Le nouveau règlement européen sur l’intelligence artificielle, l’AI Act, redéfinit en profondeur les obligations des entreprises opérant dans ce domaine. Il ne se limite pas à une liste de règles : il instaure une structure de gouvernance claire et ambitieuse, articulée entre les institutions européennes et les États membres. Comprendre ce cadre est essentiel pour toute organisation qui conçoit, déploie ou utilise des systèmes d’IA.
Cet article décrypte les différents niveaux de gouvernance prévus par l’AI Act, les rôles respectifs des autorités européennes et nationales, ainsi que les échéances de mise en conformité à respecter.
Une gouvernance en deux niveaux pour l’AI Act
Le rôle de l’Union européenne dans l’impulsion stratégique
L’architecture de l’AI Act repose sur un mécanisme de gouvernance à double détente : le niveau européen fixe la stratégie, établit les garde-fous techniques et coordonne l’échange d’informations.
Le Bureau européen de l’IA, le Conseil européen de l’IA et leurs instances consultatives constituent la colonne vertébrale de ce dispositif. Ces organes sont responsables de l’élaboration des actes délégués, de la cohérence des pratiques, et de la surveillance des modèles d’IA à usage général.
Les États membres au cœur de la mise en œuvre locale
Chaque État membre est chargé de mettre en œuvre ces exigences via des autorités nationales spécialisées. Cela comprend les autorités de notification, de surveillance du marché, et celles chargées de la protection des droits fondamentaux.
Ce dialogue permanent entre le niveau européen et les autorités nationales garantit une application harmonisée du règlement tout en laissant aux États la latitude nécessaire pour adapter les contrôles aux réalités du terrain.
Les autorités européennes chargées de la conformité à l’IA Act
Bureau européen de l’IA (article 64)
Opérationnel depuis le 21 février 2024, ce hub central rédige les actes délégués, administre la future base de données européenne et supervise l’application du règlement, en particulier pour les modèles d’IA à usage général.
Conseil européen de l’intelligence artificielle (articles 65 & 66)
À compter du 2 août 2025, ce réseau réunira un représentant unique de chaque État membre ; la Commission convoquera sa première réunion à cette date.
Forum consultatif (article 67)
Instance multistakeholders, il regroupera des parties prenantes commerciales et non commerciales afin d’apporter une expertise supplémentaire aux autres organes.
Groupe scientifique d’experts indépendants (article 68)
Composé d’experts indépendants en intelligence artificielle, il fournira des avis techniques au Bureau européen de l’IA et au Conseil européen de l’IA.
Les autorités nationales : pilier de l’application du règlement de l’IA
Autorités nationales compétentes et point de contact unique (article 70)
Chaque État membre doit désigner, d’ici au 2 août 2025, au moins une autorité de notification et au moins une autorité de surveillance du marché. L’une d’elles – par défaut l’autorité de surveillance du marché – assure la fonction de point de contact unique avec la Commission et les autres États membres.
Autorités de surveillance du marché (article 74)
Ces autorités, à constituer ou à habiliter avant le 2 août 2025, mèneront les enquêtes, pourront ordonner le retrait ou la mise à jour de systèmes d’IA non conformes et infliger des amendes, conformément aux règles européennes de surveillance du marché.
Autorités de notification (article 28)
Organe public (ministère ou organisme d’accréditation) chargé d’évaluer, de désigner et de surveiller les futurs organismes notifiés. Au moins une doit être opérationnelle dans chaque État membre avant le 2 août 2025.
Organismes notifiés (articles 29 à 38)
Indépendants des pouvoirs publics, ces organismes, désignés via la procédure de notification, délivreront les certificats de conformité pour les systèmes à haut risque. Les premières désignations sont attendues fin 2025 ou début 2026, afin que les certificats soient disponibles avant l’échéance technique du 2 août 2026.
Autorités de protection des droits fondamentaux (article 77)
Comme les incidents liés à l’IA peuvent enfreindre les règles sur la vie privée, l’égalité ou le droit du travail, chaque pays doit identifier et publier la liste des organismes responsables de la protection de ces droits. La date limite était le 2 novembre 2024 – bien avant l’échéance de gouvernance principale de 2025. À ce jour cependant, deux États membres – la Hongrie et l’Italie – ne l’ont toujours pas désigné.
En France, trois autorités chargées de la protection des droits fondamentaux sont designées: la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), la Commission nationale de l’informatique et des libertés (CNIL) et le Défenseur des Droits. En revanche, certains États membres n’ont désigné qu’une seule autorité, comme la Lettonie, tandis que d’autres en ont désigné un nombre beaucoup plus élevé, comme l’Irlande avec 9 autorités et le Portugal avec 14.
Cas particuliers : les institutions de l’Union européenne
Pour les systèmes d’IA mis en service ou utilisés directement par les institutions, organes ou organismes de l’Union, toute référence aux autorités nationales compétentes ou aux autorités de surveillance du marché doit être comprise comme visant le Contrôleur européen de la protection des données (EDPS).
Calendrier de mise en conformité à l’AI Act : les échéances à retenir
Ces échéances échelonnées impliquent que, même si le Bureau européen de l’IA est déjà en place, les États membres disposent d’un peu plus d’un an (jusqu’au 2 août 2025) pour construire l’ensemble de leur dispositif national d’application : régulateurs, autorités de notification et organes de surveillance du marché.
Ils avaient toutefois un délai légèrement plus court (jusqu’en novembre 2024) pour désigner les organismes chargés de la protection des droits fondamentaux dans les contextes liés à l’IA. À ce jour, deux États membres – la Hongrie et l’Italie – ne l’ont toujours pas fait.
La liste des autorités communiquées par les États membres à la Commission européenne figure sur le site dédié : Gouvernance et application de la législation sur l’IA | Bâtir l’avenir numérique de l’Europe.
L’IA Act introduit une gouvernance à plusieurs étages qui structure la conformité à l’échelle européenne et nationale. Pour les entreprises, il est essentiel d’anticiper dès maintenant la mise en œuvre des contrôles et des certifications à venir, afin de s’assurer que leurs systèmes seront conformes dès les premières échéances.
Vous souhaitez en savoir plus ? Découvrez nos solutions de conformité IA