L'Espagne adopte sa loi organique IA : le premier modèle de transposition de l'AI Act à suivre

28/5/26
👈 les autres actualités

Fin mai 2026, le Conseil des Ministres espagnol a approuvé le projet de loi organique sur le bon usage et la gouvernance de l'intelligence artificielle — première grande transposition nationale complète de l'AI Act européen. Ce texte va plus loin que la stricte transposition : il dessine un modèle de gouvernance publique de l'IA que les DPO et responsables IA français ont tout intérêt à surveiller de près.

Ce qui s'est passé

Après plusieurs mois de consultation publique, le gouvernement espagnol a transmis au Parlement un projet de loi organique dédié à la gouvernance de l'IA. L'Espagne devient ainsi l'un des premiers États membres à se doter d'un cadre législatif complet articulé autour de l'AI Act.

Pièce centrale du dispositif : l'Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), autorité nationale de supervision de l'IA déjà opérationnelle depuis 2023. La loi lui confère un rôle principal pour les systèmes d'IA sans régulation sectorielle spécifique — notamment dans les domaines de l'emploi, de la biométrie et de l'éducation. L'Agencia Española de Protección de Datos (AEPD, l'équivalent espagnol de la CNIL) et le Conseil Général du Pouvoir Judiciaire (CGPJ) restent compétents dans leurs domaines respectifs.

Pour les systèmes d'IA déjà soumis à une réglementation sectorielle (dispositifs médicaux, sécurité automobile, etc.), les autorités sectorielles existantes conservent leur compétence — comme le prévoit l'AI Act lui-même.

Pourquoi c'est important

Ce texte est le premier miroir concret de ce qu'un État membre peut faire au-delà de la stricte transposition de l'AI Act.

Sur les sanctions, la loi reproduit fidèlement le régime européen : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves, jusqu'à 500 000 € ou 0,5 % du CA pour les moins graves. Mais le texte espagnol ajoute des mécanismes d'adaptation : réductions pour paiement anticipé, prise en compte de la taille de l'entreprise pour protéger les PME et start-ups, et priorité accordée aux mesures correctives sur les sanctions.

Pour les professionnels de la conformité, le passage clé est l'articulation entre AESIA et AEPD : en France, la répartition des compétences entre les autorités IA est encore en cours de structuration. L'Espagne fournit ici un modèle opérationnel d'organisation des pouvoirs qui pourrait inspirer d'autres États membres.

Ce que l'exemple de la DGFiP illustrait récemment : les systèmes IA du secteur public entrent dans le champ du haut risque de l'AI Act, et les obligations de documentation sont déjà actives. La loi espagnole formalise exactement ces exigences pour les administrations.

Ce que ça change pour les organisations

Trois points d'attention pratiques pour les DPO et responsables IA :

1. Les bacs à sable réglementaires deviennent une réalité opérationnelle. La loi espagnole formalise un sandbox national géré par AESIA — obligatoire selon l'AI Act. Pour les entreprises qui développent des systèmes d'IA, c'est une voie d'accès potentielle à un environnement de test encadré avant mise sur le marché.

2. Le secteur public est particulièrement ciblé. Au-delà de la transposition, la loi impose des mesures spécifiques aux administrations : inventaire des systèmes IA, délégué IA, audits périodiques. Pour les prestataires qui équipent le secteur public, ces nouvelles obligations de leurs clients se translatent directement en exigences contractuelles.

3. La gouvernance IA n'est plus optionnelle. Que votre entreprise opère en Espagne ou non, ce texte acte la tendance lourde : chaque État membre construira son propre étage au-dessus de l'AI Act. Préparer une cartographie de ses systèmes IA et une gouvernance documentée n'est plus un projet futur — c'est le prérequis pour naviguer dans cet environnement multi-autorités.

Sur la question de la gouvernance des agents IA plus spécifiquement, Norton Rose Fulbright alertait récemment sur les approches sparadrap : empiler des contrôles a posteriori plutôt que d'intégrer la gouvernance dès la conception.

Ce que Leto pense de cette décision

L'Espagne avance vite, et c'est utile pour tout le monde. En matérialisant l'AI Act dans une loi nationale complète avec une autorité identifiée, un régime de sanctions explicite et des obligations sectorielles supplémentaires, Madrid offre un cas d'école que les autres États membres — dont la France — vont devoir suivre. Pour les entreprises opérant à l'échelle européenne, le message est clair : la conformité IA ne se pilote plus depuis Bruxelles uniquement, elle se négocie autorité par autorité, pays par pays. Investir dans une cartographie IA solide et une gouvernance documentée maintenant, c'est éviter de devoir le faire dans l'urgence sous pression réglementaire.

Sources : DLA Piper Privacy Matters — Spain: Government approves the draft Organic Law on AI governance

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026