Le Sénat valide une régulation de l'IA en mode puzzle

Publié le  par  Olivier Devillers , pour Localtis
Europe et international, Infrastructures numériques, THD, Sécurité

Discuté au Sénat le 17 février 2026, le volet numérique du projet de loi Ddadue désigne les régulateurs de l'intelligence artificielle. Une quinzaine d'entités sectorielles, avec un rôle central pour la Cnil, héritent de missions de contrôle des systèmes d'IA. Les sénateurs ont par ailleurs reporté d'un an l'application des obligations du Gigabit infrastructure act pour les petites communes.

Thomas Dossus et Catherine Morin-Desailly

© Capture vidéo Sénat/ Photos du haut: Thomas Dossus et Catherine Morin-Desailly

L'AI Act est en vigueur depuis février 2025, les dispositions sur les systèmes à haut risque s'appliquant depuis août 2026. Il y avait urgence à garantir l'application du texte en désignant les autorités nationales compétentes. C'est l'objet du volet numérique du projet de loi  transposant divers textes européens (Ddadue).

Le projet de loi n'était cependant pas suffisamment précis sur le volet IA et le gouvernement a déposé une douzaine d'amendements, suscitant une certaine irritation chez les sénateurs. Catherine Morin-Desailly (UC) a regretté l'absence de débat approfondi "sur un sujet qui nous fait entrer dans une nouvelle civilisation". Thomas Dossus (Écologistes) a déploré l'absence d'une autorité unique dédiée sur l'IA, estimant qu'avec quinze autorités compétentes, c'était "illisible".

Une régulation sectorielle

L'architecture retenue, dévoilée en septembre 2025 par la direction générale des entreprises (DGE), est celle d'une régulation de l'IA reposant sur des entités sectorielles. L'Agence nationale de sécurité du médicament supervise les dispositifs médicaux, l'autorité de contrôle prudentiel et de résolution les institutions financières, la répression des fraudes (DGCCRF) les jouets et la formation professionnelle. Le Conseil d'État, la Cour de cassation et la Cour des comptes contrôlent les systèmes d'IA utilisés dans les juridictions de leur ressort. L'Agence nationale des fréquences hérite des équipements radioélectriques, les infrastructures critiques relèvent des hauts fonctionnaires de défense. Les transports maritimes et à câbles reviennent aux directions compétentes du ministère des Transports, les équipements sous pression aux inspecteurs de l'environnement et les ascenseurs à la direction générale du logement…

La coordination de l'ensemble est confiée à la DGCCRF et à la DGE, appuyées sur le plan technique par l'Agence nationale pour la sécurité des systèmes d'information (Anssi).

Un rôle central pour la Cnil

Dans cet ensemble, la Cnil occupe une place centrale, avec un périmètre plus large que ce qu'annonçait en septembre la DGE.

Surveillance. En tant qu'autorité de surveillance du marché, elle veille au respect des obligations sur les pratiques interdites : notation sociale, manipulation comportementale, exploitation des vulnérabilités, reconnaissance faciale dans l'espace public. Elle régulera ensuite les systèmes à haut risque relevant de l'annexe III — soit les usages en matière de biométrie, d'emploi, d'éducation, d'accès aux services essentiels, de justice et de migration — ainsi que certaines obligations de transparence pour les systèmes d'IA générant des contenus synthétiques.

Certification. En tant qu'organisme notifié, elle délivre des certificats de conformité aux systèmes d'IA à haut risque relevant de son champ avant leur mise sur le marché, et en assure la surveillance. Elle peut suspendre, retirer ou assortir de restrictions les certificats qu'elle a délivrés. Confier ce rôle à une autorité administrative indépendante plutôt qu'à un organisme privé accrédité constitue une originalité de l'architecture française.

Sanctions. Toute personne s'estimant lésée par un système d'IA relevant de sa compétence peut la saisir. Sa formation restreinte peut prononcer des injonctions, des astreintes jusqu'à 100.000 euros par jour et des amendes pouvant atteindre 35 millions d'euros ou 7% du chiffre d'affaires mondial. Une procédure d'urgence est prévue en cas de risque grave pour les droits fondamentaux.

L'Arcom sur les plateformes

Sur les sujets touchant aux plateformes, au pluralisme ou aux processus électoraux, la Cnil est tenue de consulter l'Arcom — qui reçoit tous les éléments nécessaires, sans que le secret des affaires ou la protection des données puissent y faire obstacle. L'Arcom dispose par ailleurs de sa propre compétence sur les pratiques de manipulation subliminale et les obligations de transparence sur les contenus générés par IA.

Impact potentiel de l'omnibus numérique

Le texte charge par ailleurs l'Arcep de l'application du Data act et l'ANFR du Cyber resilience act sur la sécurité numérique des produits. Les sénateurs n'ont pas manqué de soulever la question des moyens pour toutes ces autorités, ces nouvelles missions exigeant de recruter des compétences pointues.

Le texte, doit maintenant être discuté à l'Assemblée nationale. Il pourrait cependant être amené à évoluer d'ici la fin de son parcours parlementaire sous l'effet du paquet omnibus numérique européen qui prévoit de "simplifier" la réglementation (notre article du 24 novembre 2025).

Un délai supplémentaire pour les obligations Gigabit

La loi Ddadue transpose le Gigabit infrastructure act (règlement UE 2024/1309). Ce GIA crée de nouvelles obligations de mise à disposition d'infrastructures pour les collectivités afin de faciliter le déploiement des réseaux télécoms :

- Un élargissement des infrastructures d'accueil avec une liste explicite des patrimoines concernés (conduites, pylônes, boîtiers, mobilier urbain, panneaux, etc.) et une extension des obligations aux personnes publiques détenant ou contrôlant de telles infrastructures sans qu'elles fassent partie d'un réseau.

- Droit d'accès aux infrastructures : le règlement prévoit une liste limitative de motifs de refus. Le sénateur Patrick Chaize a cependant fait adopter un amendement précisant la clause de disproportion. La mise à disposition des données, et notamment le géoréférencement, ne doit pas entrainer de travaux supplémentaires pour les collectivités.

- Point d'information unique (ex-guichet unique) : les demandes d'information sur les infrastructures doivent désormais transiter par voie électronique via ce point unique ; les délais de réponse sont raccourcis à dix jours ouvrables (prorogeables de cinq jours), contre deux semaines auparavant.

Le Sénat a voté une rallonge pour l'application du règlement GIA par les communes de moins de 3.500 habitants. La mise en œuvre est repoussée au 12 mai 2027 au lieu du 12 mai 2026. Un amendement a imposé au gouvernement la mise en place d'un plan d'accompagnement des collectivités en lien avec les associations d'élus, dans une logique d'équité territoriale.

 

Pour aller plus loin

Voir aussi

    Abonnez-vous à Localtis !

    Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

    Découvrir Localtis

    Back to Top of the Page