L’ACPR a organisé le 1er juillet une réunion de place consacrée au Règlement IA, l’occasion de faire le point sur les évolutions réglementaires récentes et d’échanger sur les grands enjeux à venir en matière de gouvernance et d’encadrement de l’IA.
Une simplification du cadre réglementaire et un calendrier ajusté
Une démarche de simplification du cadre réglementaire a été engagée, visant notamment à éviter l’empilement des réglementations (IA Act, DORA, Data Act) et à faciliter leur application au sein des organisations.
Le fait marquant est le report conditionné au 2 décembre 2027 de l’entrée en application des obligations pour les systèmes d’IA à haut risque, dans le cadre du Digital Omnibus on AI de la Commission européenne. Ce report ne concerne toutefois pas les obligations de transparence, qui entreront en application dès le 2 août 2026 : les fournisseurs devront informer les utilisateurs qu’ils interagissent avec une IA, et les déployeurs identifier les contenus générés par IA (hypertrucages, reconnaissance d’émotion, catégorisation biométrique).
Ce calendrier assoupli s’accompagne d’un renforcement des pouvoirs de l’AI Office, dont l’action se recentre sur une compétence exclusive de surveillance des modèles GPAI, avec de nouveaux outils d’enquête et de sanction. La simplification réglementaire vise par ailleurs à limiter le chevauchement entre DORA, l’IA Act et le Data Act, pour faciliter leur mise en application opérationnelle.
Clarifications sur les systèmes à haut risque et perspectives de supervision
Des guidelines de la Commission, actuellement en consultation jusqu’au 23 juillet, apportent des clarifications utiles, notamment sur les SIA à haut risque :
- la finalité du système reste le critère central pour qualifier le haut risque,
- l’intervention humaine ne réduit pas le niveau de risque,
- aucune exemption n’est prévue pour les systèmes de profilage de personnes physiques
- les architectures complexes combinant plusieurs SIA sont considérées comme un système unique à haut risque, contrairement aux régressions linéaires simples ne sont pas considérées comme étant à risque dans ce cadre.
Des travaux sont en cours sur 4 grands axes : l’équité, l’explicabilité, la performance/robustesse, la cybersécurité/vie privée – dont les synthèses sont attendues pour fin T4 2026. La question des biais, y compris dans les modèles d’IA générative, et la potentielle utilisation des données sensibles pour les corriger, fait l’objet d’une attention particulière et fait partie des sujets en cours d’étude.
La CNIL reste l’organe central de la supervision : organisme notifié, surveillance de marché, encadrement des pratiques interdite et protection des droits fondamentaux – en lien avec l’ACPR.
Au niveau national, CNIL et ACPR poursuivent leurs travaux de coordination, avec des lignes directrices communes RGPD/RIA attendues à l’automne ou au début de l’hiver 2026.
Plus d’informations : reglement-ia@acpr.banque-france.fr
Auteurs :
Aymeric Prat
Associé
Julia Snidaro
Senior Consultante
Clotilde Garcia
Consultante