. Pour l'historique CIS Controls complet, voir Chronologie Sécurité numérique.

À surveiller — changements annoncés ou attendus

  • 2 août 2026 — application générale de l'AI Act UE (systèmes haut risque, transparence). Échéance critique pour PME québécoises avec opérations UE
  • 2 août 2027 — phase finale AI Act (systèmes IA dans produits réglementés Annexe I)
  • Cadre fédéral IA Canada — nouvelle approche en élaboration depuis le retrait de la LIAD/AIDA, calendrier non publié
  • ISO/IEC 22989 Amd 1 — IA générative, en cours, date de publication non officialisée
  • ISO/IEC 27090 — sécurité de l'IA, en développement
  • ISO/IEC 42006 et 42007 — exigences pour organismes de certification 42001 et compléments, en développement
  • OWASP Top 10 LLM — prochaine itération — attendue 2026-2027
  • OWASP ML Security Top 10 — finalisation espérée mais sans date officielle

Pour aller plus loin sur l'IA

Le hub Intelligence artificielle présente l'usage responsable, l'encadrement légal et des cas pratiques pour PME.

Hub Intelligence artificielle