En attendant le projet de loi, Bercy dévoile le schéma de régulation de l’IA en France

Tout bon chef de projet vous le dira : avant de se lancer dans un projet complexe, il faut déterminer le « qui fait quoi ». Et dans le cadre de la mise en œuvre programmée du règlement européen sur l’intelligence artificielle (AI Act) à l'échelle de la France, cette répartition des tâches n'a rien d'une sinécure, puisque les défis et enjeux posés par l'intelligence artificielle empiètent sur les domaines de compétence de nombreuses autorités nationales.

Bien que démissionnaire, le gouvernement a livré mardi 9 septembre, par l'intermédiaire de Bercy, sa copie sur le sujet. Elle prend la forme d'un schéma d'inter-régulation qui liste les principaux éléments d'intervention du règlement européen et les attribue aux différentes autorités existantes. « En pratique, si une entreprise est déjà régulée sur son secteur, elle s'adressera en très grande majorité à son régulateur habituel pour la mise en œuvre du règlement IA », précise Bercy en préambule.

La DGCCRF comme point de contact unique

Avant d'entrer dans le détail des attributions, il fallait un chef d'orchestre, faisant office de porte d'entrée. « Si plusieurs autorités compétentes sont désignées au sein d’un même État membre, l’une d’entre elles doit endosser le rôle de point de contact national, afin de faciliter les échanges avec la Commission européenne, les autorités homologues et vis-à-vis du public », rappelait à cet égard la Cnil à l'été 2024.

C'est finalement la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) qui incarnera ce point de contact unique, avec le soutien opérationnel de la Direction Générale des Entreprises (DGE), laquelle représente déjà les intérêts de la France au Comité européen de l'IA. « La DGCCRF assurera également la représentation des autorités françaises au niveau européen pour les questions de surveillance du marché. », note par ailleurs Bercy.

Si le schéma de synthèse diffusé par Bercy peut sembler complexe à première vue, c'est qu'il attribue 34 périmètres de compétence distincts, répartis entre quatre domaines d'application. D'abord les pratiques interdites, couvertes par l'article 5 du règlement européen, puis les obligations spécifiques de transparence, traitées par l'article 50. Bercy attribue ensuite par filières, ou par finalités d'usage, la responsabilité associée aux systèmes d'IA « à haut risque », selon les deux niveaux de classification retenus par l'AI Act.

Deux chefs de file et dix autorités

Au total, dix autorités sont concernées, en plus des deux chefs de file déjà évoqués (DGCCRF et DGE). La plupart n'interviennent que sur un périmètre très spécialisé : la direction générale de l'aménagement, du logement et de la nature (DGALN) est par exemple chargée des aspects réglementaires liés aux systèmes d'IA utilisés dans les ascenseurs, et n'intervient que sur cette famille précise de systèmes.

De la même façon, l'Agence nationale de sécurité du médicament et des produits de santé (ANSM) n'intervient que sur les dispositifs médicaux, en coresponsabilité avec la DGCCRF. La direction générale de la Prévention des risques (DGPR), rattachée au ministère de l’Écologie, supervisera quant à elle les systèmes liés aux équipements destinés aux atmosphères explosibles, sous pression ou aux appareils au gaz, etc.

Alors qu'elles étaient, d'après Contexte, initialement dévolues au Secrétariat général de la défense et de la sécurité nationale (SGDSN), les infrastructures critiques sont finalement confiées aux bons soins des  Hauts fonctionnaires de défense et de sécurité des ministères de l’Économie et de l'Aménagement.

L’Autorité de contrôle prudentiel et de résolution (ACPR) sera pour sa part « responsable des systèmes d’IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques, établir leur note de crédit et évaluer les risques et la tarification en matière d’assurance-vie et d’assurance maladie lorsque l’opérateur de ces systèmes d’IA relève de la compétence de l’Autorité ».

La CNIL en première ligne

Sur les systèmes plus généralistes, comme sur les pratiques « inacceptables » interdites par l'AI Act, ou les obligations de transparence, l'éventail se resserre, avec des responsabilités concentrées entre les mains de trois autorités : la DGCCRF, l'Arcom et la CNIL.

Les deux premières seront notamment « garantes du respect de l’interdiction de la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA qui ont recours à des techniques subliminales, délibérément manipulatrices ou trompeuses et qui exploitent les vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique », indique Bercy.

CNIL et DGCCRF seront en responsabilité conjointe sur les systèmes d’IA destinés à l’évaluation, la classification ou la notation sociale. Enfin, la CNIL sera, de façon assez logique, en première ligne sur les pratiques relevant du respect de la vie privée telles que la police prédictive, la création ou développement de bases de données de reconnaissance faciale par moissonnage non ciblé, l'inférence des émotions au travail, ou « l'identification biométrique à distance en temps réel à des fins répressives ».

Sur le volet transparence, la CNIL sera également « chargée du contrôle des obligations applicables aux systèmes de reconnaissance des émotions ou de catégorisation biométrique ».

Reste à présenter et faire accepter au Parlement un projet de loi dédié

Alors que le sujet de la guerre informationnelle figure à l'agenda des préoccupations gouvernementales, le schéma d'organisation prévoit par ailleurs de mobiliser l'Arcom sur le « contrôle des systèmes d’IA qui génèrent ou manipulent des textes publiés dans le but d’informer le public sur des questions d’intérêt public ». Elle agira en coordination avec la DGCCRF sur le volet plus spécifique des systèmes « qui génèrent des contenus de synthèse ou qui créent des hypertrucages ».

Reste à outiller ces autorités et construire des processus harmonisés : sur ce point, la mutualisation des compétences est placée sous l'égide de deux autres institutions : le Pôle d'expertise de la régulation numérique (PEReN) et l'Agence nationale pour la sécurité des systèmes d'information (Anssi), qui complètent donc l'édifice.

Aux détracteurs du mille-feuille institutionnel, Bercy oppose les mérites de la mutualisation. « Grâce à une organisation décentralisée qui se fonde sur des autorités déjà existantes et tire au mieux parti des expertises de chacune, le schéma de gouvernance IA vise à garantir la création d'un cadre de confiance pour l'émergence de l'IA, protecteur de ses utilisateurs et favorable à l'innovation », fait valoir le ministère.

Pour passer de la lettre aux actes, le Gouvernement doit cependant encore présenter, et faire accepter, au Parlement un projet de loi dédié dont l'agenda paraît, à ce stade, très incertain.