L'essentiel en 30 secondes
- La France a désigné plusieurs autorités nationales compétentes pour appliquer le Règlement (UE) 2024/1689
- La CNIL est l'autorité chef de file pour les systèmes IA à haut risque liés aux données personnelles
- L'ANSSI intervient sur les dimensions cybersécurité des systèmes IA
- La DGCCRF surveille la protection des consommateurs face aux systèmes IA
- Les PME doivent identifier quelle autorité est compétente pour leurs systèmes avant d'engager une démarche de conformité
L'Article 70 du Règlement (UE) 2024/1689 impose à chaque État membre de désigner une ou plusieurs autorités nationales compétentes pour superviser l'application de l'AI Act sur son territoire. En France, la réponse à cette obligation passe par un dispositif multi-autorités, où la compétence s'articule selon le secteur d'activité et le type de risque. Pour une PME qui cherche à se conformer, identifier la bonne porte d'entrée est la première étape indispensable.
1. Introduction aux autorités AI Act en France
Le Règlement (UE) 2024/1689 organise la gouvernance nationale de l'IA autour de deux fonctions distinctes.
L'autorité de surveillance nationale. Chaque État membre désigne une autorité qui coordonne la mise en œuvre du règlement, coopère avec la Commission européenne et les autorités des autres États membres, et publie les rapports nationaux requis par le texte. Cette autorité est le point de contact principal avec le Bureau européen de l'IA, créé au sein de la Commission.
Les autorités d'approbation sectorielles. Pour certaines catégories de systèmes à haut risque, des autorités sectorielles compétentes exercent le contrôle de conformité selon leurs domaines d'expertise. En France, plusieurs autorités administratives indépendantes et directions ministérielles se partagent ce rôle.
L'entrée en vigueur des dispositions sur les systèmes à haut risque au 2 août 2026 a conduit les pouvoirs publics français à structurer ce dispositif. Le droit national d'implémentation précise les compétences respectives de chaque autorité.
Pour comprendre ce que recouvre la notion de système à haut risque, consultez notre glossaire AI Act.
2. La CNIL : autorité chef de file pour l'IA et les données personnelles
La Commission Nationale de l'Informatique et des Libertés (CNIL) est, en France, l'autorité naturellement compétente pour les systèmes d'IA qui traitent des données personnelles. Cette compétence découle directement de son rôle d'autorité de contrôle RGPD, et l'AI Act la renforce.
Périmètre de compétence. La CNIL intervient sur tous les systèmes d'IA à haut risque dont le fonctionnement repose sur le traitement de données à caractère personnel : systèmes de recrutement, de scoring de crédit, d'analyse comportementale, de reconnaissance faciale, de profilage. Pour les PME, cela couvre la grande majorité des usages IA susceptibles d'être classés à haut risque.
Missions concrètes. La CNIL publie des lignes directrices sur l'IA, reçoit les plaintes des personnes concernées, réalise des contrôles auprès des responsables de traitement, et peut imposer des sanctions. Elle coopère avec le Bureau européen de l'IA pour les affaires transfrontalières.
Outils disponibles. La CNIL met à disposition des entreprises des guides pratiques, des modèles de registre de traitement et des formulaires de notification d'AIPD sur cnil.fr. Ces ressources sont accessibles gratuitement et directement exploitables par les PME.
| Autorité | Domaine de compétence AI Act | Contact |
|---|---|---|
| CNIL | IA + données personnelles, recrutement, scoring | cnil.fr |
| ANSSI | Cybersécurité des systèmes IA, infrastructure critique | ssi.gouv.fr |
| DGCCRF | Protection des consommateurs, IA commerciale | economie.gouv.fr |
| ARS / HAS | IA en santé et dispositifs médicaux | has-sante.fr |
| DARES / DGT | IA dans l'emploi et les relations de travail | travail-emploi.gouv.fr |
3. Systèmes d'IA à haut risque : qui contrôle quoi ?
L'Annexe III du Règlement (UE) 2024/1689 liste huit catégories de systèmes à haut risque. En France, chaque catégorie relève d'une ou plusieurs autorités.
Emploi et ressources humaines. Les systèmes IA utilisés dans le recrutement, l'évaluation des performances, la promotion ou la résiliation des contrats relèvent de la CNIL (données personnelles) et de la Direction Générale du Travail (DGT) pour les aspects droit du travail.
Santé. Les dispositifs médicaux intégrant une composante IA sont régulés par l'Agence Nationale de Sécurité du Médicament (ANSM) pour l'homologation et par la Haute Autorité de Santé (HAS) pour les recommandations cliniques. La CNIL intervient dès que des données de santé sont traitées.
Infrastructure critique. Les systèmes IA utilisés dans la gestion de réseaux d'eau, d'énergie, de transport ou de communications numériques relèvent de l'ANSSI pour leur dimension cybersécurité.
Services financiers. La Banque de France, l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) et l'Autorité des Marchés Financiers (AMF) exercent leur compétence sectorielle sur les systèmes IA utilisés dans le crédit, l'assurance et les marchés financiers.
Protection des consommateurs. La DGCCRF surveille les systèmes IA susceptibles de tromper les consommateurs, notamment les systèmes de recommandation, de tarification dynamique et les chatbots commerciaux.
Pour les PME, identifier la bonne autorité est essentiel avant d'entamer toute démarche formelle. Notre guide AI Act pour PME françaises propose une matrice de compétences simplifiée.
4. Systèmes d'IA à risque limité : obligations déclaratives
Les systèmes à risque limité — chatbots, deepfakes à usage commercial, systèmes de recommandation — ne font pas l'objet d'une autorisation préalable. En revanche, des obligations de transparence s'appliquent directement.
Obligations de transparence. L'Article 50 du Règlement (UE) 2024/1689 impose que les utilisateurs soient informés lorsqu'ils interagissent avec un système IA générant du contenu (texte, image, audio) ou avec un chatbot, sauf si le contexte l'évidence.
Autorité compétente. Pour les systèmes à risque limité, la CNIL est l'autorité de facto lorsque des données personnelles sont traitées. Pour les usages purement commerciaux sans données personnelles, la DGCCRF peut intervenir sur les aspects de loyauté commerciale.
Registre européen. Certaines catégories de systèmes à haut risque font l'objet d'un enregistrement obligatoire dans la base de données européenne gérée par la Commission (Article 71 du Règlement (UE) 2024/1689). Les PME déployant ces systèmes doivent vérifier si leur système entre dans le périmètre de cet enregistrement.
Des exemples pratiques par type de système sont disponibles dans nos sources réglementaires.
Identifiez votre autorité compétente et vos obligations
Regulia mappe vos systèmes IA, identifie les autorités compétentes et prépare vos démarches déclaratives. Résultat en 2 semaines.
Obtenir une cartographie réglementaire5. Le rôle de l'ANSSI sur les systèmes d'IA
L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) exerce une compétence spécifique sur les systèmes d'IA utilisés dans des contextes de cybersécurité ou d'infrastructure critique.
Périmètre. L'ANSSI intervient sur les systèmes IA qui pilotent des infrastructures critiques, détectent des cyberattaques, ou sont intégrés dans des équipements soumis à qualification de sécurité. Elle publie des référentiels de sécurité auxquels les systèmes IA doivent se conformer dans ces contextes.
Obligations pratiques pour les PME. Une PME qui développe ou déploie un système IA dans un environnement d'opérateur d'importance vitale (OIV) ou d'opérateur de services essentiels (OSE) doit se référer aux guides ANSSI. Ces guides intègrent désormais les exigences du Règlement (UE) 2024/1689 en matière de robustesse et de cybersécurité des systèmes IA.
Systèmes IA internes. Pour les PME qui utilisent des systèmes IA à usage interne et sans exposition critique, l'ANSSI n'est généralement pas l'autorité compétente au titre de l'AI Act. La CNIL reste l'interlocuteur principal dès lors que des données personnelles sont traitées.
6. Systèmes d'IA expérimentaux et nouveaux usages
Le Règlement (UE) 2024/1689 prévoit un mécanisme pour les systèmes IA dont la classification n'est pas immédiatement évidente : les bacs à sable réglementaires (regulatory sandboxes), définis à l'Article 57.
Bacs à sable réglementaires. Les États membres doivent mettre en place des sandboxes permettant à des entreprises innovantes de tester leurs systèmes IA dans un cadre juridique sécurisé, sous la supervision d'une autorité compétente. En France, la CNIL a déjà développé une expérience dans ce domaine via son programme « bac à sable » RGPD.
Accès prioritaire pour les PME. L'Article 62 du Règlement (UE) 2024/1689 garantit aux PME et startups un accès prioritaire aux sandboxes. C'est une opportunité concrète pour les entreprises qui développent des systèmes innovants de tester leur conformité sans risque de sanction immédiate.
Procédure. Pour accéder à un bac à sable, une PME doit présenter une demande à l'autorité compétente (généralement la CNIL pour les usages les plus courants), décrire le système et son périmètre de test, et s'engager à respecter les conditions fixées par l'autorité.
7. Processus d'approbation et calendrier des sanctions
Le contrôle de conformité par les autorités nationales suit un processus structuré.
Contrôles a posteriori. Contrairement à certaines idées reçues, l'AI Act ne crée pas un régime d'autorisation préalable systématique pour les systèmes à haut risque. Les autorités exercent un contrôle a posteriori — après déploiement — basé sur la surveillance du marché, les plaintes des personnes concernées et les contrôles sur place.
Exception : systèmes à haut risque en annexe II. Les systèmes IA intégrés dans des produits régulés par les directives européennes listées à l'Annexe II (dispositifs médicaux, machines, équipements radio, etc.) font l'objet d'une évaluation de conformité préalable obligatoire, souvent par un organisme notifié.
Délais et sanctions. Les autorités disposent de pouvoirs d'injonction et de sanction. L'Article 99 du Règlement (UE) 2024/1689 prévoit des amendes graduées selon la gravité de la violation. Les délais d'instruction varient selon la complexité du dossier et la nature du manquement.
| Type de violation | Plafond d'amende | Autorité compétente (ex.) |
|---|---|---|
| Système interdit utilisé | 35 M€ ou 7 % CA mondial | CNIL, autorité sectorielle |
| Manquement obligations haut risque | 15 M€ ou 3 % CA mondial | CNIL, ANSSI, DGCCRF |
| Informations incorrectes aux autorités | 7,5 M€ ou 1,5 % CA mondial | Autorité ayant demandé l'info |
Notre guide sur les amendes AI Act pour les PME détaille les barèmes et les facteurs d'atténuation.
8. Impact concret sur les PME françaises
Pour les PME, le morcellement des autorités crée un défi pratique : identifier le bon interlocuteur avant d'engager des démarches.
Règle simple pour 80 % des cas. Si votre système IA traite des données personnelles, votre interlocuteur principal est la CNIL. Son site cnil.fr centralise les ressources et les points de contact.
Pour les systèmes sans données personnelles. Identifiez le secteur d'activité concerné et l'autorité sectorielle correspondante. La DGCCRF intervient sur les usages commerciaux ; l'ANSSI sur les contextes de cybersécurité ; les autorités sectorielles (ANSM, AMF, etc.) sur leurs domaines propres.
Budget de conformité. La mise en conformité d'un système à haut risque implique des coûts : audit technique, conseil juridique, documentation, formation. Les estimations sectorielles situent ces coûts entre 5 000 € et 20 000 € pour une PME selon la complexité du système. L'AI Act Service Desk propose des ressources gratuites pour réduire ces coûts.
Ressources disponibles. Notre guide AI Act PME propose une matrice d'identification des autorités compétentes par secteur. Retrouvez également les textes officiels dans notre page sources.
9. Recommandations pratiques
La mise en conformité avec le volet « autorités compétentes » de l'AI Act suit trois priorités.
Priorité 1 : identifier vos systèmes IA et leur niveau de risque. Aucune démarche auprès d'une autorité n'est possible sans avoir préalablement classé vos systèmes. Utilisez l'outil d'auto-évaluation disponible sur artificialintelligenceact.eu comme première étape.
Priorité 2 : déterminer l'autorité compétente pour chaque système. Pour la grande majorité des PME françaises, c'est la CNIL. Pour les contextes spécifiques (santé, finance, infrastructure critique), l'autorité sectorielle est le bon interlocuteur.
Priorité 3 : documenter et déclarer. Constituez votre dossier de conformité avant tout contrôle. Si votre système relève du registre européen (Article 71 du Règlement (UE) 2024/1689), effectuez l'enregistrement. Si vous bénéficiez d'une exemption, documentez l'analyse qui justifie cette qualification.
FAQ
Quelle autorité doit approuver mes systèmes d'IA à haut risque ?
Il n'existe pas d'autorisation préalable systématique pour la plupart des systèmes à haut risque. Le contrôle s'exerce a posteriori. En France, la CNIL est l'autorité principale pour les systèmes traitant des données personnelles. Pour les systèmes relevant de secteurs régulés (santé, finance, infrastructure critique), l'autorité sectorielle compétente est votre interlocuteur. Consultez notre guide AI Act PME pour une matrice détaillée.
Dois-je m'inscrire sur un registre si je n'ai pas de système à haut risque ?
L'enregistrement sur le registre européen (Article 71 du Règlement (UE) 2024/1689) est obligatoire uniquement pour certaines catégories de systèmes à haut risque. Pour les systèmes à risque limité, des obligations de transparence s'appliquent sans enregistrement formel. Pour les systèmes à risque minimal, aucune obligation déclarative n'est prévue. Vérifiez votre catégorie dans notre glossaire.
Quelles sont les sanctions en cas de non-conformité pour une PME ?
Les sanctions varient selon la gravité : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les infractions les plus graves, 15 millions ou 3 % du CA pour les manquements aux obligations des systèmes à haut risque. Les autorités tiennent compte de la taille de l'entreprise. Notre guide amendes AI Act présente des simulations concrètes.
Comment savoir si mon système d'IA est à « risque faible » ?
Un système est à risque minimal s'il ne relève d'aucune des catégories des Annexes I et III du Règlement (UE) 2024/1689 et ne présente pas de risque significatif pour les droits fondamentaux. Exemples : outils de productivité bureautique, filtres anti-spam, correcteurs orthographiques, outils internes de classification documentaire sans impact décisionnel sur des personnes.
Où puis-je trouver de l'aide pour la mise en conformité ?
L'AI Act Service Desk de la Commission européenne offre un accompagnement gratuit. La CNIL propose des ressources en français sur cnil.fr. L'AI Act Service Desk publie également des guides sectoriels régulièrement mis à jour. Des cabinets spécialisés comme Regulia accompagnent les PME dans leurs démarches de conformité.
Sources officielles
- AI Act Service Desk — Commission européenne
- Règlement (UE) 2024/1689 — EUR-Lex
- artificialintelligenceact.eu — guide pratique
Identifiez vos obligations et vos interlocuteurs réglementaires
Regulia cartographie vos systèmes IA, identifie les autorités compétentes en France et prépare vos dossiers de conformité pour chaque périmètre réglementaire.
Démarrer avec ReguliaAvertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique.