Le contrôle de l'intelligence artificielle en France se précise, avec la désignation officielle des autorités compétentes. Douze organismes se partagent désormais la surveillance du règlement européen sur l'IA.
Le règlement européen sur l'intelligence artificielle est entré en application ces dernières semaines, avec une architecture administrative française toujours assez complexe. Précisé au public le mardi 9 septembre 2025, le texte officiel détaille la répartition des responsabilités entre douze autorités différentes. L'organisation promet d'encadrer les systèmes IA à haut risque, tout en interdisant les plus pratiques les plus dangereuses.
CNIL, Arcom et DGCCRF sont les nouveaux shérifs de l'intelligence artificielle
Les pratiques les plus dangereuses de l'intelligence artificielle ont désormais leurs surveillants attitrés. La DGCCRF (la célèbre « Répression des fraudes » et l'Arcom (le gendarme de l'audiovisuel et du numérique) s'attaquent désormais conjointement aux systèmes manipulateurs, ceux qui exploitent les techniques subliminales ou trompeuses. Les deux autorités veillent aussi à protéger les populations vulnérables, notamment les personnes en situation de handicap ou de précarité économique.
La CNIL, la Commission nationale de l'informatique et des libertés, récupère un portefeuille particulièrement sensible, avec la surveillance de la notation sociale et de la police prédictive. L'autorité de protection des données personnelles devient également gardienne des bases de données de reconnaissance faciale créées par scraping sauvage. Une responsabilité de taille, dans un contexte où les dérives biométriques inquiètent de plus en plus.
L'inférence des émotions au travail et dans l'enseignement tombe aussi sous le contrôle de la CNIL. Cette pratique, qui consiste à analyser les états émotionnels des salariés ou des élèves, rejoint d'ailleurs la catégorie des utilisations interdites. La décision reflète une volonté de préserver l'intimité psychologique dans les espaces professionnels et éducatifs.
La surveillance IA française se répartit selon les compétences
Les systèmes d'intelligence artificielle à haut risque bénéficient, eux, d'un traitement spécialisé selon leur domaine d'application. L'État a choisi l'ACPR (l'Autorité de contrôle prudentiel et de résolution) pour superviser les algorithmes bancaires et d'assurance, tandis que les Hauts fonctionnaires de défense surveillent les infrastructures critiques. Il semblerait que cette répartition sectorielle vise à s'appuyer sur l'expertise métier de chaque autorité, plutôt que de créer une administration généraliste.
La DGCCRF, toujours elle, endosse le rôle de chef d'orchestre en devenant point de contact unique pour l'ensemble du dispositif. Cette centralisation permet une coordination efficace entre les différentes autorités tout en maintenant leurs spécialisations respectives. Un choix pragmatique qui évite les doublons administratifs et clarifie les responsabilités de chacun. La Direction générale des entreprises (DGE) joue un rôle de soutien de mise en œuvre du texte pour la France.
La Cour de cassation, le Conseil d'État et la Cour des comptes gèrent les systèmes d’IA mis en service ou utilisés par les autorités judiciaires à des fins d’administration de la justice. Enfin, le Pôle d'expertise de la régulation numérique (PEReN) et l'ANSSI (l'autorité cyber) apportent leur soutien technique transversal à toutes les autorités. Cette mutualisation des compétences en cybersécurité et intelligence artificielle constitue l'épine dorsale technologique du dispositif. Une approche collaborative qui permettra, espérons-le, de faire face à la complexité technique croissante des systèmes d'IA modernes.
