Archives par mot-clé : AI Office

Gouvernance des autorités pour l’AI Act : multiplier les régulateurs pourrait être contreproductif

Publié le par

La France va se doter – si une loi était adoptée en 2026 – d’une gouvernance sectorielle pour l’IA, pilotée par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Mais la multiplicité des régulateurs pourrait compliquer la tâche des entreprises.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

La Direction générale des entreprises (DGE), qui dépend du ministère de l’Economie et des Finances, a publié le 9 septembre 2025 un projet de désignation des autorités nationales chargées de la mise en œuvre en France du règlement européen sur l’intelligence artificielle (AI Act). Sous la coordination de la DGE et de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), ce projet instaure un schéma décentralisé et sectoriel de gouvernance s’appuyant sur les régulateurs existants en France.

La DGCCRF centralise la coordination
Ce modèle s’inscrit dans le cadre de l’AI Act (1) et des dispositions de son article 70 qui impose la désignation d’autorités nationales de notification et de surveillance du marché dans chaque Etat membre. Cette proposition de gouvernance sectorielle et décentralisée doit être présentée au Parlement sous la forme d’un projet de loi. Il ne sera donc définitif qu’après un vote législatif, très probablement dans le courant du premier semestre 2026. Le schéma retenu par le gouvernement prévoit que la mise en œuvre effective de ce règlement européen sur l’IA sera supervisée par plusieurs autorités compétentes, conformément aux orientations proposées par cet AI Act. Dès lors, les administrations, agences et autorités spécialisées – selon leur secteur d’intervention – auront la charge de contrôler les systèmes d’intelligence artificielle, une fois mis sur le marché ou en service.
La DGCCRF centralisera la coordination opérationnelle entre diverses autorités sectorielles impliquées dans le contrôle des systèmes d’IA. Elle sera ainsi l’interlocuteur principal pour les autorités européennes et facilitera l’échange d’informations et la coopération entre les différents régulateurs nationaux. Elle agira comme un point de contact unique, pour la France auprès des instances européennes, sur les questions liées à la surveillance du marché de l’IA. Ce rôle de coordination s’inscrit dans une organisation bicéphale où la DGCCRF assurera la supervision pratique sur le terrain, tandis que la DGE apportera son soutien à la mise en œuvre de l’AI Act. A ce titre, la DGE jouera un rôle-clé dans l’organisation de la gouvernance nationale de ce règlement européen, notamment en (suite) assurant la représentation française et en veillant à un alignement dans l’application des règles sur tout le territoire national, au sein du Comité européen de l’IA. Cet « AI Board » (2), dont le secrétariat est assuré par le Bureau de l’IA (« AI Office ») de la Commission européenne (3), est une instance qui rassemble les représentants des autorités nationales compétentes pour coordonner l’application – justement harmonisée – du règlement européen « établissant des règles harmonisées concernant l’intelligence artificielle ».
Le souhait du gouvernement français est de permettre une surveillance adaptée, mobilisant les compétences spécifiques de chaque autorité en fonction des usages et risques associés aux systèmes d’IA concernés. Les autorités nationales s’inscriraient ainsi comme des acteurs pivots dans la chaîne de surveillance et de contrôle. En pratique, chaque entreprise ou organisation continuera de s’adresser prioritairement à son régulateur de secteur pour respecter les exigences de l’AI Act. Pour les aspects techniques, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et le Pôle d’expertise de la régulation numérique (PEReN) fourniront un appui transversal aux régulateurs qui bénéficieront d’un « socle mutualisé d’expertises ». Ils pourront ainsi les accompagner dans l’analyse technique, la cybersécurité et l’audit des algorithmes d’IA. La Commission nationale de l’informatique et des libertés (Cnil) et l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) figurent comme des interlocuteurs majeurs pour les enjeux relatifs à la protection des données et à la régulation des contenus auprès des collectivités publiques. Bercy n’a pas publié le 9 septembre 2025 de rapport complet (4) mais un aperçu du schéma proposé – accompagné d’un graphique (5)) qui identifie le périmètre d’intervention des autorités compétentes selon quatre critères : les pratiques interdites (6), les obligations spécifiques de transparence (7), les systèmes d’IA à haut risque (8), les systèmes d’IA à haut risque (9).

Au titre des pratiques interdites
La DGCCRF et l’Arcom veillent au respect de l’interdiction des systèmes d’IA qui utilisent des techniques subliminales, manipulatrices ou trompeuses, et qui exploitent les vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique. La Cnil et la DGCCRF contrôlent le respect de l’interdiction sur les systèmes d’IA dédiés à l’évaluation, la classification ou notation sociale. La Cnil joue un rôle central dans le contrôle des pratiques interdites puisqu’elle est seule chargée du contrôle des autres pratiques interdites : police prédictive, création de bases de données de reconnaissance faciale via moissonnage non ciblé, inférence des émotions sur lieu de travail et établissements d’enseignement, catégorisation biométrique, identification biométrique à distance en temps réel à des fins répressives.

Transparence et IA à haut risque
La DGCCRF et Arcom contrôlent les systèmes d’IA interagissant directement avec les personnes ou générant des contenus synthétiques et hypertrucages. L’Arcom surveille également les systèmes générant ou manipulant des textes destinés à informer le public sur des questions d’intérêt public. La Cnil contrôle, quant à elle, le respect des obligations de transparence concernant les systèmes de reconnaissance des émotions et de catégorisation biométrique. Les autorités de surveillance du marché compétentes pour les systèmes d’IA à haut risque voient leur périmètre élargi pour le contrôle de l’intégration de l’IA dans ces produits classés « à haut risque » selon l’annexe I du règlement IA. Ainsi, par exemple, la DGCCRF est en charge de veiller à la sécurité des jouets, et avec l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) pour les dispositifs médicaux.
Pour les systèmes d’IA à haut risque relevant de l’annexe III, les Hauts fonctionnaires de défense et de sécurité (HFDS) des ministères économiques, financiers, industriels et écologiques contrôlent les IA liées aux infrastructures critiques. L’Autorité de contrôle prudentiel et de résolution (ACPR) contrôle les IA destinées à être utilisées pour évaluer la solvabilité des personnes physiques, établir les notes de crédit, et évaluer les risques et la tarification en matière d’assurance-vie et d’assurance maladie. Le Conseil d’Etat, la Cour de cassation et la Cour des comptes supervisent, quant à eux, les systèmes d’IA mis en service ou utilisés par les autorités judiciaires à des fins d’administration de la justice. Enfin, la Cnil contrôle les IA dans l’enseignement, la formation professionnelle (avec la DGCCRF), les processus démocratiques (avec l’Arcom), la biométrie, la gestion des ressources humaines, les usages répressifs, la migration, l’asile, ainsi que le contrôle des frontières. Le schéma « DGE-DGCCRF » proposé vise à éviter la création d’une superstructure, tout en valorisant l’expertise existante au sein des autorités déjà en place.
Le gouvernement français mise ainsi sur les autorités déjà opérationnelles, qui disposent chacune d’une expertise fine dans leurs domaines respectifs. Cette gouvernance « IA » devrait permettre d’apporter une proximité sectorielle avec les acteurs régulés, ainsi qu’une meilleure compréhension des pratiques spécifiques pour une régulation adaptée et un contrôle plus efficace. Pour autant, et c’est là que le bât blesse, cette gouvernance morcelée pourrait générer une complexité accrue pour les entreprises multi-secteurs, avec des points de contacts multiples et une articulation parfois difficile entre exigences sectorielles et obligations transversales de l’AI Act. Ainsi, les PME risquent d’être confrontées à une multiplicité d’interlocuteurs et à une compréhension plus complexe des règles applicables. En effet, les sociétés devront entreprendre des démarches spécifiques selon leur secteur d’activité, rajoutant alors des points de complexité dans leur mise en conformité aux exigences de l’AI Act. Cette gouvernance éclatée pourrait également entraîner une charge administrative accrue, des difficultés de compréhension des exigences applicables et un risque d’interprétations divergentes entre autorités.
Si la DGCCRF joue un rôle d’orientation clé, la multiplication des intervenants et la fragmentation normative s’avèrent particulièrement complexes pour les PME, qui disposent souvent de ressources juridiques limitées pour mener des programmes de mise en conformité de leurs pratiques. La multiplicité des organismes implique aussi un risque de dilution des responsabilités, surtout en cas d’incidents ou de litiges impliquant différents aspects de l’IA (par exemple, un système de scoring biométrique utilisé à des fins publicitaires). En l’absence d’un chef de file unique clairement identifié, cette configuration peut retarder la prise de décision ou compliquer la coordination des sanctions.
Le Conseil d’Etat, dans une étude publiée en 2022 intitulée « Intelligence artificielle et action publique : construire la confiance, servir la performance » (10), avait préconisé une transformation profonde de la Cnil en autorité nationale de contrôle responsable de la régulation des systèmes d’IA. Il soulignait que pour garantir la cohérence et la sécurité juridique, il serait préférable d’adosser la gouvernance de l’IA à une autorité unique renforcée, la Cnil étant le choix naturel compte tenu de son expérience reconnue en matière de protection des données personnelles et de régulation numérique. Confronté à la diversité des secteurs d’application de l’IA, cette piste a été écartée. La mise en œuvre de l’AI Act et la gouvernance proposée imposent donc aux entreprises une coordination et une gestion rigoureuse de leurs risques. Elles doivent concilier les exigences spécifiques à chaque secteur d’activité tout en assurant une sécurité juridique dans un environnement réglementaire à la fois complexe et en constante évolution.

Les entreprises attendues au tournant
Face aux enjeux de l’intelligence artificielle, les entreprises et organisation devront mettre en place un pilotage rigoureux de leurs pratiques. A ce titre, elles devront identifier et évaluer les risques liés à leurs systèmes d’IA, documenter leur fonctionnement, assurer la transparence des interactions, mettre en place un contrôle humain et des procédures de gestion des incidents, tout en respectant des échéances progressives jusqu’en 2026 pour assurer leur conformité à l’AI Act. Sinon, gare aux sanctions. @

* Antoine Gravereaux est avocat associé chez FTPA Avocats,
au département « Technologies, Data & Cybersécurité ».

« Résumé suffisamment détaillé » : 2025 sera l’année de vérité dans la mise en œuvre de l’AI Act

Publié le par

Le rapport du CSPLA sur la mise en œuvre du règlement européen établissant des règles harmonisées sur l’IA fournit les ingrédients mais… pas la recette ! Le Bureau européen de l’IA, créé par l’AI Act, doit publier prochainement un « modèle européen » à suivre par les Vingt-sept.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le rapport « IA et Transparence des données d’entraînement » (1), publié le 11 décembre 2024 par le Conseil supérieur de la propriété littéraire et artistique (CSPLA), s’inscrit dans la préparation de la mise en œuvre du règlement européen sur l’intelligence artificielle (AI Act) et a pour objectif de clarifier l’interprétation et la portée des dispositions imposant un modèle de « résumé suffisamment détaillé » (2). Ce modèle sera présenté au nom de la France dans le cadre du processus d’adoption d’un modèle européen par le Bureau européen de l’IA (AI Office), autorité créée par l’AI Act et chargée d’accompagner les fournisseurs d’IA dans leur mise en conformité. La publication du modèle européen est attendue pour janvier 2025.

Transparence des données d’entraînement
La collecte de données de qualité, notamment de données culturelles, est d’une importance stratégique pour les fournisseurs d’IA, puisque les systèmes d’IA ont besoin d’ingurgiter de grandes quantités de données, leur servant de modèles dans leurs productions. Or, des données contenant des créations protégées par un droit de propriété intellectuelle peuvent avoir été obtenues sans autorisation ou sans tenir compte d’un « opt-out », et avoir été effectivement exploitées. Il en va de même concernant des données personnelles (posts Facebook, Instagram, …) potentiellement utilisées pour l’entraînement de modèles d’IA. L’enjeu est alors d’avoir accès à l’information sur les données d’entraînement utilisées par une IA, pour bien des raisons et notamment ouvrir une visibilité aux ayants droits dont des données et/ou créations auraient été mobilisées, quelles qu’en soient les modalités.
Pour ce faire, les fournisseurs d’IA sont désormais soumis à une obligation de transparence qui se concrétise par la mise en place d’une politique de conformité, ainsi que par la mise à disposition au public d’un « résumé suffisamment détaillé » (sufficiently detailed summary) des contenus utilisés pour l’entraînement du modèle d’IA. Ce résumé permet le développement d’une IA de confiance souhaitée au niveau européen (3), en remédiant aux difficultés rencontrées par les titulaires de droits, confrontés à une charge de la preuve disproportionnée concernant l’utilisation de leurs contenus. Pour autant, le résumé doit répondre aux enjeux de la création d’un marché dynamique et équitable de l’IA. Ce qui impose un compromis pour restreindre la quantité d’informations mise à disposition afin de protéger le secret des affaires, moteur d’innovation pour les fournisseurs d’intelligence artificielle. (suite)

La mission à l’origine du rapport approuvé par le CSPLA (4) rappelle à ce titre qu’il convient de « donner à la transparence les conséquences attendues, à savoir créer un marché et permettre la rémunération des contenus » (5). Il s’appuie sur deux principaux points pour justifier son modèle de résumé.
En premier lieu, l’obligation de mettre en place une politique de conformité et celle de mettre à disposition du public un résumé suffisamment détaillé sont indissociables en ce qu’elles participent au même objectif de transparence. A ce titre, et par souci de cohérence avec le « codes de bonne pratique » (code of practice) attendu auprès du bureau de l’IA, la mission considère que la politique de conformité devrait apparaître, au moins dans ses grandes lignes, dans le résumé. La mission explicite certains des principaux éléments de conformité qui devraient figurer dans le résumé. Elle souligne que l’AI Act exige explicitement que la politique de conformité inclut l’« identification et le respect (…) des réserves de droits exprimées conformément à l’article 4, paragraphe 3, de la directive [« Copyright » de 2019 (6)] » (7), mécanisme dont les faiblesses ont été éclairées lors de la récente décision du tribunal régional d’Hambourg dans l’affaire « LAION c/ Robert Kneschke» (8).

Fouille de textes et de données (TDM)
Pour mémoire, le dispositif de ces articles que nous avons commenté (9) permet aux titulaires de droits de s’opposer à la fouille de textes et de données si les œuvres et autres objets protégés ont été réservés « par leurs titulaires de droits de manière appropriée, notamment par des procédés lisibles par machine pour les contenus mis à la disposition du public en ligne ». Or, le tribunal allemand a notamment validé l’application des exceptions de « fouille de textes et de données » (TDM) pour l’entraînement des systèmes d’IA. D’autre part, le tribunal allemand a pour la première fois en Europe établi un précédent concernant l’exception de TDM en insistant sur la nécessité pour les fournisseurs d’intelligence artificielle d’adopter des technologies pour respecter les clauses de réserve exprimées au titre de l’article 4 de la directive « Copyright ». En abordant la question de l’opt-out et la possibilité pour les détenteurs de droits de s’opposer à l’utilisation de leur contenu, le tribunal d’Hambourg a noté que l’opt-out exprimé en langage naturel pouvait être considéré comme « machine-lisible », ce qui aura des implications pour la manière dont les « optout » sont formulés et reconnus à l’avenir. Par conséquent, omettre de mentionner la clause de réserve de droits dans le résumé reviendrait à réduire la portée de l’obligation de transparence (10).

Détail du résumé et secret des affaires
Par ailleurs, le modèle de résumé devrait inciter les fournisseurs à préciser les protocoles reconnus par les « moissonneurs » de données qu’ils utilisent, que ce soit directement ou via des tiers et lorsqu’il s’agit de jeux de données obtenus gratuitement ou moyennant paiement auprès de tiers, et si des mesures ont été mises en place pour garantir que ces données ont été collectées en conformité avec la législation applicable, notamment en vérifiant l’existence d’une autorisation ou d’une licence.
En second lieu, le modèle de résumé doit être pensé afin de garantir un niveau de protection suffisant aux titulaires de droit tout en préservant l’innovation et ainsi conserver l’effet utile du texte. La mission du CSPLA souligne que la finalité du résumé telle que rappelée dans les considérants du règlement est d’« aider les parties ayant des intérêts légitimes, y compris les titulaires de droit d’auteur, à exercer et à faire respecter les droits que leur confère la législation de l’Union », sans pour autant porter atteinte au secret des affaires. A ce titre, le degré de détail du résumé doit s’apprécier au regard de cet objectif et de cette limite, afin de garantir l’effet utile du texte (11).
Pour garantir l’effet utile du résumé, le mission propose dans son rapport une approche graduée, ajustant le niveau de détail selon la nature des contenus, tout en veillant à préserver un équilibre avec le respect du secret des affaires. A ce titre, la mission estime que l’information relative aux contenus et le degré détail attendu est fonction du degré de fiabilité des sources. Pour les contenus libres de droit, ainsi que les contenus relevant d’arrangements contractuels, des informations générales peuvent suffire. Pour les autres contenus protégés, la mission estime que le secret des affaires ne saurait justifier de se borner à transmettre la liste des principales sources et donc ne pas transmettre la liste des URL (12), à savoir des adresses des sites web moissonnés. La mission souligne que l’AI Act insiste sur la nécessité de fournir un résumé complet pour permettre aux parties ayant des intérêts légitimes, comme les titulaires de droits d’auteur, d’exercer et de faire respecter leurs droits (13). Si le secret des affaires peut limiter le niveau de détail technique, il ne peut réduire le résumé au point de le rendre inefficace. Ainsi, la mission énonce comme essentielles certaines informations, telles que les URL des sites Internet d’où proviennent les données récupérées, la date de moissonnage, ainsi que la taille et le type de données utilisées. Toutefois, elle précise que des informations plus détaillées, comme les modalités d’utilisation des contenus (par exemple, méthode de filtrage ou tokenisation), relèvent du secret des affaires et ne doivent pas être divulguées dans le résumé public. Néanmoins, le secret des affaires ayant ses limites, ces informations pourront être divulguées dans le cadre d’une réclamation.
Le rapport du CSPLA se base notamment sur l’inopposabilité du secret des affaires au autorités judiciaires et administratives. A ce titre, la Cour de justice de l’Union européenne (CJUE) a considéré dans son arrêt « Dun&Bradstreet Austria GmbH » (14) que le secret des affaires ne saurait conduire à écarter le droit d’un individu, au titre du règlement européen sur la protection des données (RGPD) de comprendre une décision qui l’affecte. Pour la mission, cette solution est transposable aux dispositions de droit d’auteur issues des textes européens : le secret des affaires ne peut conduire, en vidant toute substance le résumé suffisamment détaillé, à écarter le droit qu’un titulaire de droits tire de l’AI Act à disposer d’éléments pouvant l’aider « à exercer et à faire respecter les droits que leur confère la législation de l’Union [européenne] ».
La mission souligne que si le Bureau de l’IA, lors de ses vérifications, n’a pas à examiner chaque œuvre ou contenu protégé individuellement pour contrôler la conformité des résumés fournis, l’AI Act n’interdit pas qu’un résumé inclut une liste des contenus protégés ou moissonnés, à condition que cette liste demeure globalement complète (15). L’exhaustivité de cette liste pourrait et devrait également être contrôlée dans le cadre d’une réclamation.

Droit d’auteur et données personnelles
Ainsi, pour la mission du CSPLA, il s’agit au stade du résumé public d’identifier les sources collectées pour l’entraînement de l’IA, mais pas encore d’explorer comment ces sources ont été utilisées, tenant compte du secret des affaires. Ces informations pouvant être révélées ultérieurement dans le cadre d’une réclamation, la protection des titulaires de droit demeure assurée. Les ingrédients donc… mais pas la recette. Le rapport du CSPLA confirme la lecture que l’on pouvait faire de l’AI Act, selon laquelle « l’obligation de transparence s’étend bien au-delà des contenus protégés par le droit d’auteur et les droits voisins » (16), et intègre notamment les données à caractère personnel. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des médias et des technologies.

La Commission européenne veut contrôler l’AI Office

Publié le par

En fait. Alors que le 30 septembre, la Commission européenne a tenu sa première séance plénière – sur fond de désaccords – sur le « code de bonnes pratiques pour les IA à usage général » (comme ChatGPT ou Mistral), elle cherche son « conseiller scientifique principal » qui sera indépendant de l’AI Office.

En clair. La Commission européenne – via sa DG Connect (alias Cnect) – cherche à recruter son « conseiller scientifique principal » (1) qui sera chargé des dossiers de l’IA, tout en étant indépendant du bureau européen de l’intelligence artificielle (AI Office), lequel comptera 140 salariés. Mais en recherchant en interne, c’est-à-dire au sein des institutions et agences européennes, comme l’ENISA (2), la Commission européenne s’est attirée des critiques. Car cette démarche exclurait la candidature de scientifiques de haut niveau venus de l’extérieur, reconnus internationalement en IA.
De plus, cela montre que la Commission européenne veut garder la main sur l’AI Office. Le Centre international pour les générations futures (ICFG) met en garde : « Le rôle ne peut être correctement rempli que par un scientifique de premier plan. Le conseiller [scientifique principal] aura une forte influence sur les décisions d’embauche et opérationnelles au bureau [de l’IA]. Sans un dirigeant qualifié, l’[AI] Office aura du mal à attirer les talents scientifiques et techniques nécessaires pour remplir sa mission de façonner la gouvernance de l’IA en Europe », écrit-il dans une tribune publiée sur Euractiv (3). Si la Commission européenne souhaite embaucher un candidat hautement qualifié pour ce poste-clé, encore faudrait-il que la DG Connect lance un appel à candidatures pour des scientifiques de classe mondiale puissent postuler. Car, selon l’ICFG, un fonctionnaire interne à l’UE risque de ne pas être à la hauteur. Surtout que l’AI Office a la lourde tâche de dire si tel ou tel modèle d’intelligence artificielle à usage général – ou GPAI (4) – présente des risques systémiques.

Autre poste crucial, cette fois au sein de l’AI Office : celui de chef de l’unité de sécurité IA (5). Il est toujours non pourvu, alors que cela fait près de quatre mois que le conseil d’administration du bureau de l’IA a tenu sa première réunion, le 19 juin (6), suivie d’une seconde le 10 septembre.
L’AI Office a encore trois semaines pour désigner les bonnes personnes hautement qualifiées qui auront à élaborer le « code de bonnes pratiques pour les IA à usage général », alors que des désaccords sont apparus le 30 septembre lors de la première séance plénière du « AI Board » de la Commission européenne sur cette question cruciale dans le cadre de l’application de l’AI Act entré en vigueur le 1er août. @