Le règlement européen sur l’intelligence artificielle, plus connu sous le nom d’AI Act, construit une véritable architecture de gouvernance articulée entre un niveau européen de coordination et un niveau national d’exécution.
Le but est d’assurer la cohérence des pratiques et l’échange de savoir-faire entre les États membres de l’Union européenne. Chaque niveau dispose de ses propres institutions et domaines d’action. Examinons-les ainsi que les points de collaboration et de convergence.
Le niveau européen : axe stratégique et pilier de la cohérence d’ensemble
Au sommet du dispositif, le Bureau européen de l’IA, rattaché à la Commission européenne, joue un rôle moteur. Opérationnel depuis février 2024, il rédige les actes délégués nécessaires à la mise en œuvre du règlement, administre la base de données des systèmes d’IA à haut risque et supervise les modèles dits « à usage général » (GPAI). Il agit en quelque sorte comme un régulateur européen central, garant de la cohérence technique et juridique du dispositif.
À ses côtés, le Comité européen de l’IA, dont la première réunion se tiendra le 2 août 2025, réunit un représentant par État membre. Sa mission : favoriser la coordination entre les autorités nationales, partager les bonnes pratiques, élaborer des orientations communes et soutenir la Commission dans l’interprétation du texte.
Deux organes consultatifs complètent cette architecture : le Forum consultatif, qui rassemble des acteurs issus du monde économique, académique et de la société civile, et le Groupe scientifique indépendant, composé d’experts reconnus qui fournissent des analyses techniques sur les modèles et systèmes d’IA.
Enfin, lorsque l’IA est utilisée directement par les institutions européennes, la supervision revient au Contrôleur européen de la protection des données (CEPD), qui agit en tant qu’autorité compétente. Ce niveau européen définit ainsi le cadre stratégique et la cohérence d’ensemble, tandis que les États membres assurent la déclinaison opérationnelle sur le terrain.
Les États membres : au cœur de la mise en œuvre locale
Le niveau national est celui de l’action concrète. Chaque État membre doit, d’ici au 2 août 2025, désigner un ensemble d’autorités et d’organismes chargés d’appliquer le règlement sur son territoire.
Les autorités de surveillance du marché vérifieront la conformité des systèmes mis en service, mèneront des enquêtes et pourront ordonner le retrait ou la mise à jour d’un système non conforme. Les autorités notifiantes auront pour mission de désigner et de contrôler les organismes notifiés responsables de la certification des systèmes à haut risque. Enfin, des autorités ou organismes de protection des droits fondamentaux interviendront pour prévenir toute atteinte à la vie privée, à la non-discrimination ou aux libertés publiques. Les attributions de ce type d’autorités n’est pas concrètement définie au sens du règlement : les lois de mise en œuvre de l’AI Act au niveau national vont probablement définir leurs pouvoirs et interactions
Chaque pays doit également disposer d’un point de contact unique assurant la liaison entre les autorités nationales et la Commission européenne afin d’assurer la cohérence des pratiques et l’échange d’informations. Veuillez noter que les Point de Contact Unique désignés sont centralisé et publié par la Commission européenne.
Focus sur la France : une gouvernance en réseau et des expertises partagées
La France a opté pour une approche coordonnée, s’appuyant sur des acteurs déjà expérimentés dans la régulation numérique et la protection des consommateurs :
- Le gouvernement a confié à la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) la coordination nationale du dispositif ainsi que la fonction de point de contact unique (PCU) avec la Commission européenne.
- La Direction générale des entreprises (DGE) assure la mise en œuvre réglementaire de l’AI Act et représente la France au Comité européen de l’IA. Deux structures techniques, l’ANSSI et le PEReN, viennent en appui pour mutualiser les expertises en cybersécurité, évaluation technique et normalisation.
- La CNIL demeure l’autorité de référence pour les questions liées à la protection des données personnelles et collabore étroitement avec les autres acteurs afin de garantir le respect des droits fondamentaux.
En outre, la France a mis en place une gouvernance ‘par type’, où chaque autorité a la responsabilité de surveiller des cas d’usage qui relèvent leur domaine d’expertise.
Les systèmes relevant de l’Annexe I
L’Annexe I couvre les produits soumis à la législation d’harmonisation européenne : dispositifs médicaux, machines, jouets connectés, véhicules autonomes, équipements radioélectriques, etc. Lorsqu’un de ces produits intègre un composant d’IA, cette dernière est automatiquement considérée comme système d’IA à haut risque. En France, le contrôle relève des autorités sectorielles de surveillance du marché, sous la coordination de la DGCCRF.
Les systèmes relevant de l’Annexe III
L’Annexe III regroupe huit grandes catégories d’usages à haut risque, indépendamment du type de produit. Ces usages mobilisent plusieurs autorités françaises selon leur nature :
| Domaine | Exemples de systèmes d’IA | Autorité compétente |
| Biométrie | Reconnaissance faciale, catégorisation biométrique, détection d’émotions | CNIL |
| Infrastructures critiques | Systèmes IA pour la gestion du trafic, de l’énergie ou de l’eau | HFDS des MEFSIN et MATTE |
| Éducation et formation professionnelle | IA pour l’évaluation ou l’orientation d’élèves et étudiants | Éducation : CNIL Formation professionnelle : DGCCRF |
| Emploi, gestion de la main-d’œuvre | Recrutement automatisé, scoring RH | CNIL |
| Accès et droit aux services privés et publics essentiels | Attribution de prêts, assurance, sécurité sociale | Services financiers par des institutions financières : ACPR |
| CNIL | ||
| Répression | Police prédictive, analyse d’images pour sécurité publique | CNIL |
| Contrôles aux frontières | Analyse de risque, détection comportementale | CNIL |
| Administration de la justice | Systèmes d’aide à la décision judiciaire | Mise en service ou utilisés par autorités judiciaires : Conseil d’État, Cour de cassation, Cour des comptes |
| Processus démocratiques | Système de modération ou d’influence électorale | CNIL |
| Arcom |
En outre, certaines pratiques sont strictement interdites (article 5 du règlement), comme par exemple :
- L’utilisation de techniques manipulatoires ou subliminales pour influencer le comportement d’une personne ;
- L’ exploitation des vulnérabilités liées à l’âge ou au handicap ;
- Les systèmes de notation sociale illegale ;
- L’identification biométrique à distance en temps réel à des fins répressives (hors exceptions).
Pour ces cas, la DGCCRF, la CNIL et l’Arcom sont conjointement compétentes, selon la nature du risque : manipulation commerciale (DGCCRF), traitement de données personnelles (CNIL) ou atteinte à l’intégrité de l’information (Arcom).
Exemples nationaux : diversité des modèles de gouvernance
Si la France mise sur la coordination et la spécialisation, d’autres États membres ont adopté des modèles de gouvernance variés selon leur organisation institutionnelle :
- Le Luxembourg prépare un dispositif plus centralisé, fondé sur une loi unique en cours d’adoption, visant à concentrer la supervision au sein d’une autorité principale.
- L’Irlande, de son côté, a choisi un modèle distribué : quinze autorités compétentes ont été désignées, qui seront coordonnées à terme par le National AI Office, appuyé par un comité national de mise en œuvre opérationnel depuis septembre 2025.
- L’Espagne a mis en place une Agence espagnole de supervision de l’IA (AESIA), qui collabore avec l’Agence espagnole de protection des données (AEPD), la Banque d’Espagne, la CNMV et plusieurs autorités régionales spécialisées, notamment pour les questions biométriques et de droits fondamentaux.
Cette diversité traduit la flexibilité laissée aux États membres pour adapter le dispositif à leurs structures administratives, tout en maintenant une cohérence globale grâce au rôle de coordination du Bureau européen de l’IA et du Comité IA.
Calendrier de mise en œuvre de l’AI Act : les dates clés à retenir
- 2 août 2025 : désignation des autorités notifiantes, de surveillance du marché et des points de contact uniques. Cependant, la majorité des Etats membres n’ont encore désigné leurs autorités compétentes.
- Fin 2025 – début 2026 : premières désignations officielles d’organismes notifiés pour la certification des systèmes à haut risque.
- 2 août 2026 : entrée en application complète des obligations pour les systèmes à haut risque prévue par le règlement.
Vers une gouvernance de la confiance
L’AI Act ne se contente pas de définir des obligations : il crée un écosystème institutionnel destiné à encadrer l’innovation tout en garantissant la sécurité, la transparence et le respect des droits fondamentaux.
Pour les entreprises, la clé sera d’anticiper la mise en conformité IA : identifier leurs systèmes concernés, mettre en place les procédures d’évaluation, et instaurer un dialogue précoce avec les autorités nationales compétentes.
Une gouvernance solide, claire et coordonnée à tous les niveaux constitue le socle d’une intelligence artificielle responsable, digne de confiance et compétitive en Europe.
Chez Naaia, nous accompagnons les organisations dans la mise en place d’une gouvernance éthique, flexible et conforme en matière d’intelligence artificielle.
Contactez nos experts pour structurer votre stratégie de conformité IA européenne.