Conformité IA en France : qui contrôle quoi en 2026 ?

Quand on parle de « conformité AI Act » en France, il y a beaucoup de confusion sur qui contrôle quoi. La réalité : cinq autorités peuvent venir frapper à votre porte selon le secteur et le type de système IA. Voici la cartographie 2026.

L'AESIA — l'autorité IA centralisée espagnole, prototype européen

Première autorité opérationnelle en Europe sur l'AI Act, l'AESIA (Agence Espagnole de Supervision de l'Intelligence Artificielle) basée à La Corogne est devenue le modèle. Pour les opérateurs avec une présence espagnole (filiale, salarié sous EOR, prestation servie en Espagne), elle est compétente. Sa philosophie : pragmatique, dialogue avec les entreprises, sanctions progressives. À surveiller pour anticiper la jurisprudence européenne.

La CNIL — autorité IA en France par désignation

En France, le législateur a désigné la CNIL comme autorité de marché pour l'AI Act, dans la continuité de son rôle RGPD. Ses moyens ont été renforcés mi-2025. Elle traite à la fois les violations RGPD (Art. 6, transferts, profilage) et les manquements AI Act (Art. 6-9 classification, Art. 11 documentation). En cas de double infraction (système IA traitant des données personnelles sans base légale), les amendes peuvent cumuler.

La DGE — pour les systèmes IA à haut risque industriels

La Direction Générale des Entreprises (Ministère de l'Économie) supervise les systèmes IA intégrés dans des produits régulés (machines, dispositifs médicaux non-marqués CE-MED, jouets, équipements industriels). Annexe I de l'AI Act. Vous fabriquez un équipement embarquant un module IA ? La DGE est dans la boucle.

L'ACPR — pour le secteur bancaire et assurance

L'Autorité de Contrôle Prudentiel et de Résolution intègre l'AI Act dans son périmètre de supervision sectorielle. Tout établissement de crédit, assurance, mutuelle qui utilise un système IA pour scoring crédit, tarification, détection de fraude est concerné. Coordination étroite avec la CNIL sur les aspects données.

L'ANSSI — sécurité des systèmes IA critiques

L'Agence Nationale de la Sécurité des Systèmes d'Information ne contrôle pas directement la conformité AI Act, mais ses référentiels (NIS2, transposition cyberscore, certifications de prestataires) s'imposent en parallèle. Un système IA hébergé sur un cloud non qualifié SecNumCloud peut être bloqué de fait, indépendamment de sa conformité AI Act stricto sensu.

L'AI Office européen — la cohérence transfrontalière

Basé à Bruxelles, l'AI Office coordonne les autorités nationales et publie les guidelines (modèle GPAI, classification, conformité). Il ne contrôle pas directement les entreprises (sauf cas exceptionnels sur modèles à risque systémique), mais ses décisions s'imposent comme jurisprudence de fait.

Concrètement, qui appelle qui ?

Pour une PME française avec un système RH IA :

• CNIL : contrôle conformité RGPD + AI Act
• Inspection du travail : transparence vis-à-vis des salariés (Art. 50)
• DGE : si éditeur logiciel diffusant l'outil

Pour une banque utilisant un IA scoring crédit :

• ACPR : conformité prudentielle
• CNIL : protection des données
• DGCCRF : pratiques commerciales loyales

Le piège du « pas concerné »

L'erreur classique : se croire à l'abri parce qu'on est « petit ». L'AI Act ne s'arrête pas aux PME. Un outil IA RH chez une boîte de 30 personnes est soumis aux mêmes obligations qu'un outil RH IA chez une multinationale. Le règlement est calé sur l'usage et le risque, pas sur la taille de l'organisation.

Préparer une visite : trois choses à avoir

Premier dossier : registre des systèmes IA en production. Deuxième : politique IA interne signée par la direction. Troisième : preuves de formation littératie IA (Art. 4) pour les équipes exposées. Ce triplet seul suffit déjà à faire considérablement baisser le risque de sanction sévère.