S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Finalement, le gouvernement prévoit de donner la régulation de l’IA à la CNIL

Veni vidi vici ?

Finalement, le gouvernement prévoit de donner la régulation de l’IA à la CNIL

Alors que le projet de loi « portant diverses dispositions d’adaptation au droit de l’Union européenne » va passer devant le Sénat, le gouvernement a proposé un amendement qui prévoit que la CNIL prenne la main sur la régulation de l’IA en France. L’Arcom ne devrait jouer qu’un second rôle.

Le 13 février à 15h44

La CNIL semble avoir gagné la bataille d’influence dans la régulation de l’IA. En tout cas, c’est le sens que prend un amendement déposé par le gouvernement dans le projet de loi qui prévoit, entre autres, d’adapter le droit français à l’AI Act.

Ce projet de loi « portant diverses dispositions d’adaptation au droit de l’Union européenne » a été déposé au Sénat en novembre dernier par le gouvernement en engageant la procédure accélérée.

Le législateur doit notamment décider quelle institution sera chargée, en France, de la régulation de l’intelligence artificielle prévue par le règlement européen.

Intense bataille entre potentiels régulateurs

Depuis 2023, et donc avant même le vote du texte européen, la CNIL essaye de faire sienne cette place de régulateur de la technologie, devenue centrale politiquement et économiquement ces dernières années. Après avoir écarté les divers comités créés par l’exécutif ces dernières années, la CNIL avait obtenu l’appui de certains députés en 2024, à condition qu’elle se transforme.

L’ARCOM et le ministère de l’Économie, via la DGCCRF, essayaient aussi de prendre l’ascendant sur ce dossier. Les trois organisations avaient mis en avant, en juin 2024, la signature d’une « convention de coopération » entre elles pour la mise en œuvre du règlement européen sur les services numériques.

En septembre dernier, Bercy semblait avoir pris l’ascendant et communiquait pour assurer que « la DGCCRF, experte de la surveillance de marché et accomplie dans la collaboration avec d’autres régulateurs, ainsi que la DGE, représentante de la France au Comité européen de l’IA, coordonneraient les actions des autorités ». Le ministère de l’Économie diffusait aussi un « schéma de gouvernance des autorités de surveillance de marché » sur lequel la DGCCRF, avec la DGE, était clairement aux manettes :

Mais finalement, le gouvernement a choisi la CNIL comme autorité chargée d’assurer la mise en œuvre de l’AI Act sur le sol français. De fait, le texte initial du projet de loi présenté au Sénat n’avait pas tranché la question.

Selon nos confrères de Contexte, le Conseil d’État estimait que le schéma prévu par Bercy risquait « d’enfreindre la règle du « non bis in idem » », c’est-à-dire l’impossibilité de double sanction. En effet, selon l’institution, le plan prévu par le ministère de l’Économie risquait de mettre en place des doubles affectations d’autorités sur certaines catégories d’IA. Le gouvernement a donc dû revoir sa copie.

La CNIL ramasse la mise

Finalement, l’amendement au texte qu’il a déposé ce jeudi 12 février veut modifier la loi Informatique et libertés de 1978 pour donner de nouvelles compétences à la CNIL, qui devra « assurer la mise en œuvre effective » de l’AI Act.

L’autorité aura aussi à charge le contrôle des pratiques d’intelligence artificielle interdites. Sur la notation sociale, elle partagera cette charge de contrôle avec la DGCCRF.

Elle se voit aussi confier « le contrôle du respect des obligations de transparence applicables à certains systèmes d’intelligence artificielle, notamment ceux mettant en œuvre des dispositifs de reconnaissance des émotions ou de catégorisation biométrique », comme l’explique le gouvernement dans l’objet de son amendement.

La CNIL est également désignée comme autorité compétente à l’égard des obligations de transparence de certains systèmes d’intelligence artificielle au sens de l’article 50 du même règlement, qui obligera les contenus générés par IA à être labellisés comme tels.

Elle est désignée comme organisme notifié qui doit intervenir pour « l’évaluation du système de gestion de la qualité et de l’évaluation de la documentation technique » des systèmes d’IA considérés comme à « haut risque » par le règlement européen concernant les systèmes d’identification biométrique, de décisions relatives au travail (emploi, recrutement…) et « certaines applications relevant de la répression, des contrôles aux frontières ou de la gestion des migrations ». Même chose concernant les systèmes à haut risque dans l’éducation, mais la DGCCRF récupère la compétence sur les systèmes concernant la formation professionnelle.

Dans ce texte, l’Arcom ne retrouve plus qu’un rôle de consultation lorsque les systèmes d’intelligence artificielle concernés présentent un lien direct avec les processus démocratiques.

« Il y a quelques incertitudes sur les périmètres respectifs des uns et des autres », a quand même estimé la rapporteure du texte Marie-Lise Housseau (UC) auprès de nos confrères de Contexte, alertée par l’Arcom. La sénatrice pourrait proposer quelques modifications pour éclaircir les choses.

Le Sénat doit examiner le texte en séance publique lundi 16 février.

Commentaires (14)

votre avatar
J'entends d'ici les crois de @aeris22 🤣.
votre avatar
« Il y a quelques incertitudes sur les périmètres respectifs des uns et des autres »,
Et aussi « quelques incertitudes » (euphémisme) sur la capacité de la CNIL à prendre ça en charge...
votre avatar
Je me sent tellement rassuré 🔥
votre avatar
Mais surtout :
régulation de l'IA en France
Est-ce qu'il s'agit d'un modèle qui tourne en France ???
...
...
...
Ha bah oui

Pour info et aussi
votre avatar
Il s'agit de l'AI Act, donc de services dans l'UE

Son article 2 définit à quoi il s'applique. On se moque de où tourne le modèle.
Chaque pays définit une ou plusieurs autorités. Voir l'article 70. Comme c'est un peu complexe, le mieux est de lire tout l'AI Act pour connaître leurs missions.
votre avatar
Ce que je voulais dire c'est que la CNIL en hérite pour la France. Mais s'il ne se passe rien en France... C'est... sieste. Ça les changera pas beaucoup pensait un @aeris22 .
votre avatar
Vu que le domaine de l'IA est intrinsèquement lié aux traitements de données. Traitements qui tombent presque toujours dans celui des données personnelles, le choix de la CNIL comme autorité pour traiter ces questions me paraît sensé.

Plus que celui de l'ANFR pour vérifier l'obligation de contrôle parental sur les smartphones, par exemple.
votre avatar
Traitements qui tombent presque toujours dans celui des données personnelles,
Il ne faut quand même pas exagérer ! Mais, je pense quand même que la CNIL qui bosse déjà sur l'IA est un meilleur choix que la DGCCRF qui dépend du ministère de l'économie et qui pourrait être en conflit d'intérêt parce que l'IA serait bon pour l'économie ou l'ARCOM qui ne semble pas avoir de compétence particulière sur l'IA.

C'est sûr que si tu compares avec l'AFNR et les contrôles parentaux, le choix de la CNIL est bien plus pertinent. :D
votre avatar
Ben, pas tant que ça l'exagération en fait. Dans la mesure où ce sont des outils avec lesquels les utilisateurs interagissent ou qui sont amenés à traiter des données pouvant en contenir à caractère personnel, cette extension à la CNIL me paraît logique.

La comparaison avec l'ANFR était un petit troll assumé, oui :p
votre avatar
La cnill pour gérer l'IA c'est très bien.
Prochaine étape lui donner des bras, des jambes et tout ce qui faut pour qu'elle puisse faire son boulot...
votre avatar
Pourquoi ce n'est pas une autorité ad-hoc ?
L'IA est un sujet complexe et vaste, qui profiterait d'avoir un régulateur unique et clairement identifié.
La CNIL, c'est pas mal, mais ça sort un peu de son rôle historique je trouve, surtout s'il s'agit de réguler les IA ne traitant pas des données personnelles (par exemple, les IA spécialisées dans le climat).
votre avatar
Parce qu'il y a déjà beaucoup d'autorités et qu'il vaut mieux mettre en commun ce qui est administratif que le dupliquer. En plus, il y a aussi la partie traitant des données principales. Alors même que la Commission veut affaiblir le RGPD pour l'industrie de l'IA, c'est pas mal de s'y opposer comme cela.
votre avatar
Pour l'administratif, OK, mais de là à diluer les ressources de la CNIL dans des missions qui ne relèvent pas de son expertise, je ne trouve pas cela pertinent.
C'est pas comme si c'était un petit sujet à la marge : on parle de réguler l'IA, donc il est probable que la CNIL se retrouve à doubler (voire plus) de taille. Et du coup, est-ce que le support administratif sera toujours adapté ?
votre avatar
La Chine doit se réjouir de toutes ces régulations. On aggrave notre situation économique. Ce sont ceux qui réguleront le moins qui seront les plus performants.

Finalement, le gouvernement prévoit de donner la régulation de l’IA à la CNIL

  • Intense bataille entre potentiels régulateurs

  • La CNIL ramasse la mise