IA Act : le grand déploiement des autorités françaises (et ce que ça change pour votre business)

Depuis février 2025, l'IA Act européen entre progressivement en application. Pour les entreprises qui développent ou déploient de l'intelligence artificielle, une question centrale se pose : qui viendra contrôler la conformité de vos systèmes ? Spoiler : ce ne sera pas une seule autorité.

L'approche française : divide et impera

La France a tranché. Plutôt qu'une autorité unique sur le modèle CNIL-RGPD, l'Hexagone mise sur la spécialisation sectorielle. Le contrôle de la bonne mise en œuvre de ce règlement sera assuré en France par plusieurs autorités, en accord avec les orientations proposées par le règlement IA lui-même.

Cette fragmentation n'est pas qu'une coquetterie bureaucratique : elle reflète la réalité que l'IA irrigue tous les secteurs avec des enjeux spécifiques. Votre interlocuteur réglementaire dépendra donc de votre activité. Fintech ? Direction l'ACPR. Média ? L'Arcom vous tend les bras.

Le schéma retenu par le Gouvernement sera mis en œuvre, sous réserve qu'il soit accepté par le Parlement par le biais d'un projet de loi.

L'architecture s'articule autour d'une coordination à trois étages : la DGE continue d'apporter son soutien à la mise en œuvre de ce texte en tant qu'autorité réglementaire en charge du règlement IA, la DGCCRF est chargée de la coordination des autorités de surveillance du marché et jouera à ce titre le rôle de point de contact unique, et une mutualisation avancée des compétences et outils techniques en IA et cybersécurité est mise en place par le Pôle d'expertise de la régulation numérique (PEReN) et l'Agence nationale pour la sécurité des systèmes d'information (Anssi).

Pratiques interdites : la ligne rouge

Certains usages de l'IA sont proscrits dès à présent. Si votre système tombe dans ces catégories, la discussion est close :

Manipulation et exploitation des vulnérabilités

Autorités compétentes : DGCCRF + Arcom

L'Autorité de régulation de la communication audiovisuelle et numérique et la Direction générale de la concurrence, de la consommation et de la répression des fraudes seront garantes du respect de l'interdiction de la mise sur le marché, la mise en service ou l'utilisation de systèmes d'IA qui ont recours à des techniques subliminales, délibérément manipulatrices ou trompeuses (art. 5(1a)) ; et qui exploitent les vulnérabilités liées à l'âge, au handicap ou à la situation sociale ou économique (art. 5(1b)).

Traduction business : attention aux algorithmes de ciblage publicitaire trop "créatifs"

Notation sociale généralisée

Autorités compétentes : DGCCRF + CNIL

Le contrôle du respect de l'interdiction de la mise sur le marché, la mise en service à cette fin spécifique ou l'utilisation de systèmes d'IA destinés à l'évaluation, la classification ou la notation sociale sera assuré par la Commission nationale de l'informatique et des libertés (CNIL) et la DGCCRF (art. 5(1c)).

Exception notable : le scoring financier traditionnel n'entre pas dans cette catégorie.

Le contrôle du respect des autres pratiques interdites à l'article 5 du règlement IA sera également assuré par la CNIL : police prédictive (art. 5(1d)), création ou développement de bases de données de reconnaissance faciale par moissonnage non ciblé (art. 5(1e)), inférence des émotions sur le lieu de travail et dans les établissements d'enseignement (art. 5(1f)), catégorisation biométrique (art. 5(1g)), identification biométrique à distance en temps réel à des fins répressives (art. 5(1h)).

Systèmes à haut risque : la zone sous surveillance renforcée

Finance : l'ACPR resserre l'étau

L'Autorité de contrôle prudentiel et de résolution (ACPR) sera responsable des systèmes d'IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques, établir leur note de crédit et évaluer les risques et la tarification en matière d'assurance-vie et d'assurance maladie lorsque l'opérateur de ces systèmes d'IA relève de la compétence de l'Autorité (ann. III(5)).

Conseil pratique : documentez tout, maintenant.

Santé : l'ANSM étend son périmètre

Les dispositifs médicaux et dispositifs médicaux de diagnostic in vitro intégrant de l'IA relèvent de l'Agence nationale de sécurité du médicament (ANSM) et de la DGCCRF, selon les annexes I du règlement.

Infrastructures critiques : la sécurité nationale entre en jeu

Les Hauts fonctionnaires de défense et de sécurité des ministères de l'Économie, des Finances et de la Souveraineté industrielle et numérique, ainsi que des ministères de l'Aménagement du territoire et Transition écologique seront responsables du contrôle des systèmes d'IA en matière d'infrastructures critiques (ann. III(2)).

RH et recrutement : la CNIL élargit son territoire

La CNIL sera chargée du contrôle des systèmes d'IA en matière d'enseignement et de formation professionnelle avec la DGCCRF (ann. III(3)), en matière de processus démocratiques avec l'Arcom (ann. III(8b)), et de tous les autres systèmes d'IA relevant de cette annexe III, notamment en matière de biométrie (ann. III(1)), d'emploi et de gestion de la main d'œuvre (ann. III(4)).

Impact business : au-delà des bonnes intentions

Les coûts cachés (qui le sont de moins en moins)

Documentation et compliance : les systèmes d'IA à haut risque nécessitent une documentation technique détaillée et des mesures de gestion des risques. Budget formation juridique et consultants spécialisés à prévoir.

Évaluations et audits : selon le règlement, certains systèmes nécessitent une évaluation de conformité par des organismes notifiés avant leur mise sur le marché.

Maintenance réglementaire continue : le règlement prévoit des obligations de surveillance post-commercialisation et de mise à jour de la documentation.

Les opportunités (pour ceux qui jouent le jeu)

Avantage concurrentiel : être conforme avant les autres devient un argument commercial fort, surtout en B2B.

Accès aux marchés européens : la conformité IA Act devient progressivement un prérequis pour les appels d'offres publics et les grands comptes.

Consolidation sectorielle : les acteurs non conformes vont disparaître ou être rachetés.

Timeline critique : ce qui arrive dans vos agendas

Août 2025 : Les États membres doivent mettre en place ou désigner des autorités compétentes avant le 2 août 2025

Août 2026 : application des obligations pour les systèmes d'IA à haut risque

Août 2027 : application complète du règlement, y compris les obligations de transparence

Contacts utiles (à conserver précieusement)

Vous pouvez contacter : reglement-ia@dgccrf.finances.gouv.fr et reglement-ia.dge@finances.gouv.fr

Pro tip : établissez le dialogue avec ces contacts avant d'avoir des problèmes. L'approche collaborative fonctionne mieux que l'approche défensive.

Les pièges à éviter

1. Méconnaissance du périmètre d'application : le règlement s'applique dès la mise sur le marché ou en service de systèmes d'IA dans l'UE
2. Sous-estimation des pratiques interdites : l'article 5 du règlement est d'application immédiate
3. Confusion sur les autorités compétentes : selon le schéma français, la CNIL étend significativement ses compétences au-delà de la protection des données
4. Documentation insuffisante : le règlement impose une documentation technique détaillée pour les systèmes à haut risque

Le verdict

Cette architecture multi-acteurs traduit une réalité simple : l'IA est transversale, les risques sont sectoriels. Pour les entreprises, cela implique d'identifier précisément vos autorités de tutelle et d'adapter votre stratégie de conformité en conséquence.

L'équation gagnante : mapper vos cas d'usage IA existants, identifier vos interlocuteurs réglementaires, et engager la mise en conformité avant l'intensification des contrôles. Dans cette partie, les premiers à bouger prennent l'avantage.

En résumé : l'IA Act n'est plus une perspective lointaine mais votre nouvelle réalité opérationnelle. Autant en faire un atout stratégique plutôt qu'un fardeau réglementaire. Et accessoirement, éviter les amendes.

‍