AI Act : la France structure sa gouvernance sur l’existant

La DGE et la DGCCRF aux commandes

Contrairement aux recommandations du Conseil d’État qui misait sur la CNIL, le projet d’application de l’AI Act a été confié à la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) et la DGE (toutes deux sous l’autorité du ministère de l’Économie et des Finances). L’ANSSI (sous l’autorité de la SGDN, orchestrée par le Premier ministre) et le PEReN (Pôle d’expertise de la Régulation Numérique) interviennent en appui technique.

Dans les faits, le gouvernement suit à la lettre le récital de l’AI Act. Cela ne veut pas dire que la CNIL n’aura pas un rôle à jouer. Au contraire.

La CNIL en première ligne

Ce ne sont pas quatre, mais 16 autorités compétentes qui pourraient être sollicitées dans la mise en œuvre du texte. Et encore, le schéma présenté ne couvre que les pratiques interdites (l’article 5), les systèmes d’IA à haut risque mentionnés à l’annexe I et III, ainsi que l’obligation de transparence (l’article 50) du règlement européen sur l’IA.

Justement, la CNIL serait le référent principal au moment d’appliquer l’article 5. La Commission nationale de l’informatique et des libertés partagerait uniquement la compétence avec la DGCCRF au moment de traiter les cas de notation sociale.

L’Arcom et la DGCCRF seraient les autorités notifiées concernant les usages de « techniques subliminales, délibérément manipulatrices ou trompeuses ». Ainsi qu’en cas de soupçon en matière d’exploitation des personnes vulnérables.

Ces deux autorités pourraient coopérer pour appliquer les règles de transparence. Par exemple, l’opérateur d’un chatbot devra clairement préciser si une IA interagit avec des personnes physiques. De même, les contenus audio, vidéo, images et textes générés devront leur être signalés par les commanditaires, tout comme les « hypertrucages » (ou « deep fake »).

Seize autorités compétentes et des contrôles partagés

L’Arcom s’assurerait de vérifier que les services de l’État ont bien mentionné si du texte généré est utilisé pour répondre à des questions d’intérêt public. De son côté, la CNIL devrait être invoquée lorsque des entreprises ou des organismes ne notifient pas l’usage de la reconnaissance des émotions ou la catégorisation biométrique.

Mais c’est la surveillance des systèmes d’IA à haut risque qui gonfle la liste des autorités compétentes. Concernant l’IA appliquée à des cas d’usage sensibles (l’annexe III), la CNIL serait seule investigatrice dans quatre des neuf catégories mentionnées (biométrie, emploi, répression, contrôles aux frontières). Elle partagerait cet effort en matière d’éducation (la DGCCRF s’occuperait de la formation professionnelle), d’administration de la justice (avec le Conseil d’État, la Cour de cassation, la Cour des comptes), des processus démocratiques (avec l’Arcom), de l’accès et du droit aux services privés et publics essentiels (avec l’ACPR).

L’usage de l’IA au sein des infrastructures critiques serait vérifié par les hauts fonctionnaires de défense et de sécurité des ministères de l’Économie et des Finances ainsi que ceux des ministères de l’Aménagement du territoire et de la Transition écologique.

Pour ce qui est des produits référencés à l’annexe I, la DGCCRF superviserait la sécurité des jouets. Elle partagerait la compétence de contrôle dans sept des douze catégories avec la direction générale du travail, le secrétariat général du ministère de l’Agriculture, l’Agence nationale des fréquences (ANFR), la direction générale de la prévention des risques (DGPR). Sans oublier l’agence nationale de sécurité du médicament et des produits de santé (ANSM).

La direction générale des affaires maritimes, de la pêche et de l’aquaculture (DGAMPA) surveillerait les systèmes d’IA installés dans des bateaux de plaisance et des véhicules nautiques à moteur. La DGPR vérifierait l’intégration de l’intelligence artificielle dans les appareils au gaz, ainsi que « les appareils et systèmes de protection pour atmosphères explosibles ». Comme la direction générale de l’aménagement, du logement et de la nature (DGALN), qui détiendrait la compétence pour les ascenseurs et leurs composants de sécurité. La direction générale des infrastructures, des transports et des mobilités (DGTIM), elle, aurait son mot à dire quand l’IA intègre les « sous-systèmes et composants de sécurité pour installations à câbles ».

Qui plus est, les périmètres de 20 autorités de surveillance des marchés et de 19 autorités notifiantes seraient élargis.

Pas de nouvelles couches au mille-feuille administratif

Malgré la complexité de ce schéma de gouvernance, la DGCCRF sera le « point de contact unique » de l’ensemble de ces organismes. « En pratique, si une entreprise est déjà régulée sur son secteur, elle s’adressera en très grande majorité à son régulateur habituel pour la mise en œuvre du règlement IA », assure le ministère de l’Économie, dans un communiqué de presse. Et de défendre un modèle d’organisation décentralisé, fondé sur des autorités existantes. En clair, il ne s’agit pas de créer un nouveau mille-feuille administratif.

L’étude du Conseil d’État préconisait à l’inverse une « transformation profonde de la CNIL en autorité de contrôle nationale responsable de la régulation des systèmes d’IA ». L’effort était sans doute trop important.

« Je crains que ce grand nombre d’acteurs ne nuise à l’harmonisation du RIA et n’ajoute une complexité inutile à un sujet qui devrait rester accessible et sécurisant ».

Encore faut-il que ce schéma de gouvernance soit validé par le Parlement à travers un projet de loi. Si tel est le cas, il y a fort à parier que les échanges entre les deux organismes d’orchestration, les deux agences en appui et les 16 autorités compétentes ralentissent le traitement des dossiers.

« En tant que juriste, je salue ce règlement, indispensable pour favoriser l’innovation et offrir un cadre clair aux entreprises », écrit Romain Catala, directeur juridique et conformité chez Datadome, sur LinkedIn. « Mais je crains que ce grand nombre d’acteurs ne nuise à l’harmonisation du RIA et n’ajoute une complexité inutile à un sujet qui devrait rester accessible et sécurisant ».

Tout se jouera dans la mise en œuvre, pense Anthony Roche, avocat du cabinet Roche Conseil Innovation.

Le futur Gouvernement Lecornu ne devrait pas retoquer cette proposition. En revanche, elle ne devrait pas être sa priorité ni celle de l’Assemblée nationale et du Sénat.

L’application de l’AI Act, un problème européen

Peu importe les agendas politiques. La mise en œuvre de l’AI Act semble complexe dans la plupart des pays de l’UE. Comme plusieurs interlocuteurs du MagIT le rappellent, contrairement au RGPD qui a trait aux droits des individus, le règlement sur l’IA régule la sécurité de produits. Deux cadres légaux bien différents.

L’approche de la France n’est pas si éloignée de celle de l’Irlande, la Finlande, le Danemark, l’Autriche, l’Allemagne ou encore la Belgique. Le gouvernement irlandais a choisi huit autorités et vante une approche « distribuée » où le ministère de l’Économie jouera le rôle de point de contact unique. Dans le cas de l’Allemagne, le ministère de l’Économie et de l’action climatique orchestrera conjointement l’implémentation du texte avec le ministère de la Justice. Vingt autorités seront sollicitées. En Belgique, cette même liste contient 26 noms.