Les autorités françaises face à la mise en œuvre du règlement européen sur l’intelligence artificielle
Selon l’article 77 du règlement européen sur l’intelligence artificielle (2024/1689) entré en vigueur le 1er août 2024, chaque État membre doit identifier les autorités ou organismes publics nationaux pour veiller au respect des droits fondamentaux dans le cadre de l’utilisation de systèmes d’IA à haut risque. Une IA est à haut risque si elle a un impact significatif sur la santé, la sécurité ou les droits fondamentaux (par exemple, dans les domaines de l’éducation, de l’emploi, de la justice ou de la biométrie).
Dans un communiqué du 9 septembre 2025, le gouvernement a proposé un schéma de gouvernance à mettre en œuvre, sous réserve qu’il soit accepté par le Parlement par le biais d’un projet de loi.
Selon ce schéma, le contrôle de la bonne mise en œuvre du règlement sera assuré par plusieurs autorités françaises (schéma accessible à l’adresse suivante : https://www.entreprises.gouv.fr/files/files/Priorites-et-actions/Transition-numerique/202509-reglement-ia-schema-gouvernance.pdf).
Parmi les autorités désignées, nous trouvons par exemple :
La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) : seront garantes du respect de l’interdiction de la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA qui ont recours à des techniques subliminales, délibérément manipulatrices ou trompeuses, et qui exploitent les vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique. Elles contrôleront en outre les systèmes d’IA destinés à interagir directement avec des personnes et ceux qui génèrent des contenus de synthèse ou qui créent des hypertrucages.
La Commission nationale de l’informatique et des libertés (CNIL) : contrôlera le respect de l’interdiction de la mise sur le marché, la mise en service à cette fin spécifique ou l’utilisation de systèmes d’IA destinés à l’évaluation, la classification ou la notation sociale, police prédictive, création ou développement de bases de données de reconnaissance faciale par moissonnage non ciblé, inférence des émotions sur le lieu de travail et dans les établissements d’enseignement, catégorisation biométrique, identification biométrique à distance en temps réel à des fins répressives.
D’autres autorités sont désignées pour encadrer l’usage de l’IA dans leurs domaines de compétence respectifs (justice, finance, santé, infrastructures critiques, etc.). Par exemple, le Conseil d’État, la Cour de cassation et la Cour des comptes seront responsables des systèmes d’IA mis en service ou utilisés par les autorités judiciaires à des fins d’administration de la justice ; l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) sera responsable des systèmes d’IA mis en place dans le cadre de dispositifs médicaux …
Préférant l’optimisation de l’existant à la création d’entités nouvelles, le gouvernement désigne donc des autorités nationales compétentes selon des compétences et expertises sectorielles déjà existantes. Ces autorités désignées pourront être saisies selon les modalités propres à chaque autorité et prononcer des sanctions en cas de non-respect du règlement. L’article 99 du règlement sur l’IA prévoit des amendes administratives maximales, par exemple le non-respect de l’interdiction des pratiques d’IA est passible d’amendes administratives pouvant aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, selon le montant le plus élevé. L’autorité nationale compétente adaptera ensuite la sanction en fonction de critères définis à l’article 99 du règlement européen (par exemple : la nature, la gravité et la durée de la violation).