AI Act : le gouvernement propose une gouvernance répartie sur les autorités existantes

AI Act : le gouvernement propose une gouvernance répartie sur les autorités existantes

Ce qu’il faut retenir

Le gouvernement vient de proposer son schéma de gouvernance pour l’application de l’AI Act. Plutôt que de créer une nouvelle autorité dédiée, plusieurs autorités existantes seront en charge de la supervision de l’application du règlement, sur la base de leurs domaines de compétences respectifs.


L’AI Act (règlement sur l’intelligence artificielle ou RIA) entre en application par étapes ; la dernière étape en date étant l’entrée en application des dispositions sur les modèles d’IA à usage général (GPAI models) le 2 août 2025. En vertu du règlement, la supervision et le contrôle de la mise en oeuvre de l’AI Act par les différents acteurs impliqués (fournisseurs, importateurs, déployeurs, etc.) sont soumis à la nomination d’une ou plusieurs autorités nationales compétentes (art 70 AI Act).

La France a fait le choix de s’appuyer sur plusieurs autorités existantes, en charge de la supervision de l’application du règlement, sur la base de leurs domaines de compétences respectifs. 


1. Une gouvernance éclatée sur plusieurs autorités

L’AI Act dispose que “chaque Etat membre établit ou désigne en tant qu’autorités nationales compétentes au moins une autorité notifiante et au moins une autorité de surveillance du marché. (…)”. (art. 70)

Le 9 septembre 2025, le Ministère de l’économie a communiqué le projet de schéma applicable à la gouvernance de l’AI Act. (1)

Plutôt que de créer deux nouvelles autorités dédiées à la supervision de l’IA (une autorité notifiante et une autorité de surveillance), la France a choisi de s’appuyer sur les autorités existantes en répartissant les responsabilités en fonction de leurs domaines de compétence respectifs.

En effet, l’article 70.3 de l’AI Act précise que les autorités nationales compétentes disposent non seulement des ressources techniques, financières et humaines suffisantes, mais également “une compréhension approfondie des technologies de l’IA, des données et du traitement de données, de la protection des données à caractère personnel, de la cybersécurité, des droits fondamentaux, des risques pour la santé et la sécurité, et une connaissance des normes et exigences légales en vigueur.

On retrouve donc dans ce schéma, parmi les autorités compétentes, la DGCCRF (Direction générale de la concurrence de la consommation, et de la répression des Fraudes), l’ARCOM (Autorité de régulation de la communication audiovisuelle et numérique) et la CNIL (Commission nationale de l’informatique et des libertés), mais également l’ACPR (Autorité de contrôle prudentiel et de résolution), et l’ANSM (Agence nationale de sécurité du médicament et des produits de santé).


2. Quelles autorités compétentes pour quels cas d’usage de l’IA ?

Le Ministère de l’économie a publié un schéma des autorités de surveillance du marché

Le système repose sur une gouvernance bicéphale : la DGCCRF est en charge de la coordination opérationnelle, tandis que la DGE (Direction générale des entreprises) est en charge de la coordination stratégique.

Les domaines de compétence sont ensuite répartis en quatre pôles, comme suit :

    - Contrôle des pratiques interdites (art 5 AI Act)

Les IA interdites incluent par exemple les systèmes ayant pour objet la manipulation des comportements, le crédit social, la reconnaissance faciale dans les espaces publics (des exceptions existent cependant), la récupération d’images sur internet pour constituer des bases de données de reconnaissance faciale, les systèmes de reconnaissance des émotions utilisés sur le lieu de travail, l’exploitation des vulnérabilités de certains groupes de personnes.

Les dispositions relatives aux systèmes d’IA interdits par l’AI Act sont entrées en application le 2 février 2025.

La supervision de ces catégories d’IA incombera à la CNIL pour les pratiques qui reposeraient sur  l’utilisation des données à caractère personnel impliquant des atteintes aux libertés, telles que les pratiques prédictives (risque de commission d’une infraction pénale) et l’identification biométrique à distance à des fins répressives, la création de base de données de reconnaissance faciale par scrapping non ciblé, la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, la catégorisation biométrique pour inférer la race, les opinions politiques, les convictions, etc.

La compétence en matière d’IA de notation sociale sera partagée entre la CNIL et la DGCCRF.

La DGCCRF et l’ARCOM partagent la compétence en matière d’IA de techniques subliminales et d’exploitation des vulnérabilités.

    - Contrôle des obligations spécifiques de transparence (art 50 AI Act)

Il s’agit d’une obligation d’information des personnes physiques lorsqu’elles interagissent avec un système d’IA, par exemple, une IA générative ou un deepfake (hypertrucage).

Les pratiques d’interaction directe avec des personnes physiques, de génération audio, vidéo, image ou texte et deepfakes sont supervisées par la DGCCRF et l’ARCOM. La génération de textes informatifs sur des questions d’intérêt public est supervisée par l’ARCOM.

Enfin, les systèmes de reconnaissance des émotions et de catégorisation biométriques sont supervisés par la CNIL.

    - Contrôle des systèmes d’IA à haut risque (Annexe III)

Les systèmes d’IA à haut risque relevant de l’Annexe III du règlement sont répertoriés dans l’une des catégories suivantes et supervisés par :

- la CNIL : biométrie (pour les cas autorisés) ; éducation ; emploi, gestion de la main d’oeuvre et accès à l’emploi indépendant ; répression (pour les cas autorisés) ; contrôles aux frontières (pour les cas autorisés),

- la DGCCRF : formation professionnelle

- Hauts fonctionnaires défense et sécurité (HFDS) du Ministère de l’économie et du Ministère de l’aménagement du territoire : infrastructures critiques (systèmes d’IA de sécurité),

- l’ACPR (pour les services financiers) et la CNIL : accès et droit aux services privés essentiels (services bancaires, crédit, assurance) et aux services publics essentiels,

- le Conseil d’Etat, la Cour de cassation, la Cour des comptes et la CNIL : administration de la justice 

- la CNIL et l’ARCOM : processus démocratique.

    - Contrôle des systèmes d’IA à haut risque (Annexe I)

Lorsque une IA est intégrée dans les produits réglementés par les textes visés à l’Annexe I du règlement, et que celle-ci est classée comme système d’IA à haut risque, ceux-ci sont supervisés par (non exhaustif) :

- la DG Travail, le secrétariat général du ministère de l’agriculture et la DGCCRF : les machines

- la DGCCRF : la sécurité des jouets

- l’ANFR (Agence nationale des fréquences) et la DGCCRF : les équipements radioélectriques

- l’ANSM et la DGCCRF : les dispositifs médicaux et dispositifs médicaux de diagnostic in vitro.

Ces différentes autorités peuvent s’appuyer sur les compétences techniques en IA et cybersécurité  de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et du PEReN (Pôle d’expertise de la régulation numérique) dans le cadre de leur mission de contrôle de conformité des systèmes d’IA.

Enfin, la DGCCRF est désignée comme point de contact unique et la DGE est l’autorité représentant la France au Comité européen de l’IA.

Il convient de noter toutefois qu’il s’agit d’une proposition qui doit être présentée au Parlement sous la forme d’un projet de loi.


     Selon l’AI Act, les autorités nationales compétentes devaient être désignées au plus tard le 2 août 2025. Or, ce schéma de gouvernance n’en est qu’au stade de proposition, et doit encore être présenté au Parlement sous la forme d’un projet de loi. Sa date d’approbation par les parlementaires et sa mise en oeuvre effective restent donc incertaines.

On notera enfin que ce schéma, s’il a le mérite d’éviter la création de nouvelles autorités et de s’appuyer sur les compétences existantes, est en revanche complexe. S’il est adopté par les parlementaires,  les acteurs de l’IA risquent d’avoir quelques difficultés à s’y retrouver !

* * * * * * * * * * * * 


(1) Les autorités compétentes pour la mise en œuvre du règlement européen sur l’intelligence artificielle

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2025

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (6) adwords (3) ai (25) anssi (3) arcep (3) arcom (15) audiovisuel (3) audit (1) base de données (3) bitcoin (1) blockchain (6) cbpr (4) cgv (1) chine (1) cjue (1) cloud computing (3) cnil (17) commerce (4) communication (8) compliance (32) confidentialité (3) conformité (19) consommateurs (3) contrat (8) contrefaçon (10) cookies (6) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (17) données personnelles (31) dpf (2) droit d'auteur (11) dsa (8) e-commerce (15) e-consommateurs (1) enfance (6) etats-unis (5) eu (17) europe (16) formation (1) fraude (2) gdpr (27) google (4) hébergeur (5) ia (17) ico (1) informatique (11) informatique et libertés (4) intelligence artificielle (16) internet (32) jeu vidéo (3) liberté d'expression (3) logiciel (11) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (10) originalité (5) privacy shield (2) propriété intellectuelle (13) protection des données (10) publicité (6) référencement (4) réglementation (12) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (11) rgpd (21) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (7) site web (3) us (3) vie privée (21)