Règlement européen sur l’IA : un jeu de l’oie réglementaire ?

Le Règlement européen sur l’intelligence artificielle (RIA), en application depuis août 2024, constitue une avancée majeure dans la régulation des technologies numériques. Il vise à encadrer les usages de l’IA selon leur niveau de risque, tout en garantissant la protection des droits fondamentaux et la sécurité des citoyens.

‍

Le Règlement européen sur l’IA prévoyait la nomination d’une autorité nationale compétente dans chaque pays membre de l’Union Européenne, le 2 août 2025. Le projet français de désignation des autorités publié le 9 septembre 2025 repose sur une architecture administrative complexe, fondée sur une désignation plurielle d’autorités nationales compétentes, chacune chargée d’un pan spécifique du dispositif. Ce choix, qui privilégie la spécialisation sectorielle, soulève des enjeux de coordination, de lisibilité et d’efficacité pour un texte qu’aucun juriste ne peut qualifier de simple.

‍

‍

Gouvernance française : multiples autorités et rôles

‍

‍

Alors que la CNIL travaille sur le sujet depuis mai 2023, publie des fiches de bonnes pratiques et a déjà ouvert un service dédié pour analyser les différents cas d’usage et les différentes menaces que cette nouvelle technologie pourrait engendrer, le couperet est tombé.

C’est finalement la DGCCRF qui est pressentie pour jouer le rôle d’autorité de surveillance du marché, en assurant le contrôle des systèmes IA mis en circulation et en coordonnant les actions des autres régulateurs. La DGE serait chargée de la coordination stratégique, notamment dans le cadre des échanges avec les instances européennes. L’ANSSI interviendrait sur les aspects liés à la cybersécurité des systèmes IA, en particulier ceux intégrés à des infrastructures critiques. Le PEReN apporterait une expertise technique transversale, notamment pour l’évaluation des algorithmes et la conformité des systèmes à haut risque. La CNIL et l’ARCOM seraient mobilisées selon les cas d’usage, notamment pour les systèmes impliquant des données personnelles ou des contenus audiovisuels.

Ce modèle, bien que pertinent sur le plan technique, pourrait très bien avoir été généré par un « prompt » issu d’une myriade de réunions où chacun est venu prêcher pour sa paroisse.

Cette multiplicité de régulateurs engendre une complexité administrative notable : chevauchements de compétences, délais de traitement allongés et incertitude juridique pour les opérateurs économiques.

‍

Zones grises et exemples concrets

• Biométrie : la CNIL serait compétente pour encadrer les usages interdits (identification biométrique en temps réel dans les espaces publics). Les usages autorisés mais à haut risque, comme la reconnaissance faciale dans les aéroports ou les établissements scolaires, relèvent d’une surveillance partagée, sans guichet unique clairement identifié
• Infrastructures critiques : ANSSI pour la cybersécurité, HFDS pour la défense nationale
• Équipements industriels intégrant l’IA : DGPR pour les appareils sous pression ou à gaz

Pour les entreprises, comprendre la répartition des rôles dans le cadre du Règlement européen sur l’IA est crucial pour anticiper les obligations et éviter les risques juridiques.

‍

‍

Une approche par niveau de risque

‍

‍

Le Règlement européen sur l’IA introduit une classification par niveau de risque, imposant des obligations croissantes aux fournisseurs et utilisateurs de systèmes IA :

‍

‍

Enjeux du RIA

‍

‍

Juridique

• Vigilance accrue dans la classification des systèmes
• Documentation complète de la conformité au Règlement européen sur l’IA

‍

Économique

• Règlement perçu comme un frein à l’innovation, surtout pour startups et PME
• Charge importante de conformité technique et administrative, souvent adaptée aux grands groupes

‍

Sociétal

• Objectif : instaurer une IA de confiance, respectueuse des droits fondamentaux et des valeurs démocratiques
• Dépend de la coopération entre autorités nationales, mutualisation des expertises et lisibilité du dispositif pour les acteurs économiques

‍

‍

Mise en œuvre pratique pour les entreprises

‍

‍

De manière pratico-pratique, les organismes publics comme privés doivent se mettre en mouvement rapidement : l’intelligence artificielle est déjà présente dans de nombreux services et directions.

‍

Étapes recommandées

1. Cartographier tous les cas d’usage de l’IA dans l’organisation
2. Évaluer les bénéfices et les risques
3. Rationaliser la mise en conformité
4. Initier le registre des systèmes IA :
   • Recenser les modèles utilisés
   • Assurer la conformité selon le rôle endossé et le niveau de risque, conformément au Règlement européen sur l’IA

‍

Une fois que les organisations peuvent répondre aux questions “Comment et pourquoi l’IA est-elle utilisée chez nous ?”, elles sont prêtes à documenter et sécuriser leurs systèmes conformément au Règlement européen sur l’IA.

‍

‍

Conclusion

‍

‍

La mise en œuvre du RIA en France illustre les tensions entre :

• Régulation et innovation
• Spécialisation et coordination
• Ambition européenne et réalités nationales

‍

Le succès du cadre dépendra de la capacité des autorités à dépasser les cloisonnements administratifs, simplifier les procédures et accompagner les acteurs vers une intelligence artificielle éthique, sécurisée et compétitive, en conformité avec le Règlement européen sur l’IA.

‍

Article parut dans le magazine Archimag n°388.