Avec l’entrée en vigueur de l’AI Basic Act le 22 janvier 2026, la Corée du Sud a mis en place l’un des cadres réglementaires en matière d’intelligence artificielle les plus structurés et prospectifs au monde. Aux côtés de l’AI Act de l’Union européenne, il s’agit de l’un des rares régimes juridiques complets spécifiquement dédiés à l’IA.
Cependant, comprendre la réglementation de l’IA en Corée du Sud ne se limite pas à l’analyse d’une seule loi. L’approche coréenne combine un cadre horizontal dédié à l’IA, des mesures d’application détaillées et des régimes juridiques existants, créant un système de conformité à la fois structuré en plusieurs niveaux et hautement opérationnel.
Pour les organisations, cela signifie que la gouvernance de l’IA ne repose pas uniquement sur une qualification juridique : elle implique la mise en place d’un cadre de conformité structuré, auditable et scalable, aligné avec les exigences réglementaires.
I. Une approche à plusieurs niveaux de la réglementation de l’IA en Corée du Sud
Le paysage réglementaire de l’IA en Corée du Sud repose sur trois piliers complémentaires qui s’articulent simultanément.
Il peut être compris à travers trois niveaux principales :
- Un cadre horizontal contraignant dédié à l’IA (AI Basic Act)
- Une réglementation transversale applicable aux systèmes d’IA (notamment le droit de la protection des données)
- Des réglementations sectorielles encadrant l’usage de l’IA dans les secteurs régulés
Cette structure implique que la conformité IA en Corée du Sud est cumulative. Les organisations doivent non seulement déterminer si leurs systèmes relèvent de l’AI Basic Act, mais également analyser l’interaction avec d’autres cadres réglementaires en fonction des cas d’usage.
II. L’AI Basic Act : un socle juridique structuré et complet
L’AI Basic Act constitue le fondement juridique central de la gouvernance de l’IA en Corée du Sud. Son objectif est double : favoriser le développement des technologies d’IA tout en garantissant leur caractère sûr et digne de confiance.
1. Champ d’application : une définition large et fonctionnelle des acteurs
La loi s’applique à deux catégories principales d’acteurs :
• Les opérateurs de développement d’IA, qui conçoivent ou fournissent des systèmes d’IA
• Les opérateurs d’utilisation d’IA, qui intègrent ces systèmes dans des produits ou services
Cette distinction ne correspond pas strictement aux notions de “provider” ou “deployer” utilisées dans d’autres juridictions. En pratique, une même organisation peut relever des deux catégories selon ses activités.
La définition de l’intelligence artificielle est volontairement large, couvrant les systèmes reproduisant des capacités cognitives humaines telles que l’apprentissage, le raisonnement, la perception, la prise de décision ou la compréhension du langage. Cela permet au cadre juridique de rester adaptable aux évolutions technologiques.
2. Un modèle de conformité structuré mais flexible
L’AI Basic Act n’impose pas un régime uniforme à tous les systèmes d’IA. Il introduit au contraire des obligations ciblées, fondées sur des catégories de risques et des caractéristiques technologiques.
Ces obligations portent principalement sur :
- La transparence vis-à-vis des utilisateurs
- La sécurité et la gestion des risques
- La protection des droits fondamentaux
- La supervision humaine et la responsabilité
Cette approche traduit un équilibre entre innovation et régulation, avec un cadre moins prescriptif que l’AI Act européen, tout en restant juridiquement contraignant.
3. Application extraterritoriale et représentation locale
Un élément clé du cadre coréen est sa portée extraterritoriale. L’AI Basic Act s’applique aux systèmes d’IA développés ou exploités hors de Corée du Sud dès lors qu’ils affectent le marché ou les utilisateurs coréens.
Par ailleurs, les opérateurs étrangers atteignant certains seuils (notamment en termes de chiffre d’affaires ou d’utilisateurs en Corée) peuvent être tenus de désigner un représentant local. Celui-ci agit comme point de contact avec les autorités et assume certaines obligations en matière de conformité et de sécurité.
III. Les obligations clés de l’AI Basic Act
L’AI Basic Act prévoit des obligations différenciées selon les catégories de systèmes d’IA. Trois catégories sont centrales : IA générative, IA à fort impact et IA à haute performance.
1. Obligations de transparence pour l’IA générative
Les systèmes d’IA générative, capables de produire du texte, des images, de l’audio ou de la vidéo, sont soumis à des exigences strictes de transparence.
Les opérateurs doivent informer les utilisateurs en amont lorsqu’un service repose sur de l’IA. En outre, les contenus générés doivent être identifiables comme étant issus d’une IA.
Cette exigence est particulièrement importante pour les contenus synthétiques difficiles à distinguer de contenus humains, tels que les deepfakes ou les synthèses vocales réalistes.
2. L’IA à fort impact : le cœur du cadre réglementaire
La notion d’IA à fort impact est centrale dans le cadre coréen. Elle vise les systèmes susceptibles d’avoir des effets significatifs sur la vie humaine, la sécurité physique ou les droits fondamentaux, notamment dans des secteurs critiques tels que la santé, l’emploi, l’énergie, les transports, le crédit ou la biométrie.
A. Qualification
Avant le déploiement, les opérateurs doivent évaluer si leur système relève de cette catégorie. En cas d’incertitude, ils peuvent solliciter une confirmation du Ministère des Sciences et des TIC (MSIT).
B. Obligations
Une fois qualifié, le système est soumis à un cadre de gouvernance structuré.
Les opérateurs doivent mettre en place un système de gestion des risques, garantir un certain niveau d’explicabilité, et fournir des informations sur les logiques de décision et les données utilisées.
Ils doivent également instaurer des mesures de protection des utilisateurs, assurer une supervision humaine, et documenter l’ensemble des dispositifs mis en place.
Enfin, des évaluations d’impact, notamment sur les droits fondamentaux, sont attendues lorsque les risques le justifient.
3. Les systèmes d’IA à haute performance (avancés)
L’AI Basic Act définit également les systèmes d’IA à haute performance selon une combinaison de critères techniques et de risque.
Selon les décrets et lignes directrices, il s’agit de systèmes dont le volume de calcul cumulé dépasse un seuil de référence (10²⁶ FLOPs), reposant sur des technologies avancées, et susceptibles d’avoir un impact large et significatif sur la société.
Ces systèmes sont soumis à des exigences renforcées, notamment :
- gestion des risques sur l’ensemble du cycle de vie
- surveillance continue
- mécanismes de gestion des incidents
- obligations de reporting
IV. Mise en œuvre, sanctions et calendrier
L’AI Basic Act prévoit des mécanismes d’application visant à garantir la conformité tout en laissant aux organisations un temps d’adaptation.
Le MSIT peut émettre des injonctions, notamment suspendre un service en cas de risque pour la sécurité. Des sanctions administratives peuvent être appliquées, notamment en cas de défaut d’information des utilisateurs ou de non-respect des obligations réglementaires.
Les amendes peuvent atteindre 30 millions de KRW (environ 20 000 €) pour certaines infractions.
Un délai de grâce d’environ un an a été annoncé afin de permettre aux organisations de se mettre en conformité avant une application stricte des sanctions.
V. De la loi à l’opérationnel : décrets et lignes directrices
L’AI Basic Act constitue le premier niveau du cadre réglementaire, dont la mise en œuvre repose sur les décrets présidentiels et les lignes directrices administratives.
Les décrets précisent les règles d’application contraignantes, tandis que les lignes directrices fournissent des méthodologies opérationnelles pour se conformer aux exigences.
Cette structure en trois niveaux de loi, décrets et guidelines rend le cadre coréen particulièrement actionnable et opérationnel.
VI. Interaction avec le droit des données et les régulations sectorielles
L’AI Basic Act ne remplace pas les autres cadres juridiques. Les systèmes d’IA traitant des données personnelles doivent respecter la PIPA (Personal Information Protection Act).
Par ailleurs, les systèmes déployés dans des secteurs régulés restent soumis aux réglementations sectorielles, qui peuvent compléter ou recouper certaines obligations de l’AI Basic Act.
VII. Gouvernance et soutien au développement de l’IA
La loi ne se limite pas à la régulation. Elle vise également à structurer et soutenir l’écosystème de l’IA.
Elle prévoit notamment la création d’organes tels que :
• un comité national de stratégie IA
• un centre de politique IA
• un institut de recherche sur la sécurité de l’IA
Elle encourage également les investissements dans la recherche, les infrastructures et l’innovation.
VIII. Conclusion : un cadre structuré, extraterritorial et opérationnel
Le cadre coréen combine clarté juridique, profondeur opérationnelle et ambition stratégique.
Il impose aux organisations de dépasser une simple lecture juridique pour mettre en place une gouvernance IA structurée, intégrant classification des risques, documentation, gestion des impacts et monitoring continu.
Maîtrisez votre conformité IA en Corée du Sud
Vous développez ou déployez des systèmes d’IA en Corée du Sud ?
Naviguer dans l’AI Basic Act et ses différents niveaux réglementaires nécessite une approche opérationnelle de la gouvernance IA.
Naaia vous accompagne dans la structuration de votre conformité : cartographie des systèmes, classification des risques, documentation, évaluations d’impact et suivi continu via une plateforme dédiée.