IA Act – Rôle des États Membres et des Autorités de Contrôle

Introduction

L’IA Act est un règlement européen. Il est directement applicable dans tous les États membres de l’Union. Sa mise en œuvre effective repose en grande partie sur l’action des États membres et de leurs autorités de contrôle. Sur le terrain, ce sont eux qui veillent à l’application de la loi. Ils contrôlent les acteurs de l’IA et sanctionnent les manquements.

Ce chapitre explore le rôle des États membres et de leurs autorités de contrôle dans le cadre de l’IA Act. Nous analyserons leurs responsabilités. Notamment en matière de désignation des autorités compétentes et de surveillance du marché. Mais aussi de mise en place de bacs à sable réglementaires. Ou encore de coopération avec les institutions européennes, de sensibilisation, de formation et de soutien aux PME. Nous aborderons également le rôle d’autres acteurs. Tels que les organismes notifiés, les autorités de protection des données et les autorités sectorielles.

Désignation des Autorités Compétentes

Chaque État membre doit désigner une ou plusieurs autorités nationales compétentes. Elles sont chargées de la mise en œuvre et du contrôle de l’IA Act sur leur territoire. Ces autorités doivent être opérationnelles au plus tard le 2 août 2025. Parmi elles, une autorité de surveillance du marché et une autorité notifiante doivent être nommées. Un point de contact unique doit aussi être désigné pour représenter l’État membre au sein du comité européen de l’intelligence artificielle.

Autorités de surveillance du marché

Les autorités de surveillance du marché ont pour mission principale de contrôler l’application de l’IA Act sur le territoire national. Elles surveillent les systèmes d’IA mis sur le marché. Elles contrôlent les opérateurs économiques (fournisseurs, importateurs, distributeurs, etc.). Et prennent des mesures correctives en cas de non-conformité.

Analyse approfondie : Le choix des autorités de surveillance du marché est laissé à la discrétion des États membres. Il peut s’agir d’autorités existantes, comme les autorités de protection des données ou de la concurrence. Ou de nouvelles autorités créées spécifiquement pour l’IA. L’important est qu’elles disposent des compétences, des ressources et de l’indépendance nécessaires.

Autorités notifiantes

Les autorités notifiantes désignent et contrôlent les organismes notifiés. Ces derniers évaluent la conformité de certains systèmes d’IA à haut risque. Elles doivent s’assurer que ces organismes disposent des compétences techniques et de l’impartialité requises.

Conseil pratique : Vous êtes fournisseur de systèmes d’IA à haut risque soumis à une évaluation de la conformité par un organisme notifié. Assurez-vous alors qu’il a bien été notifié par l’autorité compétente de l’État membre dans lequel il est établi.

Point de contact national

Chaque État membre doit désigner un point de contact unique. Pour assurer la liaison avec la Commission européenne et les autorités compétentes des autres États membres. Ce point de contact a aussi pour mission de représenter l’État membre au sein du Comité européen de l’intelligence artificielle .

Surveillance du Marché

Les autorités nationales de surveillance du marché jouent un rôle central dans le contrôle de l’application de l’IA Act. Elles coopèrent avec d’autres autorités nationales compétentes. Par exemple, les autorités de protection des données pour les aspects liés à la protection des données personnelles. Elles disposent de pouvoirs étendus pour surveiller les systèmes d’IA mis sur le marché et intervenir en cas de non-conformité.

Contrôle de la conformité des systèmes d’IA

Les autorités de surveillance du marché sont chargées de vérifier que les systèmes d’IA mis sur le marché respectent les exigences de l’IA Act. Cela inclut le contrôle de la documentation technique, du marquage CE, des instructions d’utilisation. Ainsi que la vérification du respect des exigences spécifiques aux différents niveaux de risque.

Exemple concret : Une autorité de surveillance du marché peut demander à un fournisseur de système d’IA à haut risque de lui fournir sa documentation technique. Ceci afin de vérifier que le système a bien fait l’objet d’une évaluation des risques. Mais aussi que des mesures de gouvernance des données ont été mises en place. Et que le système est conforme aux exigences de transparence et de contrôle humain.

Pouvoirs d’enquête et de sanction

Pour mener à bien leurs missions de contrôle, les autorités de surveillance du marché disposent de pouvoirs d’enquête étendus. Elles peuvent :

• Accéder aux locaux des opérateurs économiques et aux lieux où les systèmes d’IA sont utilisés.
• Demander la communication de toute information pertinente. Y compris la documentation technique, les données d’entraînement et le code source (dans des conditions encadrées).
• Procéder à des tests et à des analyses des systèmes d’IA.
• Recueillir des échantillons de systèmes d’IA ou y accéder à distance.
• Entendre toute personne susceptible de fournir des informations utiles.

En cas de non-conformité, les autorités de surveillance du marché peuvent prendre des mesures correctives. Telles que :

• Enjoindre l’opérateur économique de mettre fin à la non-conformité.
• Restreindre ou interdire la mise sur le marché ou l’utilisation du système d’IA.
• Ordonner le retrait du marché ou le rappel du système.
• Infliger des amendes administratives.

Analyse approfondie : Les pouvoirs étendus des autorités de surveillance du marché sont essentiels pour garantir l’efficacité de l’IA Act. Ils permettent aux autorités d’agir rapidement et efficacement. Ceci pour faire cesser les infractions et protéger les utilisateurs et les personnes concernées.

Coopération avec le Bureau de l’IA (AI Office)

Les autorités nationales de surveillance du marché doivent coopérer étroitement avec le Bureau de l’IA (AI Office) de la Commission européenne. Cette coopération vise à garantir une application cohérente et harmonisée de l’IA Act dans l’ensemble de l’Union. Le Bureau de l’IA peut fournir une assistance technique aux autorités nationales. Organiser des actions conjointes de surveillance. Et émettre des avis sur l’interprétation et l’application de la réglementation.

Conseil pratique : Les opérateurs économiques ont intérêt à se familiariser avec les lignes directrices et les recommandations publiées par le Bureau de l’IA. Ceci afin d’anticiper les attentes des autorités de surveillance du marché. Et de faciliter le dialogue avec elles.

Mise en Place de Bacs à Sable Réglementaires

L’IA Act encourage les États membres à mettre en place des bacs à sable réglementaires pour l’IA (« regulatory sandboxes »). Il s’agit d’environnements contrôlés. Dans lesquels des systèmes d’IA innovants peuvent être testés en conditions réelles. Sous la supervision des autorités compétentes, pendant une durée limitée. L’objectif est de favoriser l’innovation tout en garantissant le respect des exigences réglementaires. Chaque État membre doit établir au moins un bac à sable opérationnel au plus tard le 2 août 2026. Ils doivent aussi être ouverts à la participation transfrontalière.

Environnement contrôlé pour tester les innovations en IA

Les bacs à sable réglementaires permettent aux développeurs de systèmes d’IA, en particulier aux PME et aux startups, de tester leurs innovations. Dans un cadre sécurisé, en bénéficiant d’un accompagnement et d’un dialogue rapproché avec les autorités de contrôle. Cela permet d’identifier et de résoudre les éventuels problèmes de conformité en amont. Avant une mise sur le marché à grande échelle.

Exemple concret : Une startup développe un système d’IA pour la conduite autonome. Elle pourrait tester son système dans un bac à sable réglementaire. En conditions réelles de circulation mais dans un environnement délimité et sous la supervision des autorités. Ceci afin de vérifier sa sécurité et sa conformité avec les exigences de l’IA Act.

Accompagnement des entreprises dans la mise en conformité

Les autorités de contrôle qui participent aux bacs à sable réglementaires ont pour mission d’accompagner les entreprises. Dans leur démarche de mise en conformité. Elles peuvent fournir des conseils, des orientations et des recommandations. Sur l’interprétation et l’application des exigences de l’IA Act. Et aider les entreprises à mettre en place les mesures nécessaires pour garantir la sécurité et la légalité de leurs systèmes.

Analyse approfondie : Les bacs à sable réglementaires sont un outil innovant pour favoriser le développement d’une IA responsable. Et conforme aux exigences réglementaires. Ils permettent de créer un dialogue constructif entre les régulateurs et les innovateurs. Et d’anticiper les défis posés par les nouvelles technologies.

Supervision par les autorités compétentes

Les bacs à sable réglementaires ne sont pas des zones de non-droit. Les systèmes d’IA testés restent soumis aux exigences de l’IA Act. Les autorités compétentes conservent leurs pouvoirs de surveillance et de contrôle. Elles peuvent notamment interrompre l’expérimentation si elles constatent des risques graves ou des non-conformités majeures.

Conseil pratique : Vous envisagez de participer à un bac à sable réglementaire. Assurez-vous de bien comprendre les conditions de participation. Les obligations qui vous incombent et les pouvoirs des autorités de contrôle. Préparez-vous à une coopération étroite et transparente avec les autorités pendant toute la durée de l’expérimentation.

Coopération avec les Institutions Européennes

Les États membres et leurs autorités de contrôle ne sont pas isolés dans la mise en œuvre de l’IA Act. Ils doivent coopérer étroitement avec les institutions européennes. En particulier avec la Commission européenne et le Comité européen de l’intelligence artificielle.

Coordination avec la Commission européenne

La Commission européenne joue un rôle central dans la gouvernance de l’IA Act. Elle est chargée de coordonner l’action des États membres. D’adopter des actes d’exécution et des lignes directrices pour préciser certaines dispositions de la loi. Et de veiller à une application harmonisée de la réglementation dans l’ensemble de l’Union. Les États membres doivent coopérer avec la Commission et lui fournir les informations nécessaires.

Participation au Comité européen de l’intelligence artificielle

Le Comité européen de l’intelligence artificielle (CEIA) est un organe consultatif. Il est composé de représentants des autorités nationales compétentes, du Contrôleur européen de la protection des données et de la Commission européenne. Il a pour mission d’assister la Commission et les États membres dans la mise en œuvre de l’IA Act. De favoriser la coopération entre les autorités nationales. Et de contribuer à l’élaboration de bonnes pratiques et de normes en matière d’IA.

Analyse approfondie : Le CEIA est une instance clé pour garantir une application cohérente et efficace de l’IA Act dans l’ensemble de l’Union. Il permet aux États membres de partager leurs expériences. De coordonner leurs actions. Et de parler d’une seule voix sur les questions relatives à la gouvernance de l’IA.

Sensibilisation, Formation et Soutien aux PME

Les États membres ont aussi un rôle important à jouer en matière de sensibilisation, de formation et de soutien aux petites et moyennes entreprises (PME). Ceci pour les aider à se conformer à l’IA Act.

Actions de sensibilisation et de formation sur l’IA Act

Les États membres doivent mener des actions de sensibilisation et de formation. Pour informer les acteurs de l’IA, en particulier les PME, sur les exigences de l’IA Act et les bonnes pratiques. Cela peut inclure l’organisation de séminaires, la publication de guides pratiques, la mise en place de plateformes d’information en ligne, etc.

Exemple concret : Une autorité nationale pourrait organiser des ateliers pratiques pour aider les PME. À réaliser une évaluation des risques de leurs systèmes d’IA. À rédiger une documentation technique conforme aux exigences de l’IA Act. Ou à mettre en place un système de gestion des risques.

Accompagnement spécifique pour les petites et moyennes entreprises

Les PME et les startups peuvent avoir des difficultés particulières à se conformer à l’IA Act. En raison de leurs ressources limitées et de leur manque d’expertise juridique et technique. Les États membres sont donc encouragés à mettre en place des mesures de soutien spécifiques. Telles que des guichets uniques d’information, des services de conseil personnalisés ou des aides financières pour la mise en conformité.

Conseil pratique : Si vous êtes une PME ou une startup, sollicitez l’aide des autorités nationales compétentes. Ou des structures d’accompagnement mises en place dans votre État membre. Profitez des ressources et des formations mises à votre disposition pour faciliter votre mise en conformité.

Facilitation de l’accès aux bacs à sable réglementaires

Les États membres doivent veiller à ce que les PME et les startups aient un accès facilité aux bacs à sable réglementaires. Afin qu’elles puissent tester leurs innovations dans un environnement sécurisé. Et bénéficier d’un accompagnement dans leur démarche de mise en conformité.

Analyse approfondie : L’implication des PME et des startups est essentielle pour garantir le succès des bacs à sable réglementaires. Et pour favoriser l’émergence d’une IA européenne innovante et respectueuse des exigences de l’IA Act.

Autres Acteurs Impliqués

Outre les autorités nationales compétentes, d’autres acteurs jouent un rôle important dans le contrôle et l’application de l’IA Act.

Organismes notifiés (évaluation de la conformité)

Comme mentionné précédemment, certains systèmes d’IA à haut risque doivent faire l’objet d’une évaluation de la conformité par un organisme notifié. Avant leur mise sur le marché. Ces organismes, désignés par les autorités nationales compétentes, sont chargés de vérifier que les systèmes d’IA respectent les exigences de l’IA Act.

Analyse approfondie : Les organismes notifiés jouent un rôle crucial dans le dispositif de contrôle de l’IA Act. Leur expertise technique et leur indépendance sont essentielles. Pour garantir la fiabilité et l’objectivité des évaluations de conformité.

Autorités de protection des données

Les autorités de protection des données (comme la CNIL en France) ont un rôle important à jouer dans l’application de l’IA Act. En particulier en ce qui concerne les aspects liés à la protection des données personnelles. Elles sont chargées de veiller au respect du RGPD dans le cadre du développement et de l’utilisation des systèmes d’IA. Et de coopérer avec les autorités de surveillance du marché pour garantir une approche cohérente.

Conseil pratique : Si vous utilisez des systèmes d’IA qui traitent des données personnelles, assurez-vous de respecter à la fois les exigences de l’IA Act et celles du RGPD. Sollicitez l’avis de votre autorité de protection des données en cas de doute.

Autorités sectorielles

Dans certains secteurs réglementés, comme la santé, les transports ou la finance, des autorités sectorielles peuvent intervenir. Dans le contrôle des systèmes d’IA, en complément des autorités de surveillance du marché. Ces autorités sont chargées de veiller au respect des réglementations sectorielles spécifiques. Celles-ci peuvent comporter des exigences additionnelles en matière de sécurité, de performance ou d’éthique pour les systèmes d’IA.

Exemple concret : Dans le domaine de la santé, l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) en France peut intervenir. Ou l’Agence européenne des médicaments (EMA) au niveau européen. Dans le contrôle des systèmes d’IA utilisés comme dispositifs médicaux, en plus de l’autorité de surveillance du marché.

Lanceurs d’alerte

L’IA Act prévoit un mécanisme de protection des lanceurs d’alerte qui signalent des violations de la réglementation. Les États membres doivent mettre en place des canaux de signalement confidentiels. Et protéger les lanceurs d’alerte contre les représailles.

Analyse approfondie : Les lanceurs d’alerte peuvent jouer un rôle important dans la détection des infractions à l’IA Act. Et dans la responsabilisation des acteurs de l’IA. Leur protection est essentielle pour garantir l’efficacité du dispositif de contrôle.

Conclusion

La mise en œuvre effective de l’IA Act repose sur une articulation complexe. Entre les différents niveaux de gouvernance, européen et national. Et sur une coopération étroite entre les multiples acteurs impliqués dans le contrôle et la surveillance des systèmes d’IA.

Les États membres et leurs autorités de contrôle jouent un rôle central dans ce dispositif. Ce sont eux qui, sur le terrain, sont chargés de faire appliquer la loi. D’accompagner les entreprises dans leur mise en conformité. Et de sanctionner les manquements. Leur action est essentielle pour garantir que les objectifs ambitieux de l’IA Act se traduisent par des changements concrets. Dans la manière dont l’IA est développée et utilisée en Europe.