Accueil
Accueil
Envoyer à un ami
Version imprimable
Partager
1. La France vient de présenter son projet de désignation des autorités nationales pour appliquer le règlement européen sur l’IA. Avant d’entrer dans le détail, quel regard portez-vous sur cette architecture réglementaire?
Le projet français publié le 9 septembre 2025 présente une architecture administrative complexe, avec la désignation de plusieurs autorités nationales compétentes, chacune chargée d’un pan spécifique du dispositif. Ce choix, privilégie la spécialisation sectorielle mais soulève des enjeux de coordination, de lisibilité et d’efficacité pour un texte qu’aucun juriste ne peut qualifier de simple.
Bien que pertinent sur le plan technique, le schéma présenté aurait très bien pu être généré par un « prompt » issu des multitudes de réunions où chacun est venu prêcher pour sa paroisse.
Bien que pertinent sur le plan technique, le schéma présenté aurait très bien pu être généré par un « prompt » issu des multitudes de réunions où chacun est venu prêcher pour sa paroisse.
2. Qu’est-ce qui vous a le plus surpris dans ce schéma ?
La première surprise c’est le nombre de régulateurs envisagés.
Le 27 juin 2024, l’ARCOM, la DGCCRF et la CNIL ont signé une convention précisant les modalités de leur coopération pour la mise en œuvre du règlement européen sur les services numériques, afin de protéger les droits des utilisateurs face aux nouvelles règles sur les contenus illicites en ligne.
Nous pouvions donc anticiper une régulation à trois têtes en fonction des situations, mais le schéma proposé présente une quinzaine d’acteurs.
La seconde c’est la place de CNIL qui travaille sur le sujet depuis mai 2023, publie des fiches de bonnes pratiques et a déjà ouvert un service dédié pour analyser les différents cas d’usage et les différentes menaces que cette nouvelle technologie pourrait engendrer. Ils ont un niveau d’expertise technique dont nous n’avons pas la certitude de trouver d’équivalent chez certains régulateurs pressentis.
Le 27 juin 2024, l’ARCOM, la DGCCRF et la CNIL ont signé une convention précisant les modalités de leur coopération pour la mise en œuvre du règlement européen sur les services numériques, afin de protéger les droits des utilisateurs face aux nouvelles règles sur les contenus illicites en ligne.
Nous pouvions donc anticiper une régulation à trois têtes en fonction des situations, mais le schéma proposé présente une quinzaine d’acteurs.
La seconde c’est la place de CNIL qui travaille sur le sujet depuis mai 2023, publie des fiches de bonnes pratiques et a déjà ouvert un service dédié pour analyser les différents cas d’usage et les différentes menaces que cette nouvelle technologie pourrait engendrer. Ils ont un niveau d’expertise technique dont nous n’avons pas la certitude de trouver d’équivalent chez certains régulateurs pressentis.
On parle beaucoup de « labyrinthe administratif ». Selon vous, quel est le principal risque de cette fragmentation entre multiples régulateurs ?
Si ce projet est confirmé, nous ne sommes pas à l’abri que cette multiplicité de régulateurs entraîne des chevauchements de compétences, des délais de traitement allongés et une incertitude juridique pour les opérateurs économiques.
Il y a également des zones grises particulièrement visibles dans certains secteurs sensibles.
En matière de biométrie, par exemple, la CNIL serait apparemment compétente pour encadrer les usages interdits, tels que l’identification biométrique en temps réel dans les espaces publics. Nous pouvons imaginer qu’attribuer cette compétence qui devrait se traduire par « ne rien faire » vu que ces usages sont interdits a dû être appréciée au sein de la CNIL.
Les usages autorisés mais à haut risque, comme la reconnaissance faciale dans les aéroports ou les établissements scolaires, relèvent quant à eux d’une surveillance partagée, sans qu’un guichet unique soit clairement identifié.
Les infrastructures critiques, telles que les réseaux énergétiques ou les systèmes de transport, posent également des défis de gouvernance. L’ANSSI intervient sur les aspects de sécurité informatique, mais les Hauts fonctionnaires de défense et de sécurité (HFDS) peuvent aussi être impliqués, notamment pour les dispositifs relevant de la défense nationale.
Enfin, les équipements sous pression ou les appareils à gaz intégrant de l’IA, comme certains systèmes industriels automatisés, relèvent de la Direction générale de la prévention des risques (DGPR), ce qui ajoute une couche supplémentaire de complexité.
Il y a également des zones grises particulièrement visibles dans certains secteurs sensibles.
En matière de biométrie, par exemple, la CNIL serait apparemment compétente pour encadrer les usages interdits, tels que l’identification biométrique en temps réel dans les espaces publics. Nous pouvons imaginer qu’attribuer cette compétence qui devrait se traduire par « ne rien faire » vu que ces usages sont interdits a dû être appréciée au sein de la CNIL.
Les usages autorisés mais à haut risque, comme la reconnaissance faciale dans les aéroports ou les établissements scolaires, relèvent quant à eux d’une surveillance partagée, sans qu’un guichet unique soit clairement identifié.
Les infrastructures critiques, telles que les réseaux énergétiques ou les systèmes de transport, posent également des défis de gouvernance. L’ANSSI intervient sur les aspects de sécurité informatique, mais les Hauts fonctionnaires de défense et de sécurité (HFDS) peuvent aussi être impliqués, notamment pour les dispositifs relevant de la défense nationale.
Enfin, les équipements sous pression ou les appareils à gaz intégrant de l’IA, comme certains systèmes industriels automatisés, relèvent de la Direction générale de la prévention des risques (DGPR), ce qui ajoute une couche supplémentaire de complexité.
4. Passons maintenant au terrain : celui des entreprises qui devront se conformer. Quels sont les risques que cette complexité freine l’innovation, notamment pour les startups ?
Je ne pense pas que cette complexité freine l’innovation, que ce soit pour les startups ou les autres.
La technologie a toujours évolué plus vite que le droit, le droit s’adaptera. Les fournisseurs d’IA sont souvent des startups c’est vrai, mais nous avons pu constater à plusieurs reprises qu’elles n’ont pas de mal à réaliser des levées de fonds, elles pourront être accompagnées dans la réalisation des formalités attendues.
La technologie a toujours évolué plus vite que le droit, le droit s’adaptera. Les fournisseurs d’IA sont souvent des startups c’est vrai, mais nous avons pu constater à plusieurs reprises qu’elles n’ont pas de mal à réaliser des levées de fonds, elles pourront être accompagnées dans la réalisation des formalités attendues.
5. Votre expertise en data privacy et conformité réglementaire vous place à la croisée de plusieurs textes. Pensez-vous que de nouveaux métiers vont émerger, comme un « Chief AI Compliance Officer » ?
Je pense que beaucoup de dirigeants d’entreprises sont face à une inflation réglementaire depuis quelques années.
Il y a eu le RGPD, le DSA, le DGA, le DMA, maintenant NIS 2, REC, DORA et l’AI Act. Les équipes de compliance des grands groupes absorbent tous ces textes en tirant la langue, mais ils gèrent. En revanche pour les ETI et les grosses PME, quand un DPO est présent le mot « data » dirige automatiquement la règlementation du moment dans son giron.
Je pense que le DPO va se transformer au fur et à mesure en Compliance Officer de la donnée. Les entreprises ne pourront pas ouvrir un poste à chaque nouveau règlement.
Il y a eu le RGPD, le DSA, le DGA, le DMA, maintenant NIS 2, REC, DORA et l’AI Act. Les équipes de compliance des grands groupes absorbent tous ces textes en tirant la langue, mais ils gèrent. En revanche pour les ETI et les grosses PME, quand un DPO est présent le mot « data » dirige automatiquement la règlementation du moment dans son giron.
Je pense que le DPO va se transformer au fur et à mesure en Compliance Officer de la donnée. Les entreprises ne pourront pas ouvrir un poste à chaque nouveau règlement.
La France peut-elle devenir un modèle européen de régulation IA ?
Nous pourrions devenir un modèle si le choix français nous permet effectivement de bénéficier d’expertises sectorielles plus pointues que d’autres états membres. Un pays comme l’Espagne a créé une autorité dédiée, ce choix permettra certainement de diminuer le temps de traitement mais une jeune autorité pourra-t-elle être aussi pertinente que nos différents régulateurs ?
Il nous faudra analyser les différentes décisions prononcées par les différents pays pour être en mesure de répondre à cette question sur des faits.
Il nous faudra analyser les différentes décisions prononcées par les différents pays pour être en mesure de répondre à cette question sur des faits.
Pour finir sur une note plus personnelle : quel conseil donneriez-vous à un dirigeant qui souhaite se mettre en conformité IA ?
De manière pratico-pratique, les organismes privés comme publics doivent se mettre en mouvement rapidement, l’intelligence artificielle s’est déjà invitée dans les différentes directions et services de l’organisme. Plus le temps passe et plus les usages se multiplient.
Il convient donc dans un premier temps de cartographier l’ensemble des cas d’usages de l’IA dans l’organisme, d’évaluer les bénéfices et les risques de ces derniers afin de rationaliser autant que possible la mise en conformité qui en découlera. Une fois que les organismes pourront répondre aux questions : Comment et pourquoi l’IA est-elle utilisée chez nous ? Ils pourront ensuite initier le « Registre des Système d’Intelligence Artificielle », le recensement des modèles utilisés et assurer leur conformité en fonction du rôle endossé par l’organisme et du niveau de risque pour les droits fondamentaux et la sécurité des citoyens.
Il convient donc dans un premier temps de cartographier l’ensemble des cas d’usages de l’IA dans l’organisme, d’évaluer les bénéfices et les risques de ces derniers afin de rationaliser autant que possible la mise en conformité qui en découlera. Une fois que les organismes pourront répondre aux questions : Comment et pourquoi l’IA est-elle utilisée chez nous ? Ils pourront ensuite initier le « Registre des Système d’Intelligence Artificielle », le recensement des modèles utilisés et assurer leur conformité en fonction du rôle endossé par l’organisme et du niveau de risque pour les droits fondamentaux et la sécurité des citoyens.
A propos d'Alessandro Fiorentino
Alessandro FIORENTINO est Product Owner de la plateforme ADEQUACY et Vice Président de l'association Privacy Tech. Il a débuté sa carrière en tant qu'analyste programmeur, il a par la suite assumé la fonction d'architecte des systèmes d'information au sein d'un grand groupe de courtiers en gestion de patrimoine.
Nommé "Ambassadeur du Privacy by Design", le 22 mai 2013 par l'Office du Commissaire à l'information et à la protection de la vie privée de l'Ontario, Canada, le promoteur du PbD. Il travaille sur plusieurs projets d'innovation et de prospective liés au concept, assure aujourd'hui l'unité d'enseignement Privacy by Design au sein du Mastère spécialisé en Management et Protection des données à caractère personnel de l'Institut Supérieur d'Electronique de Paris et l'unité d'enseignement Méthodologies du DPO au sein du Mastère spécialisé en Management et Protection des données à caractère personnel de l'Institut Mines Telecom Business School.