28 jours avant l'entrée en vigueur du règlement européen sur l'IA
Pour en savoir plus →

NIST AI RMF vs le règlement UE sur l'IA : Une passerelle pratique

Le NIST AI Risk Management Framework est un cadre volontaire américain construit autour de quatre fonctions — GOVERN, MAP, MEASURE et MANAGE. Le règlement UE sur l'IA est une loi contraignante de l'UE. Les fonctions NIST cartographient nettement sur de nombreuses obligations du règlement UE sur l'IA, ce qui fait du cadre un excellent modèle opérationnel pour la conformité — mais le suivre ne satisfait pas, en soi, à vos devoirs juridiques de l'UE. Voici la passerelle.

NIST AI RMF et le règlement UE sur l'IA

NIST AI RMF vs le règlement UE sur l'IA : Une passerelle pratique

Le NIST AI Risk Management Framework est un cadre volontaire américain construit autour de quatre fonctions — GOVERN, MAP, MEASURE et MANAGE. Le règlement UE sur l'IA est une loi contraignante de l'UE. Les fonctions NIST cartographient nettement sur de nombreuses obligations du règlement UE sur l'IA, ce qui fait du cadre un excellent modèle opérationnel pour la conformité — mais le suivre ne satisfait pas, en soi, à vos devoirs juridiques de l'UE. Voici la passerelle.

Dernière mise à jour: 4 juillet 2026

Ce que chacun est

Un cadre volontaire et une loi contraignante, conçus pour différents objectifs :

  • Le NIST AI RMF (AI 100-1, publié en janvier 2023) est un cadre volontaire de l'Institut national américain des normes et de la technologie. Il aide les organisations à gérer les risques d'IA à travers quatre fonctions et est conçu pour être flexible, agnostique par rapport aux secteurs et non prescriptif. Il n'y a pas de certification et pas d'obligation juridique de l'utiliser.
  • Le règlement UE sur l'IA (Règlement (UE) 2024/1689) est une loi de l'UE directement applicable. Il classe les systèmes d'IA en niveaux de risque et impose des obligations concrètes et exécutoires aux fournisseurs et aux déploieurs, soutenues par des amendes.
  • Le NIST RMF vous indique comment organiser la gestion des risques ; le règlement UE sur l'IA vous indique ce que vous devez faire et prouver pour des systèmes spécifiques.

Cadre volontaire vs Loi contraignante : Les quatre fonctions

Les quatre fonctions du RMF forment un cycle continu. Comprendre chacune est la clé de la passerelle :

  • GOVERN — culture transversale, politiques, rôles et responsabilité pour les risques d'IA. Il sous-tend les trois autres fonctions.
  • MAP — établir le contexte et catégoriser le système d'IA : son objectif, son environnement et les risques qui en découlent.
  • MEASURE — analyser, évaluer, benchmark et surveiller les risques d'IA à l'aide de méthodes quantitatives et qualitatives.
  • MANAGE — prioriser et agir sur les risques : allouer des ressources, répondre, se remettre et documenter les décisions sur la vie du système.

Passerelle : Fonctions NIST aux obligations du règlement UE sur l'IA

Là où chaque fonction NIST effectue le travail que le règlement UE sur l'IA exige. Utilisez-le pour réutiliser les preuves existantes du RMF contre les devoirs au niveau de l'article de l'UE :

  • GOVERN → Article 17 (système de gestion de la qualité) et responsabilité organisationnelle — la couche de gouvernance que le règlement UE sur l'IA attend derrière chaque système à haut risque.
  • MAP → Article 9 (identification et objectif prévu) et Article 13 (transparence sur l'utilisation prévue, les capacités et les limites pour les déploieurs).
  • MEASURE → Article 9 (analyse et évaluation des risques) et Article 15 (exactitude, robustesse et cybersécurité des tests et des métriques).
  • MANAGE → Article 9 (traitement et mitigation des risques), Article 12 (enregistrement/journalisation de l'exploitation), et Article 14 (surveillance humaine et intervention).
  • Documentation à travers les quatre fonctions → Article 11 et Annexe IV (documentation technique) — l'accent mis par le RMF sur la documentation des décisions cartographie sur les devoirs de documentation du règlement.

Il s'agit d'une passerelle directionnelle pour guider l'analyse des écarts, et non d'une table d'équivalence officielle. Le NIST publie ses propres passerelles entre le RMF AI et d'autres cadres ; traitez cette cartographie comme un point de départ, puis confirmez chaque preuve spécifique de l'article de l'UE pour chaque système dans son champ d'application.

Là où le NIST RMF s'arrête et où commence le droit de l'UE

Le RMF soutient le travail du règlement UE sur l'IA mais ne le décharge jamais. Gardez ces limites claires :

  • Aucun effet juridique. Le RMF est un guide volontaire américain ; il ne crée aucun droit ou obligation en vertu du droit de l'UE et ne peut être cité comme conformité.
  • Aucune voie de conformité. Suivre le RMF ne produit pas le marquage CE, l'évaluation de la conformité, l'enregistrement dans la base de données de l'UE, ou un représentant autorisé de l'UE — tous exigés par le règlement UE sur l'IA pour les systèmes à haut risque.
  • Preuves spécifiques au système toujours nécessaires. Le RMF est délibérément flexible ; le règlement UE sur l'IA est prescriptif. Vous devez toujours produire des preuves au niveau de l'article (Articles 9-15) pour chaque système à haut risque spécifique, et non une posture générale de risque.
  • La présomption de conformité vient des normes de l'UE. Seules les normes européennes harmonisées — et non le NIST RMF — peuvent accorder une présomption de conformité sous le règlement.

Comment AIAgentree aide

AIAgentree produit les enregistrements traçables qui prouvent à la fois les fonctions NIST MEASURE et MANAGE et les devoirs de journalisation et de surveillance du règlement UE sur l'IA — les mêmes données sous-jacentes servant les deux modèles (AIAgentree n'est pas certifié NIST ou règlement UE sur l'IA ; il génère les preuves) :

  • Enregistrements de décision sécurisés capturent chaque décision d'agent et son résultat — les preuves opérationnelles que MANAGE appelle et les preuves d'enregistrement de l'article 12 requièrent — avec des flux de travail d'approbation et de surveillance humaine, ainsi que des recherches de précédent et un suivi des résultats pour que les tendances de risque soient mesurables (MEASURE).
  • Flux de travail de surveillance humaine et d'approbation enregistrent qui a examiné, outrepassé ou approuvé une décision et pourquoi — prouvant directement l'étape de réponse de MANAGE et la surveillance humaine de l'article 14.
  • SDK Python et TypeScript ainsi que des interfaces REST, MCP, A2A et OpenTelemetry pour alimenter ces preuves dans vos programmes RMF, GRC ou SIEM existants. Résidence des données de l'UE en Allemagne, conservation d'audit (au moins 6 mois), capture asynchrone de moins de 10 ms, et un niveau gratuit de 25 traces pour commencer. (SOC 2 est en cours.)

Foires aux questions

L'utilisation du NIST AI RMF me rend-il conforme à l'Acte UE sur l'IA?

Non. Le NIST AI RMF est une orientation volontaire américaine sans force juridique dans l'UE. C'est un excellent modèle opérationnel — ses quatre fonctions correspondent bien aux obligations de l'Acte UE sur l'IA — mais il ne fournit pas l'évaluation de la conformité, le marquage CE, l'enregistrement dans la base de données de l'UE ou les preuves au niveau de l'article que l'Acte exige. Il soutient le travail de conformité ; il ne le satisfait pas.

Comment les quatre fonctions NIST se rapportent-elles à l'Acte UE sur l'IA?

GOVERN est aligné sur les attentes de gestion de la qualité et de responsabilité de l'Acte (Article 17). MAP est aligné sur l'identification des risques et la transparence sur l'utilisation prévue (Articles 9 et 13). MEASURE est aligné sur l'analyse des risques et les devoirs d'exactitude/robustesse/sécurité informatique (Articles 9 et 15). MANAGE est aligné sur le traitement des risques, la journalisation et la surveillance humaine (Articles 9, 12 et 14). La documentation dans les quatre fonctions soutient l'Article 11 et l'Annexe IV.

Le NIST AI RMF est-il obligatoire?

Non. Le RMF est volontaire pour les organisations. Certaines agences fédérales américaines sont dirigées pour utiliser les orientations NIST, mais pour la plupart des entreprises, il s'agit d'une pratique reconnue plutôt que d'un requis juridique. L'Acte UE sur l'IA, en revanche, est une loi obligatoire partout où il s'applique.

Puis-je réutiliser mon travail NIST AI RMF pour l'Acte UE sur l'IA?

Oui — c'est la valeur pratique de la correspondance. Les évaluations des risques (MAP/MEASURE), les artefacts de gouvernance (GOVERN), les dossiers de mitigation et de surveillance (MANAGE) et la documentation que le RMF encourage peuvent tous être réutilisés comme preuves contre les Articles 9-15 et 17 de l'Acte UE sur l'IA. Vous ajoutez ensuite les obligations spécifiques à l'UE, au niveau du système, que le RMF ne couvre pas.

Lequel est meilleur, NIST AI RMF ou l'Acte UE sur l'IA?

Ils ne sont pas des alternatives. Le NIST AI RMF est un cadre volontaire pour gérer les risques liés à l'IA ; l'Acte UE sur l'IA est une loi contraignante qui définit ce que vous devez faire pour des systèmes spécifiques. Si vous opérez dans ou servez l'UE, l'Acte n'est pas optionnel — et le RMF est l'un des moyens les plus efficaces d'organiser le travail nécessaire pour le respecter.

Continuer à explorer le guide de la loi européenne sur l'IA

Guide de conformité à la loi européenne sur l'IA

Le guide complet pour la conformité à la loi européenne sur l'IA pour les agents d'IA — commencez ici.

Article 12 — Conservation des enregistrements et journalisation

Ce que chaque système d'IA à haut risque doit journaliser et comment le capturer.

Article 14 — Surveillance humaine

Conception de contrôles efficaces avec intervention humaine pour les décisions d'IA.

Annexe III — Systèmes d'IA à haut risque

Quels cas d'utilisation d'IA la loi classe comme à haut risque.

Liste de contrôle de conformité à la loi européenne sur l'IA

Une liste de contrôle étape par étape pour atteindre et documenter la conformité.

Calculateur de coût de conformité

Estimez vos efforts et coûts de conformité à la loi européenne sur l'IA.

Délais et calendrier

Dates clés d'application, y compris le délai du 2 août 2026.

Amendes et pénalités

Niveaux de pénalité allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Obligations de transparence (art. 13 et 50)

Devoirs de divulgation pour les systèmes d'IA et leurs sorties.

Gestion des risques et évaluation de la conformité

Construire un système de gestion des risques et évaluer la conformité.

Obligations GPAI

Règles pour les fournisseurs de modèles d'IA à usage général.

Loi européenne sur l'IA pour les entreprises américaines

Portée extraterritoriale et ce que les fournisseurs américains doivent faire.

Mise à jour omnibus

Les derniers changements apportés au calendrier et aux règles de la loi européenne sur l'IA.

Calculatrice de pénalité

Estimez votre amende maximale en vertu des niveaux de l'article 99.

Article 11 + Annexe IV

Quelle documentation technique l'Acte IA de l'UE exige.

Article 26 : Obligations des déploieurs

Ce que les déploieurs d'IA à haut risque doivent faire, y compris la conservation des journaux.

Article 17 : Gestion de la qualité

Le Système de gestion de la qualité (SGQ) que les fournisseurs d'IA à haut risque doivent documenter.

Article 10 : Gouvernance des données

Qualité des données, mitigation des biais et devoirs de gouvernance.

Article 4 : Littératie en IA

L'obligation de littératie en IA du personnel en vigueur depuis février 2025.

Déploieur vs Fournisseur

Qui assume quelle obligation — et quand un déploieur devient un fournisseur.

FRIA (Article 27)

Qui doit effectuer une évaluation d'impact sur les droits fondamentaux, et comment.

À qui s'applique-t-il ?

Champ d'application, opérateurs et portée extraterritoriale de l'Acte IA de l'UE.

Surveillance post-marché

Articles 72–73 : surveillance continue et déclaration d'incidents.

ISO 42001 vs Acte IA de l'UE

Comment la norme volontaire et la loi contraignante s'harmonisent.

Acte IA de l'UE pour les soins de santé

IA médicale à haut risque, interaction avec les règlements MDR/IVDR et surveillance clinique.

Acte IA de l'UE pour les services financiers

Notation de crédit, tarification des assurances et réglementation financière existante.

Acte IA de l'UE pour les RH et l'emploi

Embauche d'IA à haut risque, ainsi que chevauchement avec la loi NYC LL144 et la commission EEOC.