Article réservé aux abonnés Archimag.com

Règlement européen sur l’IA : un jeu de l’oie réglementaire ?

Le

  • reglement-europeen-sur-intelligence-artificielle-jeu-oie-reglementaire.jpg

    reglement-europeen-intelligence-artificielle-explications-alessandron-fiorentino
    La mise en œuvre du RIA en France illustre les tensions entre régulation et innovation, entre spécialisation et coordination, entre ambition européenne et réalités nationales. (DC Studio/Freepik)
    • Le Règlement européen sur l’intelligence artificielle, qui impose depuis un an un cadre de régulation inédit des technologies numériques, prévoyait la désignation d’une autorité nationale compétente pour endosser le rôle d’autorité de surveillance du marché. Le 9 septembre dernier, la France a dévoilé une gouvernance éclatée entre multiples autorités, soulevant des enjeux de lisibilité, de coordination et d’efficacité.

    archimag_388_couv_bd.jpgenlightened RETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE MAGAZINE : CONSTRUIRE ET ENTRETENIR SON STORYTELLING AVEC LES ARCHIVES

    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    En application depuis août 2024, le Règlement européen sur l’intelligence artificielle (RIA) constitue une avancée majeure dans la régulation des technologies numériques. Il vise à encadrer les usages de l’IA selon leur niveau de risque tout en garantissant la protection des droits fondamentaux et la sécurité des citoyens.

    Le calendrier prévoyait la nomination, le 2 août 2025, d’une autorité nationale compétente dans chaque pays membre de l’Union européenne. Le projet français de désignation des autorités, publié le 9 septembre 2025, repose sur une architecture administrative complexe, fondée sur une désignation plurielle d’autorités nationales compétentes, chacune chargée d’un pan spécifique du dispositif. Ce choix, qui privilégie la spécialisation sectorielle, soulève des enjeux de coordination, de lisibilité et d’efficacité, pour un texte qu’aucun juriste ne peut qualifier de simple.

    La DGCCRF comme autorité de surveillance du marché

    Alors que la Cnil (Commission nationale de l’informatique et des libertés) travaille sur le sujet depuis mai 2023, publie des fiches de bonnes pratiques et a déjà ouvert un service dédié pour analyser les différents cas d’usage et les différentes menaces que cette nouvelle technologie pourrait engendrer, le couperet est tombé : c’est finalement la direction générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF) qui est, à l’heure où nous écrivons ces lignes, pressentie pour jouer le rôle d’autorité de surveillance du marché, en assurant le contrôle des systèmes IA mis en circulation et en coordonnant les actions des autres régulateurs.

    La direction générale des Entreprises (DGE), quant à elle, serait chargée de la coordination stratégique, notamment dans le cadre des échanges avec les instances européennes. L’Agence nationale de la sécurité des systèmes d’information (Anssi) interviendrait sur les aspects liés à la cybersécurité des systèmes IA, en particulier ceux intégrés à des infrastructures critiques. Le pôle d’expertise de la régulation numérique (PEReN) apporterait une expertise technique transversale, notamment pour l’évaluation des algorithmes et la conformité des systèmes à haut risque.

    La Cnil et l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) seraient mobilisées selon les cas d’usage, notamment pour les systèmes impliquant des données personnelles ou des contenus audiovisuels.

    Lire aussi : L’Europe des données : tour d’horizon réglementaire en 2025

    Complexité administrative

    Ce modèle, bien que pertinent sur le plan technique, aurait très bien pu être généré par un "prompt" issu d’une myriade de réunions où chacun serait venu prêcher pour sa paroisse. Surtout, il engendre une complexité administrative notable : en effet, nous ne sommes pas à l’abri que cette multiplicité de régulateurs entraîne des chevauchements de compétences, des délais de traitement allongés et une incertitude juridique pour les opérateurs économiques.

    Des zones grises sont particulièrement visibles dans certains secteurs sensibles. En matière de biométrie, par exemple, la Cnil serait apparemment compétente pour encadrer les usages interdits, tels que l’identification biométrique en temps réel dans les espaces publics. Nous pouvons imaginer qu’attribuer cette compétence, qui devrait se traduire par « ne rien faire » (vu que ces usages sont interdits), a dû être appréciée au sein de la Cnil. Les usages autorisés, mais à haut risque, comme la reconnaissance faciale dans les aéroports ou les établissements scolaires, relèvent quant à eux d’une surveillance partagée, sans qu’un guichet unique soit clairement identifié.

    Les infrastructures critiques, telles que les réseaux énergétiques ou les systèmes de transport, posent également des défis de gouvernance : l’Anssi intervient sur les aspects de sécurité informatique, mais les hauts fonctionnaires de défense et de sécurité (HFDS) peuvent aussi être impliqués, notamment pour les dispositifs relevant de la Défense nationale. Enfin, les équipements sous pression ou les appareils à gaz intégrant de l’IA, comme certains systèmes industriels automatisés, relèvent de la direction générale de la Prévention des risques (DGPR), ce qui ajoute une couche supplémentaire de complexité.

    Au-delà de la gouvernance, le RIA introduit une approche par niveau de risque qui impose des obligations croissantes aux fournisseurs et utilisateurs de systèmes IA. Les pratiques interdites, telles que la manipulation cognitive, la notation sociale ou l’inférence émotionnelle dans les contextes professionnels et éducatifs, sont proscrites sans exception. Les systèmes à haut risque, comme ceux utilisés dans les domaines de la santé, de l’éducation, de la justice ou de la sécurité, doivent respecter des exigences strictes en matière de transparence, de traçabilité, de robustesse et de supervision humaine. Les systèmes à risque minimal ne sont, quant à eux, pas soumis à des obligations contraignantes, mais peuvent adopter des codes de conduite volontaires.

    Lire aussi : RGPD, AI Act, Data Act : l’Europe consulte sur la simplification des règlements numériques

    Les enjeux de ce cadre réglementaire

    Ce cadre réglementaire soulève plusieurs enjeux :

    • d’un point de vue juridique, il impose aux entreprises une vigilance accrue dans la classification de leurs systèmes et dans la documentation de leur conformité,
    • d’un point de vue économique, ce règlement est très critiqué, vu comme un frein à l’innovation, notamment pour les start-up et les PME, qui disposent de ressources limitées pour se conformer à des exigences techniques et administratives complexes. Pour beaucoup, ce texte ne peut concerner que les grands groupes au regard de la charge de travail qu’il nécessite, mais ce n’est malheureusement pas le cas. Les défenseurs de la souveraineté numérique soulignent, quant à eux, qu’au vu de la complexité du texte et de la gouvernance, qui se profile, "les Américains n’ont pas de souci à se faire. La France se saborde très bien elle-même".
    • d’un point de vue sociétal, le règlement vise à instaurer une IA de confiance, respectueuse des droits fondamentaux et des valeurs démocratiques. Toutefois, cet objectif ne pourra être atteint que si les autorités nationales parviennent à coopérer efficacement, à mutualiser leurs expertises et à offrir aux acteurs économiques une lisibilité claire du dispositif.

    La mise en œuvre du RIA en France illustre les tensions entre régulation et innovation, entre spécialisation et coordination, entre ambition européenne et réalités nationales. Le succès de ce cadre dépendra de la capacité des autorités à dépasser les cloisonnements administratifs, à simplifier les procédures et à accompagner les acteurs dans leur transition vers une intelligence artificielle éthique, sécurisée et compétitive.

    Se mettre en mouvement rapidement

    De manière pratico-pratique, les organismes publics, comme privés, doivent se mettre en mouvement rapidement, car l’intelligence artificielle s’est déjà invitée dans leurs différentes directions et services. Plus le temps passe et plus les usages se multiplient. Il convient donc, dans un premier temps, de cartographier l’ensemble des cas d’usages de l’IA dans l’organisation, puis d’évaluer les bénéfices et les risques de ces derniers afin de rationaliser autant que possible la mise en conformité qui en découlera.

    Une fois que les organisations pourront répondre aux questions "comment et pourquoi l’IA est-elle utilisée chez nous ?", elles pourront ensuite initier le fameux registre des systèmes d’intelligence artificielle, le recensement des modèles utilisés et assurer leur conformité en fonction du rôle endossé par l’organisme et du niveau de risque pour les droits fondamentaux et la sécurité des citoyens.

    Alessandro Fiorentino
    [Product owner chez Adequacy, expert en data privacy et conformité réglementaire]

    0 Commentaire
    Intelligence artificielle
    Cnil
    Protection des données
    Union européenne
    Europe
    règlementation
    droit
    Cybersécurité
    À lire sur Archimag
    Les podcasts d'Archimag
    Êtes-vous prêt pour la réforme de la facturation électronique ? À moins de 460 jours du grand lancement, l’écosystème se prépare activement. Lors de la Journée de la Facturation Électronique qui s'est tenue le 13 mai dernier à Paris, Archimag Podcast est allé à la rencontre des acteurs incontournables de cette réforme : les Plateformes de dématérialisation partenaires, ou PDP. Ensemble, nous avons parlé de leur rôle, de leurs spécificités, de leur modèle économique et de leur secret de longévité. Dans cet épisode, nous vous dévoilons qui sont ces acteurs et ce qu'ils préparent pour accompagner la réforme.
    Lire la suite...