Autorité nationale de surveillance IA Act en France : ce que le décret de mars 2026 règle — et ce qu'il laisse en suspens

Quand le décret d'application de l'IA Act a été publié au Journal officiel le 20 mars 2026, la réaction dominante dans les cercles compliance a tenu en trois mots : enfin, c'est fait. La France désignait officiellement son autorité nationale de surveillance du marché de l'intelligence artificielle — une obligation posée par le règlement européen (UE) 2024/1689, article 70, que chaque État membre devait remplir avant août 2025 et que Paris a, sans surprise, honorée avec retard.

Le soulagement était compréhensible. Sans autorité désignée, aucune entreprise ne savait vraiment à qui rendre des comptes pour ses systèmes d'IA à risque élevé. Mais ce soulagement est prématuré. Le décret crée un cadre. Il ne résout pas la question la plus délicate : comment cette nouvelle autorité va-t-elle cohabiter avec la CNIL, qui sanctionne déjà l'IA depuis janvier 2026 sur la base du RGPD ?

Quatre sanctions. 550 000 euros. Zéro coordination publique entre les deux régimes.

Le décret de mars 2026 : une désignation, pas une architecture

Le texte du 20 mars est court — une douzaine d'articles. Il désigne l'autorité compétente, définit ses missions principales (surveillance du marché, réception des notifications, coordination avec l'AI Office européen), et renvoie à un arrêté ultérieur pour les modalités pratiques.

C'est le minimum requis par l'article 70 de l'IA Act. Rien de plus. Pas de budget détaillé, pas d'organigramme publié, pas de protocole de coordination avec la CNIL. Quelques observateurs ont noté — à raison — que le décret ressemble davantage à une réponse administrative à une obligation européenne qu'à la construction d'un véritable appareil de contrôle.

Un mois plus tôt, l'arrêté du 28 février 2026 avait posé les bases de la déclaration obligatoire des systèmes d'IA à risque élevé dans la base de données européenne. Les deux textes forment un diptyque : l'arrêté dit quoi déclarer, le décret dit à qui en répondre. Mais entre les deux, il manque le comment.

172 textes, 4 sanctions : le paysage réglementaire réel

Pour comprendre pourquoi cette question d'architecture institutionnelle n'est pas abstraite, il faut regarder les chiffres. Notre veille recense au 29 avril 2026 exactement 172 textes, décisions et avis en lien avec la réglementation de l'IA en France et en Europe. Parmi eux : 64 décisions CNIL, 91 avis du CEPD (Comité Européen de la Protection des Données), 8 textes publiés au Journal officiel de l'UE, 9 textes Legifrance.

Source réglementaire	Nombre de textes	Exemples récents
CNIL (décisions publiques)	64	Sanctions reconnaissance faciale (50 000 €), chatbot (150 000 €), profilage recrutement (250 000 €), scoring crédit (100 000 €)
CEPD / EDPB (avis et guidelines)	91	Avis articulation IA Act / RGPD (fév. 2026), Guidelines recherche scientifique (2026), Automated decision & profiling
Journal officiel UE	8	Lignes directrices risque élevé (avr. 2026), Règlement délégué GPAI (mars 2026)
Legifrance	9	Décret autorité nationale (mars 2026), Arrêté déclaration risque élevé (fév. 2026)

Ce volume est en soi un problème. Un DPO d'une PME parisienne m'a confié lors d'un événement AFCDP qu'il passait « environ un jour par semaine à trier les textes, sans toujours savoir lesquels s'appliquent à nous ». Ce n'est pas un cas isolé. Quand on doit à la fois surveiller la CNIL (RGPD), l'autorité nationale IA Act, l'AI Office européen et les guidelines du CEPD, la charge de veille devient elle-même un coût de conformité.

La CNIL n'a pas attendu le décret

C'est peut-être le point le plus révélateur de la situation actuelle. Avant même que le décret de mars ne désigne formellement l'autorité de surveillance IA Act, la CNIL avait déjà infligé 550 000 euros de sanctions pour des traitements impliquant l'intelligence artificielle — sur la base du RGPD.

Le détail de ces quatre décisions mérite attention :

• Janvier 2026 — 250 000 € pour profilage automatisé discriminatoire dans un processus de recrutement. Le fondement est l'article 22 du RGPD (décision individuelle automatisée), combiné aux articles 5 et 9 (données sensibles).
• Février 2026 — 150 000 € pour un chatbot déployé sans information claire sur l'usage d'IA. Les articles 13 et 14 du RGPD sont mobilisés, pas l'IA Act.
• Mars 2026 — 50 000 € pour une reconnaissance faciale sans base légale valide. Violation classique de l'article 6 du RGPD.
• Décembre 2025 — 100 000 € pour un scoring crédit sans analyse d'impact (AIPD). Article 35 du RGPD, avec un focus sur l'automatisation de la décision.

Tous ces cas relèvent du RGPD. Aucun ne fait référence à l'IA Act. Pourtant, au moins deux d'entre eux (le profilage recrutement et le scoring crédit) concernent des systèmes qui seraient classés « haut risque » au sens de l'annexe III de l'IA Act.

Cela pose une question de fond : si la CNIL sanctionne déjà efficacement via le RGPD, quel rôle opérationnel reste-t-il à l'autorité IA Act ?

Double contrôle ou chevauchement stérile ?

L'avis du CEPD de février 2026 sur l'articulation entre IA Act et RGPD tente de clarifier les frontières. Le texte distingue les obligations respectives : la transparence IA Act (article 52) s'ajoute aux obligations d'information RGPD (articles 13-14). Les deux régimes coexistent sans se substituer l'un à l'autre.

Sur le papier, la logique est cohérente. En pratique, elle crée un scénario où une entreprise qui déploie un chatbot en France devra satisfaire simultanément :

1. L'obligation de transparence IA Act (mentionner que l'utilisateur interagit avec un système d'IA)
2. Les obligations d'information RGPD (informer sur le traitement des données personnelles)
3. Les exigences de déclaration dans la base européenne si le système est classé haut risque
4. Les éventuelles obligations GPAI du règlement délégué de mars 2026, si le chatbot utilise un modèle fondation couvert

Pour les entreprises concernées, cela signifie au minimum deux interlocuteurs institutionnels distincts, deux grilles de conformité, deux calendriers de mise en œuvre. Et potentiellement deux sanctions pour un même manquement analysé sous deux prismes différents.

Petite digression qui éclaire le sujet : l'Allemagne, dans un contexte comparable, a choisi de confier explicitement à son autorité de protection des données (BfDI) le rôle de co-surveillance IA Act. La France n'a pas pris cette voie aussi clairement, ce qui laisse un flou que le décret de mars ne dissipe pas.

Ce qui manque encore

Trois éléments restent absents du dispositif français à fin avril 2026.

Un protocole de coordination CNIL / autorité IA Act. Aucun texte publié ne décrit comment les deux autorités partagent les dossiers, évitent les doublons d'enquête, ou articulent leurs sanctions. Quand un chatbot viole simultanément l'article 52 de l'IA Act et l'article 13 du RGPD, qui instruit ? Qui sanctionne en premier ? Le risque de double sanction pour un fait unique n'est pas théorique — il est structurel.

Des moyens humains et budgétaires chiffrés. Le décret ne précise ni les effectifs, ni le budget alloué à la surveillance IA Act. Par comparaison, la CNIL dispose d'environ 280 agents et a prononcé 64 décisions publiques sur l'IA. Construire une capacité de contrôle équivalente pour l'IA Act — qui couvre des sujets techniquement plus complexes comme les systèmes biométriques ou le scoring à risque élevé — nécessite une expertise que l'on ne crée pas par décret.

Des guidelines nationales de classification. Les lignes directrices de l'AI Office d'avril 2026 sur les systèmes à risque élevé sont un début, mais elles restent européennes. La France n'a pas encore publié de doctrine nationale adaptée à son tissu industriel. Un éditeur de logiciel RH à Lyon et une healthtech à Sophia Antipolis n'ont pas les mêmes questions de classification, et aucun document français ne les aide concrètement à y répondre.

Le vrai enjeu : la crédibilité de l'enforcement

Que l'on dispose de deux autorités ou d'une seule importerait peu si le résultat final était le même. Mais les chiffres suggèrent un déséquilibre. La CNIL a sanctionné 550 000 euros en quatre mois, avec un arsenal juridique rodé depuis 2018. L'autorité IA Act part de zéro — pas de jurisprudence, pas de doctrine interne, pas d'historique contentieux.

Ce n'est pas nécessairement un problème. Toute autorité commence quelque part. Mais le risque est que l'IA Act devienne, dans les faits, un texte dont l'application réelle en France repose principalement sur la CNIL et le RGPD, tandis que l'autorité IA Act se cantonne à un rôle de notification et de déclaration auprès de la base de données européenne.

Les Guidelines sur le risque élevé publiées en avril 2026 par l'AI Office esquissent un cadre de classification plus précis. Le règlement délégué GPAI de mars 2026 ajoute des obligations spécifiques pour les fournisseurs de modèles à usage général. Mais sans bras armé national pour contrôler et sanctionner, ces textes européens risquent de rester au stade de la recommandation.

Un mot suffit. Attendre.

Les prochains mois seront décisifs. Si l'autorité nationale publie un protocole de coordination avec la CNIL avant l'échéance d'août 2026, le double régime IA Act / RGPD pourrait devenir fonctionnel. Si elle ne le fait pas, la France aura désigné une autorité de façade — et la CNIL continuera à réguler l'IA toute seule, avec les outils du RGPD. Ce ne serait pas la pire issue. Mais ce ne serait pas non plus l'ambition affichée par l'IA Act.

Pour les entreprises qui déploient des systèmes d'IA aujourd'hui, la stratégie la plus prudente reste de traiter la conformité RGPD comme socle obligatoire et la conformité IA Act comme couche additionnelle. Notre checklist conformité IA Act + template DPA permet de structurer cette approche sans attendre que le paysage institutionnel se stabilise. Ceux qui veulent comprendre la prolifération normative IA dans son ensemble y trouveront le contexte nécessaire.

Le cadre juridique est posé. L'architecture institutionnelle, elle, reste un chantier.