Le gouvernement vient de trancher : la CNIL sera chargée de la mise en œuvre de l’AI Act sur le sol français. Un choix lourd de conséquences pour les DPO, qui voient leur périmètre de compétences s’élargir considérablement. Décryptage par DPO Partage.
AI Act : une bataille institutionnelle qui aura duré deux ans
Depuis l’adoption de l’AI Act (règlement UE 2024/1689) en juin 2024, une question restait en suspens : qui, en France, serait chargé de faire appliquer ce texte fondateur ?
La réponse n’avait rien d’évident. Le règlement européen laisse à chaque État membre le soin de désigner ses propres autorités de surveillance. En France, trois acteurs se sont affrontés en coulisses pour obtenir ce rôle stratégique. La CNIL, forte de son expertise en matière de droits fondamentaux et de protection des données. La DGCCRF, habituée à la surveillance de marché et rattachée à Bercy. Et l’Arcom, qui revendiquait une légitimité sur les contenus numériques.
En septembre 2024, le ministère de l’Économie avait même pris l’avantage en diffusant un schéma de gouvernance plaçant la DGCCRF et la DGE aux manettes de l’application de l’AI Act, reléguant la CNIL à un rôle sectoriel. Ce schéma éclatait les compétences entre une quinzaine d’autorités, un modèle que certains professionnels qualifiaient déjà de « maquis administratif ».
Le Conseil d’État siffle la fin de la récréation
C’est finalement une objection juridique qui a rebattu les cartes. Le Conseil d’État a identifié un risque majeur dans le schéma porté par Bercy : celui d’enfreindre le principe du « non bis in idem », c’est-à-dire l’interdiction de la double sanction. En multipliant les autorités compétentes sur certaines catégories de systèmes d’IA visés par l’AI Act, le dispositif du ministère de l’Économie créait des chevauchements problématiques.
Le gouvernement a donc dû revoir sa copie. L’amendement déposé le 12 février 2025 dans le cadre du projet de loi DDADUE (portant diverses dispositions d’adaptation au droit de l’Union européenne) tranche nettement en faveur de la CNIL. Le texte prévoit de modifier la loi Informatique et Libertés de 1978 pour confier à la Commission de nouvelles compétences liées à l’application de l’AI Act.
AI Act : ce que la CNIL obtient concrètement
Le périmètre confié à la CNIL est considérable. Elle devient responsable de la mise en œuvre effective de l’AI Act sur plusieurs volets clés :
Le contrôle des pratiques interdites (article 5 de l’AI Act) : police prédictive, reconnaissance faciale par scraping non ciblé, inférence des émotions au travail et dans l’éducation, catégorisation biométrique, identification biométrique à distance en temps réel. Pour la notation sociale, la compétence est partagée avec la DGCCRF.
Les obligations de transparence (article 50 de l’AI Act) : la CNIL supervise notamment les systèmes de reconnaissance des émotions et de catégorisation biométrique. Elle veille aussi à ce que les contenus générés par des systèmes d’IA soient correctement labellisés comme tels.
Les systèmes à haut risque (annexe III de l’AI Act) : biométrie, emploi et recrutement, éducation (hors formation professionnelle, confiée à la DGCCRF), répression, contrôles aux frontières, gestion des migrations. La CNIL est également désignée comme organisme notifié pour évaluer la documentation technique et les systèmes de gestion de la qualité de ces systèmes.
L’Arcom, quant à elle, ne conserve qu’un rôle consultatif sur les systèmes liés aux processus démocratiques.
AI Act et RGPD sous une même autorité : un séisme pour les DPO
Ce choix gouvernemental va bien au-delà d’une simple réorganisation administrative. Pour les organisations qui utilisent ou déploient des systèmes d’IA, il signifie que le même interlocuteur gérera désormais la conformité RGPD et la conformité AI Act. Et c’est précisément là que le rôle du DPO prend une nouvelle dimension.
Le DPO devient le pivot naturel de la double conformité RGPD / AI Act
La CNIL pilotant les deux réglementations, les DPO se retrouvent en première ligne. Ce n’est plus une hypothèse théorique : le plan stratégique 2025-2028 de la CNIL cible explicitement l’IA éthique parmi ses quatre priorités, aux côtés de la protection des mineurs, de la cybersécurité et des usages numériques du quotidien.
Concrètement, un DPO externe intervenant par exemple dans un SPST (service de prévention et de santé au travail) devra désormais intégrer dans son périmètre la vérification que les outils intégrant de l’IA, utilisés dans le cadre de la surveillance médicale, du suivi des expositions professionnelles ou de la gestion des rendez-vous, respectent les exigences de l’AI Act en matière de transparence et de droits fondamentaux.
Des compétences nouvelles à acquérir rapidement
Les DPO doivent monter en compétence sur plusieurs volets propres à l’AI Act : la classification des systèmes par niveau de risque, la vérification de la documentation technique des systèmes à haut risque, l’évaluation des AIPD (analyses d’impact) spécifiques aux traitements impliquant de l’IA, et la gestion des obligations de transparence renforcées par le règlement européen.
Chez DPO France, notre réseau de DPO externes indépendants anticipe cette évolution depuis plusieurs mois. La formation continue sur l’AI Act fait partie intégrante de notre approche de « gouvernance renforcée », qui vise à maintenir un niveau d’expertise aligné avec les attentes croissantes de la CNIL.
Le calendrier de l’AI Act s’accélère
Les organisations n’ont plus le luxe d’attendre. Voici les dates à retenir :
- 2 février 2025 : les interdictions de l’article 5 de l’AI Act sont applicables. La CNIL peut désormais contrôler les pratiques interdites.
- 2 août 2025 : entrée en vigueur des règles sur les modèles d’IA à usage général et désignation officielle des autorités compétentes dans chaque État membre.
- 2 août 2026 : application de l’ensemble des dispositions relatives aux systèmes à haut risque de l’annexe III.
- 2 août 2027 : application des règles relatives aux systèmes à haut risque de l’annexe I (dispositifs médicaux, jouets, équipements radio, etc.).
Le Sénat examine le texte en séance publique à partir du 16 février 2025, et quelques incertitudes subsistent sur les périmètres respectifs des autorités. La sénatrice Marie-Lise Housseau (UC), rapporteure du texte, a d’ailleurs été alertée par l’Arcom sur la nécessité de clarifier certains points.
AI Act : ce que nous recommandons dès maintenant
Pour les organisations utilisant des systèmes d’IA :
Réalisez un inventaire complet des systèmes d’IA utilisés dans votre structure. Classez-les selon les quatre niveaux de risque définis par l’AI Act (inacceptable, haut, limité, minimal). Vérifiez que votre DPO dispose des compétences nécessaires pour couvrir ce nouveau périmètre réglementaire.
Pour les DPO en poste :
Formez-vous dès maintenant sur l’AI Act. Intégrez la dimension IA dans vos prochains rapports annuels. Établissez un registre des systèmes d’IA, en complément de votre registre des traitements RGPD. C’est d’ailleurs l’une des fonctionnalités que nous développons dans DPO Suite.
Pour les structures sans DPO :
Le double cadre RGPD + AI Act renforce l’intérêt de désigner un DPO externe. Un DPO qui maîtrise les deux réglementations constitue un atout considérable face à une CNIL qui aura désormais les moyens juridiques de contrôler la conformité AI Act.
Un choix cohérent : RGPD et AI Act, même combat
Confier la mise en œuvre de l’AI Act à la CNIL a une logique profonde : la majorité des systèmes d’IA à haut risque traitent des données personnelles. Séparer la régulation AI Act de la protection des données aurait créé des incohérences majeures. C’est d’ailleurs la position défendue par les autorités européennes de protection des données au sein du CEPD (Comité européen de la protection des données), qui ont plaidé collectivement pour que les autorités de protection des données soient désignées comme autorités de surveillance des systèmes à haut risque au sens de l’AI Act.
La question qui reste ouverte est celle des moyens. La CNIL dispose-t-elle des ressources humaines et techniques pour absorber cette mission supplémentaire ? L’ANSSI et le PEReN (Pôle d’expertise de la régulation numérique) sont prévus en appui technique, mais l’ampleur du chantier est considérable.
Pour les DPO et les organisations, l’équation est claire : l’AI Act n’est pas un sujet « à part ». Il s’inscrit désormais dans le même cadre de gouvernance que le RGPD. Et c’est exactement l’approche que nous défendons chez DPO Partage et DPO France depuis le début : une conformité intégrée, portée par des DPO formés aux enjeux croisés du RGPD et de l’AI Act.
- AIPD et données de santé confiées à une IA : le résultat de l’analyse d’impact peut-il dispenser de consulter la CNIL ?
- Sanctions RGPD : amendes CNIL et exemples concrets en France
- Sanction CNIL de France Travail : 5 millions d’euros, et après ? Le vrai problème des amendes RGPD dans le secteur public
