Qui contrôle l’IA en France ?
La France déploie le règlement (UE) 2024/1689 via un dispositif de contrôle distribué entre la DGCCRF, la CNIL, l’Arcom et des autorités sectorielles, sous réserve d’une adoption parlementaire. Les pratiques interdites (art. 5), les systèmes à haut risque (annexes I et III) et les obligations de transparence (art. 50) sont répartis entre régulateurs dédiés. La DGCCRF devient point de contact unique, tandis que la DGE pilote la coordination stratégique et la représentation au Comité européen de l’IA, avec l’appui technique du PEReN et de l’Anssi.
Points clés
- Publié le 9 septembre 2025, le dispositif français d’application du règlement (UE) 2024/1689 classe les systèmes d’IA du risque minimal à inacceptable et confie le contrôle à plusieurs autorités.
- Les pratiques interdites (art. 5) relatives aux techniques subliminales/manipulatrices et à l’exploitation de vulnérabilités sont contrôlées par l’Arcom et la DGCCRF ; la notation sociale par la CNIL et la DGCCRF.
- La CNIL contrôle également la police prédictive, le scrapping de visages pour bases de reconnaissance faciale, l’inférence d’émotions au travail/éducation, la catégorisation biométrique et l’identification biométrique à distance en temps réel à des fins répressives.
- Systèmes à haut risque – annexe I : les autorités de surveillance du marché et autorités notifiantes étendent leur périmètre à l’IA intégrée aux produits (par ex. ANSM, DGCCRF, DGPR, ANFR, DG Travail).
- Systèmes à haut risque – annexe III : les HFDS des ministères de l’Économie/Finances/MEFSIN et de l’Aménagement/Transition écologique pilotent les infrastructures critiques.
- L’ACPR supervise les systèmes d’IA d’évaluation de solvabilité, de scoring et de tarification en assurance-vie/maladie pour les opérateurs relevant de sa compétence.
- Le Conseil d’État, la Cour de cassation et la Cour des comptes encadrent les systèmes d’IA utilisés par les autorités judiciaires pour l’administration de la justice ; la CNIL couvre les autres cas.
- Obligations de transparence (art. 50) : CNIL pour la reconnaissance des émotions et la catégorisation biométrique ; DGCCRF et Arcom pour les IA en interaction directe et les contenus de synthèse/hypertrucages ; Arcom pour les textes informatifs d’intérêt public.
- Compétences techniques mutualisées : PEReN et Anssi apportent un socle IA/cyber aux autorités ; coordination et point de contact unique assurés par la DGCCRF (art. 70(2)).
- La DGE coordonne la stratégie, soutient la mise en œuvre et représente la France au Comité européen de l’IA ; contacts opérationnels : reglement-ia@dgccrf.finances.gouv.fr et reglement-ia.dge@finances.gouv.fr.
À retenir
Traduction pour humains pressés : cartographiez vos usages d’IA, vérifiez s’ils relèvent des annexes I/III, mettez en place les mentions de transparence (oui, même les hypertrucages), et nommez un référent conformité qui sait lire les articles 5 et 50 sans bâiller. Gardez les mails de la DGCCRF et de la DGE à portée de clic — c’est moins stressant que d’attendre une visite surprise. Et suivez le vote au Parlement : spoiler, mieux vaut être prêt avant que votre IA ne découvre la réglementation… à vos dépens.
Sources
