DPO et AI Act : quel rôle sous la supervision de la CNIL ?

Alors que l'échéance d'août pour les systèmes d'IA à haut risque approche à grands pas, le paysage de la conformité numérique reste marqué par une profonde incertitude. Contrairement aux idées reçues, la France n'a pas encore officiellement désigné ses autorités de contrôle nationales pour l'AI Act.

‍

Les derniers arbitrages de février, discutés au Parlement dans le cadre du projet de loi DDADUE — portant diverses dispositions d'adaptation au droit de l'Union européenne — ont révélé les coulisses d'une bataille de territoires institutionnels. Loin de la clarté attendue, les contours de la future gouvernance IA en France se dessinent "en mode puzzle". Pour le délégué à la protection des données (DPO), cette absence de décision définitive impose une posture d'équilibriste : anticiper une conformité AI Act obligatoire tout en naviguant à vue dans un écosystème de contrôle encore mouvant.

‍

‍

Gouvernance IA en France : le scénario du "puzzle" face au guichet unique

‍

‍

Pendant de longs mois, deux visions de la régulation IA se sont affrontées au sein de l'exécutif. D'un côté, la CNIL plaidait pour une centralisation forte, se positionnant comme l'interlocuteur unique de l'AI Act. De l'autre, une approche sectorielle défendue par Bercy, visant à attribuer le contrôle aux régulateurs économiques et techniques déjà en place.

‍

Les débats parlementaires de février ont temporairement fait pencher la balance vers une régulation fragmentée impliquant près d'une quinzaine d'autorités :

• La CNIL hériterait d'un rôle majeur, mais circonscrit à la protection des droits fondamentaux (systèmes d'IA liés aux RH, à l'éducation, aux libertés publiques)
• La DGCCRF superviserait la conformité des produits de consommation courante
• L'ANSM garderait la main sur la santé et les dispositifs médicaux
• L'ACPR contrôlerait le secteur financier

‍

Cependant, rien n'est encore gravé dans le marbre. Le texte législatif fait toujours l'objet de vifs débats et d'amendements gouvernementaux de dernière minute, suscitant l'irritation des parlementaires qui déplorent le manque de lisibilité de cette architecture. Pour le DPO, cette incertitude complexifie la donne : l'IA utilisant massivement des données personnelles — le cœur de métier du DPO sous l'égide du RGPD — l'absence d'un cap institutionnel définitif l'oblige à anticiper des exigences pluripartites potentiellement contradictoires.

‍

‍

Le guichet unique IA : une chimère indispensable ?

‍

‍

Alors que la France s'éloigne pour le moment de l'idée d'une autorité unique pour privilégier un modèle sectoriel distribué, on est en droit de se questionner : la recherche d'un guichet unique pour l'IA était-elle réellement pertinente ?

‍

D'un côté, les entreprises et les DPO réclament de la simplicité : un interlocuteur unique — comme l'est la CNIL pour le RGPD — permet d'éviter l'insécurité juridique, les chevauchements de compétences et la multiplication des contrôles. D'un autre côté, l'intelligence artificielle est une technologie si transverse qu'elle innerve des secteurs aux logiques radicalement différentes. Peut-on raisonnablement demander à une seule autorité de maîtriser à la fois les enjeux de souveraineté industrielle de la DGE, les impératifs cliniques de l'ANSM et la protection de la vie privée ?

‍

Le modèle en "puzzle" actuellement débattu reflète sans doute la complexité intrinsèque de l'IA. Reste à savoir si ce choix de la nuance ne se transformera pas, pour les entreprises françaises, en une usine à gaz administrative pénalisante pour l'innovation. Les prochains mois de navette parlementaire seront décisifs pour clarifier les règles du jeu.

‍

‍

Une visibilité stratégique renforcée, malgré l'incertitude réglementaire

‍

‍

Malgré ce flottement réglementaire, l'imminence des échéances de l'AI Act et la lourdeur des sanctions financières théoriques — pouvant atteindre jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites — braquent les projecteurs sur le DPO.

‍

En devenant le référent naturel sur les sujets de gouvernance IA, le DPO accède de plus en plus aux comités de direction. Il n'est plus seulement perçu comme l'expert technique des cookies ou des registres de traitement, mais comme le garant de la sécurité stratégique de l'innovation.

‍

Ce glissement permet de bousculer l'immobilisme de certaines directions. L'argument de la future conformité AI Act — même si ses modalités de contrôle nationales restent à acter — devient un levier puissant pour débloquer des budgets de gouvernance des données et structurer des comités d'éthique de l'IA en interne.

‍

‍

Des responsabilités élargies à moyens constants : le revers de la médaille

‍

‍

Pourtant, la réalité opérationnelle des DPO sur le terrain demeure rude. Gérer la conformité à l'AI Act requiert une montée en compétences techniques immédiate et transversale : comprendre l'explicabilité des modèles, auditer la qualité des jeux de données d'entraînement, traquer les biais discriminatoires et valider la documentation des fournisseurs.

‍

Or, dans la grande majorité des organisations, cette charge de travail s'ajoute au périmètre du RGPD à moyens constants. Sans budget dédié ni ressources humaines supplémentaires, le DPO se retrouve dans une situation de dépendance critique vis-à-vis de la DSI et des éditeurs de solutions. Sans transparence technologique de la part de ces acteurs, le DPO court le risque d'endosser une responsabilité de façade sans avoir les moyens réels de mener ses investigations.

‍

‍

Se protéger par la traçabilité du conseil

‍

‍

Face à ce cadre mouvant et à la surcharge opérationnelle, le DPO doit impérativement s'en tenir à son rôle premier : conseiller et surveiller, mais ne jamais décider. Le cadre juridique reste son meilleur bouclier. Le DPO n'est ni le concepteur, ni le déployeur de l'IA — il est la boussole de sa conformité.

‍

Si un pôle métier ou la direction générale choisit d'intégrer un outil d'IA générative ou de tri de CV à haut risque sans lui fournir les documents nécessaires ou sans suivre ses recommandations, la responsabilité finale incombe exclusivement à l'organisation.

‍

La sécurité du DPO réside aujourd'hui dans sa capacité à documenter rigoureusement et systématiquement ses interventions. Chaque avis rendu, chaque demande d'explications techniques restée sans réponse de la part de la DSI ou d'un fournisseur, et chaque alerte sur l'insuffisance des moyens doit faire l'objet d'un écrit tracé. En agissant ainsi, le DPO apporte la preuve qu'il a pleinement exercé sa mission d'alerte — déchargeant sa responsabilité face aux futurs contrôles réglementaires.

‍

‍

FAQ - DPO et AI Act : gouvernance IA et régulation en France

‍

‍

La CNIL est-elle officiellement l'autorité de contrôle de l'AI Act en France ?

Non, pas encore. Les discussions législatives sont toujours en cours. Les débats parlementaires de février ont tracé les contours d'une gouvernance partagée entre une quinzaine d'autorités sectorielles (DGCCRF, ANSM, Arcom, etc.). La CNIL y jouerait un rôle central axé sur les droits fondamentaux, mais le texte n'est pas encore définitivement adopté et rien n'est acté.

‍

Comment le DPO peut-il anticiper la conformité AI Act sans autorité désignée ?

Le règlement européen fournit déjà la grille d'analyse et les obligations (transparence, gestion des risques pour les systèmes à haut risque, interdictions). Le DPO doit se baser sur le texte européen lui-même pour auditer les outils internes, sans attendre que la répartition exacte des contrôleurs nationaux soit définitivement votée.

‍

Que faire si ma direction souhaite déployer une IA sans visibilité réglementaire claire ?

Rappelez que les interdictions de l'AI Act — risques inacceptables — sont déjà en vigueur au niveau européen et que les exigences pour les systèmes à haut risque arrivent à échéance. Votre rôle est de documenter les risques par écrit, de conseiller les meilleures pratiques de transparence et de laisser la direction assumer la responsabilité finale du déploiement.