SPRINKLING ACT
AI ACT × FRANCE
Architecture en trois couches : autorité réglementaire, coordinateur, autorités sectorielles existantes.
Le 9 septembre 2025, la France a publié son projet de désignation des autorités nationales compétentes au titre du Règlement (UE) 2024/1689. La DGE (Bercy) est l'autorité réglementaire et représente la France au European AI Committee. La DGCCRF coordonne les autorités de surveillance du marché et fait fonction de point de contact unique au sens de l'Article 70(2). Des autorités sectorielles existantes (CNIL, ACPR, Arcom, HFDS, Conseil d'État, ANSM, HAS) sont retenues dans leur domaine. Statut : projet de loi en cours d'adoption parlementaire.
LES 4 AUTORITÉS CLÉS
DGE
Autorité réglementaire AI Act française. Représente la France au European AI Committee. Coordination stratégique. La DGE a annoncé prioriser l'accompagnement des entreprises (sensibilisation, sandbox) sur la sanction.
Pour qui : tout deployer ou provider FR qui veut identifier son point de référence stratégique national avant la désignation finale.
DGCCRF
Coordinateur des autorités françaises de surveillance du marché + point de contact unique au sens de l'Article 70(2) du Règlement. Tout incident post-market notifiable remonte par ce canal.
Pour qui : Head of Compliance, DPO, General Counsel, l'interlocuteur officiel pour les notifications Art. 73.
CNIL
Reste autorité de protection des données (RGPD). Obtient compétence sectorielle limitée sous AI Act : Art. 5(1c-h) (social scoring, predictive policing, facial recognition databases, emotion recognition workplace, biometric categorization, real-time biometric ID public) + 5 domaines Annex III (biometric §1, education §3, employment §4, law enforcement §6, migration §7). Position canonique (Q&R 12 juillet 2024) : « intégrer une vision unifiée des règles applicables », combiner GDPR + AI Act, pas les traiter séparément.
Pour qui : tout deployer manipulant des données personnelles dans un système IA, la majorité des prospects.
ACPR
Autorité pour Annex III §5(b) credit-scoring et §5(c) solvabilité/assurance. Compétence dédiée banking + insurance.
Pour qui : credit institutions, asset managers, insurance companies déployant ou fournissant IA dans leur supervision ACPR.
MAPPING
| Domaine Annex III | Autorité primaire |
|---|---|
| §1 Identification biométrique | CNIL |
| §2 Infrastructures critiques | HFDS |
| §3 Éducation / formation | CNIL + DGCCRF |
| §4 Emploi / RH | CNIL |
| §5(b) Credit-scoring | ACPR |
| §5(c) Assurance / solvabilité | ACPR |
| §6 Application de la loi | CNIL |
| §7 Migration / asile | CNIL |
| §8(a) Justice administrative | Conseil d'État · Cour de cassation · Cour des Comptes |
| §8(b) Processus démocratiques | CNIL + Arcom |
POUR VOUS
Si votre système IA touche données personnelles + Annex III §3/§4/§6/§7, interlocuteur CNIL. Documentation Art. 26 obligations deployer. Si banking/insurance, ACPR.
Votre canal officiel de notification incidents AI Act = DGCCRF (point de contact unique). La CNIL reste votre interlocuteur RGPD + AI Act sur les questions de protection des données. La DGE est votre point de référence stratégique.
ACPR + DGCCRF coordination. Cohérence à articuler avec DORA (Digital Operational Resilience Act) ; DORA × Art. 26 AI Act × GPAI-systemic constitue la chaîne de conformité critique pour credit-scoring AI.
CNIL pour Annex III §4 employment : recrutement, évaluation, monitoring. Article 27 FRIA (Fundamental Rights Impact Assessment) déclencheur. Article 26 §11 information patient/étudiant/assuré soumis à décision IA.
Si IA médicale (logiciel = dispositif médical au sens MDR) : double régime MDR × AI Act. ANSM supervise les dispositifs médicaux et dispositifs médicaux de diagnostic in vitro (DMDIV). HAS (Haute Autorité de Santé) évalue les technologies de santé incluant systèmes IA via une grille dédiée, utile pour reimbursement CNEDiMTS. CNIL pour aspects RGPD du traitement données patients. ANSSI-PA-102 référence cybersécurité Art. 15.
ÉTAT AU 12 MAI 2026
Le projet de désignation des autorités françaises a été publié par la DGE et la DGCCRF le 9 septembre 2025. Il doit encore être adopté par le Parlement (projet de loi). Le mapping détaillé par autorité × article × secteur peut évoluer avant promulgation. Toutes les affirmations de cette page sont sourcées sur publications officielles disponibles à cette date.
Calendrier post-Digital Omnibus (accord trilogue 7 mai 2026) : applicabilité Annex III standalone reportée au 2 décembre 2027 (depuis 2 août 2026 initialement) · Annex I product-embedded au 2 août 2028 (depuis 2 août 2027) · marquage GenAI Art. 50(2) avancé au 2 décembre 2026. Adoption formelle Digital Omnibus visée avant le 2 août 2026.
ÉVALUEZ VOTRE POSITION
Le diagnostic Sprinkling Act mappe votre système contre les obligations applicables en France, secteur par secteur. Article par article. Position défendable devant l'autorité concernée.
SOURCES