Aller au contenu principal
Diagnostic gratuit

Glossaire

25 définitions clés du Règlement

Obligations

24 articles détaillés avec échéances

Échéancier

Dates clés de 2025 à 2028

Diagnostic

Identifiez vos obligations en 3 minutes

Conformité PME

Vérifiez vos obligations AI Act en 30 secondes

Souveraineté européenne

Hébergement 100% en France

Assistant IA

IA contextuelle avec mémoire inter-sections

Génération documentaire

Texte conforme Annexe IV généré par IA

Diagnostic

Classification automatique de votre système

Versioning

Traçabilité des évolutions de vos projets

Multi-clients

Gestion multi-clients pour agences

Export PDF

PDF professionnels prêts pour l'audit

TarifsBlogConnexion
dgccrfcnilautorités nationales ai act

AI Act : seulement 8 États membres sur 27 sont prêts - ce que ça change vraiment pour votre conformité

25 mars 20267 min6
AI Act : seulement 8 États membres sur 27 sont prêts - ce que ça change vraiment pour votre conformité

En bref

  • Obligation manquée : la désignation des autorités nationales compétentes était due au 2 août 2025 selon l'Article 70 de l'AI Act. La majorité des États membres ne l'ont pas respectée.
  • 8 sur 27 : seuls 8 États membres ont formellement désigné leur point de contact unique auprès de la Commission européenne à ce jour, révélant un retard structurel dans la mise en place du cadre d'application
  • Vos obligations ne changent pas : le retard des États membres ne dispense pas les entreprises de leurs obligations. L'AI Act s'impose directement aux fournisseurs et déployeurs, indépendamment de la préparation des autorités nationales
  • Fragmentation du contrôle : sans autorités désignées, l'application sera inégale d'un État à l'autre dans un premier temps, créant une incertitude sur qui contrôlera quoi et quand
  • France, Espagne, Allemagne avancent : quelques pays font figure d'exception avec des dispositifs déjà en place - DGCCRF en France, AESIA en Espagne, Bundesnetzagentur en Allemagne
  • Un argument de plus pour le Digital Omnibus : ce retard institutionnel renforce la logique du report proposé par la Commission - comment appliquer un règlement sans les autorités pour le faire respecter ?

Le 2 août 2025, tous les États membres de l'Union européenne auraient dû avoir désigné leurs autorités nationales compétentes pour appliquer l'AI Act - leur point de contact unique, leur autorité de surveillance du marché, leur autorité notifiante. Date légale, obligation claire, texte publié. Résultat : seulement 8 États membres sur 27 ont respecté cette échéance. Ce chiffre, révélé lors des débats sur le Digital Omnibus au Parlement européen, dit beaucoup sur l'état réel de préparation de l'Europe à sa propre réglementation IA.

Pour les entreprises, la question qui se pose immédiatement est légitime : si les États eux-mêmes ne sont pas prêts, dois-je l'être ? La réponse est sans ambiguïté : oui.

Ce que l'Article 70 impose aux États membres

L'Article 70 du Règlement (UE) 2024/1689 est explicite. Chaque État membre devait, avant le 2 août 2025 :

  • Désigner au moins une autorité de surveillance du marché, chargée de vérifier la conformité des systèmes IA mis en service sur son territoire
  • Désigner au moins une autorité notifiante, responsable de l'accréditation des organismes de certification des systèmes à haut risque
  • Communiquer à la Commission européenne l'identité de son point de contact unique (PCU) pour centraliser les échanges
  • Rendre publiques les coordonnées de ces autorités par voie électronique

Ces autorités ont un rôle central : elles seront les bras armés de l'AI Act sur le terrain. Ce sont elles qui mèneront les enquêtes, ordonneront des mises en conformité, infligeront les amendes et coordonneront avec le Bureau de l'IA (AI Office) au niveau européen. Sans elles, le règlement reste une obligation sans organe d'application national.

Qui a joué le jeu - et qui est en retard ?

Parmi les États qui ont avancé sur la désignation de leurs autorités, quelques exemples notables :

France

La France a opté pour un modèle coordonné multi-autorités. La DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) assume le rôle de point de contact unique. Plusieurs régulateurs sectoriels sont impliqués : la CNIL pour les aspects données personnelles, l'ANSSI pour la cybersécurité, l'ARCOM pour les contenus numériques, la HAS pour les dispositifs médicaux intégrant de l'IA. La DGE (Direction générale des entreprises) assure la représentation de la France au Comité européen de l'IA.

Allemagne

L'Allemagne a désigné la Bundesnetzagentur (Agence fédérale des réseaux) comme autorité de surveillance du marché et la Deutsche Akkreditierungsstelle comme autorité notifiante. Le pays est allé plus loin avec l'adoption en cabinet fédéral du projet de loi KI-MIG en février 2026, premier dispositif national de transposition.

Espagne

L'Espagne a fait un choix structurel fort en créant une agence dédiée : l'AESIA (Agence espagnole de supervision de l'IA), qui travaille en coordination avec l'AEPD (protection des données), la Banque d'Espagne et la CNMV.

Irlande

L'Irlande a opté pour un modèle décentralisé avec quinze autorités compétentes désignées, coordonnées par le National AI Office opérationnel depuis septembre 2025.

Ces pays sont l'exception. La majorité des 27 États membres n'a pas encore de dispositif formellement opérationnel - ce qui crée une situation inédite à moins de cinq mois de l'échéance.

Pourquoi ce retard - et pourquoi il renforce la logique du Digital Omnibus

Ce retard n'est pas anodin. Il est structurel et révèle trois problèmes simultanés :

  • Le manque de normes harmonisées : sans les standards techniques du CEN-CENELEC, les autorités nationales ne savent pas précisément selon quels critères elles devront évaluer la conformité des systèmes à haut risque. Désigner une autorité sans lui donner les outils pour travailler est peu efficace.
  • Le manque de ressources et d'expertise : l'AI Act exige des autorités qu'elles disposent de compétences en IA, protection des données, cybersécurité et droit. Ce profil rare se recrute difficilement dans le secteur public.
  • La complexité organisationnelle : certains États membres, notamment ceux avec des structures fédérales ou fortement décentralisées, ont du mal à définir quelle autorité existante absorber ou si une nouvelle structure est nécessaire.

Ce contexte renforce directement l'argument de la Commission européenne pour le Digital Omnibus : comment appliquer sérieusement un règlement si les autorités censées le faire respecter ne sont pas opérationnelles ? C'est l'un des arguments centraux ayant justifié la proposition de report des obligations haut risque à décembre 2027.

Ce n'est pas un signe de faiblesse réglementaire - c'est un signe de réalisme. L'AI Act est une réglementation d'une complexité sans précédent. Lui donner les outils pour fonctionner correctement vaut mieux que de l'appliquer trop vite et mal.

Ce que ça change concrètement pour votre entreprise

La question que se posent beaucoup de responsables conformité est directe : si l'État n'est pas prêt à contrôler, puis-je décaler mes efforts ?

La réponse juridique est non, pour trois raisons :

1. L'AI Act est un règlement européen d'application directe

Contrairement à une directive qui nécessite une transposition nationale, un règlement européen s'applique directement dans tous les États membres sans loi intermédiaire. Le fait qu'un État n'ait pas encore désigné son autorité nationale ne suspend pas vos obligations légales. Vous êtes soumis à l'AI Act dès maintenant.

2. Le Bureau de l'IA peut se substituer partiellement aux autorités nationales

Le Digital Omnibus renforce précisément le rôle du Bureau de l'IA (AI Office) comme autorité centrale. Pour les modèles GPAI et les systèmes intégrés dans de très grandes plateformes, l'AI Office aura des pouvoirs directs d'enquête et de sanction, indépendamment des autorités nationales. La supervision ne disparaît pas en l'absence d'autorités nationales - elle se centralise.

3. Votre responsabilité contractuelle vis-à-vis de vos clients existe déjà

Au-delà des sanctions réglementaires, vos clients - notamment les grands groupes et les acteurs publics - commencent à intégrer la conformité AI Act dans leurs appels d'offres et leurs contrats. Ne pas être conforme expose à des risques commerciaux qui n'attendent pas que les autorités nationales soient opérationnelles.

Ce que vous devez faire malgré ce contexte

Le retard des États membres ne modifie pas vos priorités. Il crée cependant une fenêtre utile :

  1. Identifier votre autorité nationale compétente selon votre secteur : si votre pays a déjà désigné ses autorités, identifiez laquelle sera compétente pour vos systèmes. En France, selon votre secteur, ce sera la CNIL, la HAS, l'ARCOM ou la DGCCRF. Établir ce contact en amont est un avantage.
  2. Documenter votre démarche de bonne foi : en cas de contrôle lors des premiers mois d'application - souvent plus tolérants sur la forme que sur le fond - pouvoir montrer un inventaire de vos systèmes IA, une classification des risques et un plan de mise en conformité daté est une protection concrète.
  3. Ne pas attendre les autorités pour avancer : la classification de vos systèmes selon l'Annexe III, la documentation de votre supervision humaine, la mise à jour de vos mentions légales pour l'Article 50 - aucune de ces étapes ne dépend d'une autorité nationale opérationnelle.
  4. Surveiller les désignations dans votre État membre : les annonces se font au fil des semaines. La Commission publie la liste des points de contact uniques dès leur notification. Restez informés via l'échéancier AI Act AiActo.

Le diagnostic gratuit AiActo vous permet de classifier vos systèmes, d'identifier vos obligations et de commencer à structurer votre documentation - sans attendre que votre autorité nationale soit opérationnelle.

Questions fréquentes

Si mon État membre n'a pas encore désigné ses autorités, puis-je être sanctionné ?

Théoriquement oui - l'AI Act est un règlement d'application directe. En pratique, les premières applications strictes seront probablement concentrées dans les États où les autorités sont opérationnelles. Mais "probablement peu contrôlé dans un premier temps" n'est pas une base légale suffisante pour ignorer vos obligations. Une non-conformité documentée reste une non-conformité.

Qui contrôle les modèles GPAI si les autorités nationales ne sont pas prêtes ?

Le Bureau de l'IA (AI Office) au niveau européen. Les obligations GPAI (Articles 51-56) sont déjà en vigueur depuis août 2025 et l'AI Office dispose de compétences directes d'enquête et de sanction sur ces modèles, indépendamment des autorités nationales.

Quelle est l'autorité compétente pour une entreprise française ?

En France, la DGCCRF est le point de contact unique. Selon votre secteur et votre système, la CNIL (données personnelles), la HAS (santé), l'ARCOM (contenus numériques) ou l'ACPR (finance) peuvent être compétentes. Pour les aspects techniques mutualisés, l'ANSSI et le PEReN apportent un support aux autres autorités.

Le retard des États membres justifie-t-il de repousser ma mise en conformité ?

Non. L'AI Act s'applique directement aux entreprises. Le retard des autorités nationales peut réduire temporairement le risque d'être contrôlé, mais ne réduit pas votre exposition légale ni votre risque contractuel vis-à-vis de vos clients. Commencer tôt reste la stratégie la plus robuste dans tous les scénarios.

Le Digital Omnibus suspend-il aussi les obligations des entreprises en attendant les autorités ?

Non. Le Digital Omnibus propose de reporter les échéances d'application pour les entreprises - pas d'attendre que les autorités soient opérationnelles. Si adopté, les obligations seraient décalées à décembre 2027, mais ce report s'appliquerait uniformément, indépendamment de l'état de préparation des autorités nationales.

Le retard de 19 États membres sur 27 est un signal fort : l'AI Act est une réglementation d'une complexité rare, que ni les entreprises ni les États n'ont entièrement anticipée. Mais ce signal ne change pas la direction - il confirme l'urgence de se préparer sérieusement, en s'appuyant sur des outils structurés plutôt qu'en attendant une clarté institutionnelle qui prendra du temps à venir. Consultez l'échéancier complet de l'AI Act pour suivre toutes les évolutions du calendrier réglementaire.

Partager cet article