Régulation de l’IA act en France : la CNIL comme pivot de la gouvernance nationale

Le 13 juin 2024, l’Union européenne adopte le règlement (UE) 2024/1689, dit IA Act. Publié au Journal officiel le 12 juillet 2024, ce texte constitue le premier cadre juridique contraignant au monde consacré à l’intelligence artificielle, avec une application progressive à compter de 2025.

Très rapidement, une question s’est imposée aux États membres :
comment organiser, au niveau national, l’architecture de contrôle et de supervision de l’IA ?

Le premier modèle français : une gouvernance éclatée

En 2025, la France dévoile un dispositif de gouvernance reposant sur une logique de répartition institutionnelle.

La Direction générale des Entreprises était chargée de l’orientation stratégique, la DGCCRF assurait le pilotage opérationnel, tandis que plusieurs autorités administratives indépendantes intervenaient en fonction de leurs domaines de compétence, notamment la CNIL, l’Arcom et l’ACPR.

Ce schéma s’inscrivait dans une vision très organisationnelle de la régulation :
l’intelligence artificielle était appréhendée comme un enjeu transversal à gérer par superposition de compétences existantes, sans création d’un véritable centre de gravité juridique.

Dans ce cadre, la CNIL conservait une place importante, mais non structurante, limitée à ses champs traditionnels (données personnelles, biométrie, libertés publiques).