AI Act : quelles sont autorités compétentes en France ?

15/9/2025
Tous les guides
📚 Notions de base

Depuis le Règlement Général sur la Protection des Données (RGPD) en 2018, jamais un texte européen n’avait suscité autant d’attention que l’AI Act, adopté par le Parlement européen en 2024. Ce règlement marque un tournant majeur pour l’encadrement de l’intelligence artificielle (IA) en Europe. Alors que les usages de l’IA se multiplient – de la santé à la finance, en passant par le recrutement ou la sécurité publique –, l’Union européenne veut instaurer un cadre clair, protecteur mais aussi favorable à l’innovation.

Dans cet article, nous revenons sur les points clés de l’AI Act : son fonctionnement, les organismes de tutelle selon les secteurs, ses différences avec le RGPD, et les implications concrètes pour les entreprises.

Petit rappel : comment fonctionne l’AI Act ?

L’AI Act repose sur une approche dite « par niveaux de risques ». Contrairement au RGPD qui s’applique de manière uniforme à tout traitement de données personnelles, le règlement IA établit plusieurs catégories de risques, avec des obligations qui varient selon le niveau de dangerosité du système :

  1. Risque inacceptable : certains usages de l’IA sont purement et simplement interdits, car jugés contraires aux droits fondamentaux. C’est le cas, par exemple, des systèmes de notation sociale de type « crédit social », ou encore de la surveillance biométrique de masse en temps réel.
  2. Risque élevé : ce sont les systèmes qui peuvent avoir un impact significatif sur la sécurité, la santé ou les droits des individus (par exemple, l’IA utilisée dans le domaine médical, l’éducation, le recrutement ou encore la justice). Ces systèmes devront respecter des obligations strictes : documentation technique, qualité des données d’entraînement, transparence, supervision humaine obligatoire, et évaluation de conformité avant mise sur le marché.
  3. Risque limité : il s’agit d’applications qui présentent des risques moindres, mais qui doivent garantir une transparence minimale. Par exemple, les chatbots devront signaler à l’utilisateur qu’il interagit avec une machine.
  4. Risque faible ou minimal : pour la majorité des systèmes (par exemple, des filtres de spam ou des jeux vidéo utilisant de l’IA), aucune obligation particulière n’est imposée, hormis le respect des normes générales de sécurité.

Cette approche proportionnée vise à trouver un équilibre entre innovation et protection des citoyens.

Quels organismes publics de tutelle selon les secteurs ?

Le règlement prévoit la mise en place de plusieurs autorités de contrôle et de coordination :

  • Au niveau européen : une nouvelle entité, l’Office européen de l’IA, sera créée pour superviser l’application du règlement dans toute l’Union. Cet office aura pour rôle de coordonner les autorités nationales, d’harmoniser les pratiques, et d’assurer la cohérence du marché intérieur.
  • Au niveau national : chaque État membre devra désigner une ou plusieurs autorités compétentes. En France, plusieurs régulateurs sectoriels sont concernés :
    • La CNIL (Commission Nationale de l’Informatique et des Libertés), déjà en première ligne sur la protection des données, jouera un rôle central pour les IA impliquant des traitements de données personnelles.
    • L’ANSSI (Agence nationale de la sécurité des systèmes d’information) interviendra sur les aspects de cybersécurité.
    • La HAS (Haute Autorité de Santé) sera compétente pour les systèmes d’IA utilisés dans le domaine médical.
    • L’ARCOM (Autorité de régulation de la communication audiovisuelle et numérique) pourra être mobilisée pour les contenus numériques et audiovisuels.

Selon les secteurs, d’autres autorités spécialisées pourront être impliquées. Par exemple, l’ACPR (Autorité de contrôle prudentiel et de résolution) pourrait intervenir pour les systèmes d’IA utilisés dans la finance et l’assurance, tandis que l’Autorité de sûreté nucléaire (ASN) pourrait avoir un rôle de supervision pour les applications liées à l’énergie ou aux infrastructures critiques.

Ce maillage reflète la volonté de l’Europe d’adopter une régulation fine, adaptée aux usages et à la sensibilité de chaque secteur. L’organigramme publié par le Ministère de l’Économie illustre bien cette articulation : la DGCCRF assure une coordination opérationnelle, tandis que la DGE prend en charge la coordination stratégique. Les autorités sectorielles se répartissent les missions en fonction des articles du règlement et des annexes de l’IA Act :

  • la CNIL pour la biométrie, la justice ou l’éducation ;
  • l’ARCOM pour les contenus audiovisuels et la transparence des générateurs de texte ;
  • l’ACPR pour les systèmes financiers à haut risque ;
  • la DGCCRF pour les pratiques interdites et certains produits de consommation ;
  • la HAS et l’ANSM pour les dispositifs médicaux ;
  • le ministère du Travail pour les machines, etc.

En appui, l’ANSSI et le Pôle d’expertise de la régulation numérique (PEReN) constituent des pôles de compétences techniques mutualisées. L’ensemble est piloté en lien avec l’Office européen de l’IA afin d’assurer cohérence et homogénéité entre États membres.

Autorités compétentes de l'IA Act
Autorités compétentes dans le cadre de l'AI Act

Quelles implications pratiques pour les entreprises françaises selon les secteurs ?

Le rôle des autorités sectorielles implique que les obligations varient selon l’activité de l’entreprise :

  • Santé : une start-up qui développe un dispositif médical intégrant de l’IA devra travailler en étroite collaboration avec la HAS et l’ANSM. Elle devra prouver que ses algorithmes respectent les critères de sécurité et de fiabilité médicale, et anticiper des audits renforcés avant toute mise sur le marché.
  • Finance : une société de fintech proposant des solutions de scoring automatisé devra se conformer aux exigences de l’ACPR. Cela inclut des obligations strictes sur la transparence des critères utilisés pour éviter toute discrimination, ainsi que des contrôles réguliers pour garantir l’absence de biais.
  • Éducation : une plateforme d’e-learning qui utilise l’IA pour évaluer les étudiants sera supervisée par la CNIL et potentiellement par le ministère de l’Enseignement supérieur. L’entreprise devra démontrer que les algorithmes ne créent pas de biais injustifiés et que les données des étudiants sont protégées conformément aux standards RGPD et IA Act.
  • Industrie : un fabricant de machines intelligentes ou de robots devra respecter les normes encadrées par le ministère du Travail et la DGCCRF. Ici, la conformité portera autant sur la sécurité physique que sur la transparence des décisions automatisées embarquées dans les machines.

Ces exemples montrent que la conformité ne sera pas uniforme : chaque secteur verra ses propres règles renforcées, avec des points de contact différents selon la nature de l’IA déployée.

Quelques ressources complémentaires sur l’IA Act

Pour approfondir ces sujets, Leto met à disposition plusieurs ressources utiles :

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

NIS 2 : définition et impact sur votre entreprise
18/12/2024
Non conformité au RGPD et concurrence déloyale
18/4/2023
Comment faire une analyse d’impact sur les transferts de données ?
14/2/2025
Comment pratiquer le scraping de données en toute légalité ? 
9/7/2024

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Produits
Logiciel RGPDSensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataApplication mobile veille RGPD
Leto
Nous rejoindreContactA proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2025