Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
AI Act

Contrôles AI Act 2026 : qui contrôle et comment se préparer

Qui contrôle l'application de l'AI Act en 2026 ? AI Office, autorités nationales, périmètre des premiers contrôles, checklist documentaire et préparation.

L’essentiel. Le AI Act (règlement (UE) 2024/1689) est entré dans sa phase de contrôle progressif. La Commission européenne, via son AI Office, supervise les modèles d’IA à usage général (GPAI) depuis le 2 août 2025. Les autorités nationales de surveillance du marché montent en puissance pour les systèmes à haut risque, dont les obligations arrivent entre août 2026 et 2027. En France, la répartition exacte des compétences entre autorités (CNIL, DGCCRF et régulateurs sectoriels) reste à préciser dans le droit national. Se préparer aujourd’hui, c’est constituer sa documentation avant que les contrôles ne se systématisent.

Deux ans après l’adoption du AI Act, la question que me posent le plus souvent dirigeants et DPO n’est plus « suis-je concerné ? » mais « qui va me contrôler, sur quoi, et quand ? ». La phase d’application se déroule par vagues successives : interdiction des pratiques inacceptables depuis février 2025, obligations GPAI depuis août 2025, obligations haut risque de l’annexe III attendues à partir d’août 2026. À chaque vague correspond une architecture de contrôle qui se met en place, souvent avant même que toutes les modalités pratiques soient publiées.

Cet article fait le point sur l’écosystème de contrôle du AI Act tel qu’il se dessine en 2026 : les autorités compétentes, l’ordre probable des priorités de contrôle, et la manière de constituer un dossier défendable. Pour le calendrier détaillé, voir notre calendrier de l’AI Act et notre actualité AI Act 2026.

L’architecture de contrôle du AI Act

Le AI Act instaure une gouvernance à deux étages : un étage européen centralisé pour les modèles à usage général, et un étage national pour la surveillance du marché des systèmes d’IA.

L’AI Office : le contrôle des GPAI

L’AI Office, institué au sein de la Commission européenne, est l’autorité centrale de supervision des modèles d’IA à usage général (GPAI). Depuis le 2 août 2025, il veille au respect des obligations du chapitre V du règlement : documentation technique, politique de respect du droit d’auteur, résumé des données d’entraînement, et pour les modèles présentant un risque systémique, évaluation et atténuation des risques.

Concrètement, l’AI Office cible d’abord les fournisseurs des grands modèles (les développeurs de LLM), non les entreprises utilisatrices. Si vous déployez un outil bâti sur un modèle tiers, vous n’êtes pas la cible directe de l’AI Office, mais vous héritez de la documentation que ces fournisseurs doivent produire.

Les autorités nationales : la surveillance du marché

Pour les systèmes d’IA à haut risque de l’annexe III, le contrôle relève des autorités nationales de surveillance du marché, que chaque État membre doit désigner. C’est ici que se situe l’enjeu pour la majorité des entreprises déployant de l’IA opérationnelle.

En France, la désignation de l’autorité (ou des autorités) compétente(s) fait l’objet de discussions. Plusieurs candidats se dessinent selon le périmètre :

Périmètre Autorité pressentie en France Statut
IA traitant des données personnelles CNIL Rôle établi sur le volet RGPD, articulation AI Act à confirmer
Surveillance du marché / conformité produit DGCCRF Compétence générale de surveillance du marché, à confirmer
Secteurs régulés (finance, santé) Régulateurs sectoriels (ACPR, ANSM…) Vraisemblable par cohérence sectorielle
Coordination nationale À désigner Loi d’adaptation nationale attendue

Répartition indicative : la désignation formelle des autorités nationales relève du droit interne de chaque État membre et n’est pas définitivement arrêtée en France à ce jour. À confirmer par les textes d’adaptation.

La CNIL a d’ores et déjà publié des travaux et recommandations sur l’IA qui préfigurent son rôle sur le volet données personnelles, quelle que soit l’issue de la répartition institutionnelle.

Ce qui sera contrôlé en premier

Aucune autorité ne contrôlera tout, partout, immédiatement. L’ordre des priorités se déduit de la logique de risque du règlement et des premières orientations européennes.

Priorité 1 : les pratiques interdites (Art. 5)

Les pratiques d’IA interdites (notation sociale, manipulation, catégorisation biométrique sensible, reconnaissance des émotions au travail…) sont prohibées depuis février 2025 et exposent aux sanctions les plus lourdes. Ce sont les premières cibles évidentes : une pratique interdite ne se corrige pas, elle se cesse. Voir notre article sur les amendes de l’AI Act.

Priorité 2 : les GPAI et leurs fournisseurs

L’AI Office concentre son action sur les grands modèles, en particulier ceux à risque systémique. C’est un contrôle de niveau européen qui structure toute la chaîne aval.

Priorité 3 : les systèmes haut risque de l’annexe III

À mesure que les obligations deviennent applicables (2026-2027), les autorités nationales cibleront les usages sensibles : RH et recrutement, accès aux services essentiels, éducation, application de la loi. Ces systèmes concentrent le risque pour les droits fondamentaux et feront l’objet d’une attention prioritaire.

Priorité 4 : la transparence (Art. 50)

Les obligations de transparence (signaler les contenus générés par IA, informer lors d’une interaction avec un système d’IA) sont plus diffuses mais visibles publiquement, donc plus facilement détectables — y compris sur signalement.

Comment se déroulera un contrôle

Le règlement dote les autorités de surveillance du marché de pouvoirs classiques : demande de documentation, accès aux jeux de données et au code dans certaines limites, évaluation de conformité, mesures correctrices pouvant aller jusqu’au retrait du système du marché, et sanctions financières. Un contrôle typique commencera vraisemblablement par une demande documentaire — d’où l’importance de constituer le dossier en amont.

Les points qu’une autorité demandera à documenter, pour un système à haut risque, découlent directement des articles 8 à 17 et 26 du règlement :

  • La classification du système et sa justification
  • La documentation technique (annexe IV)
  • Le système de gestion des risques et son suivi
  • La gouvernance des données d’entraînement, de validation et de test
  • Les mesures de surveillance humaine effectives
  • La journalisation (logs) et la traçabilité
  • L’information des personnes concernées et, le cas échéant, l’analyse d’impact sur les droits fondamentaux (FRIA)

Les suites possibles d’un contrôle

Un contrôle ne débouche pas nécessairement sur une amende. Les autorités de surveillance du marché disposent d’une gradation de mesures, dont la sanction financière n’est que l’extrémité. Un contrôle peut aboutir à :

  • Une demande de mise en conformité dans un délai fixé, sans sanction si l’opérateur coopère et corrige
  • Des mesures correctrices : restriction, suspension ou rappel du système, jusqu’à son retrait du marché
  • Une amende administrative au titre de l’article 99, selon la gravité du manquement
  • Pour les pratiques interdites, l’ordre de cessation immédiate

Cette gradation confirme un principe : la coopération et la capacité à démontrer une conformité de bonne foi sont déterminantes. Une organisation qui présente un dossier structuré et corrige rapidement se situe dans une trajectoire très différente de celle qui découvre son exposition sous le contrôle. C’est l’argument central en faveur d’une documentation constituée en amont.

Le rôle des signalements et des plaintes

Les autorités ne s’autosaisissent pas de tout : une part significative des contrôles naîtra de signalements. Le AI Act ouvre la possibilité, pour toute personne, de déposer une réclamation auprès de l’autorité de surveillance du marché lorsqu’elle estime qu’un système d’IA enfreint le règlement. Les salariés (via les canaux d’alerte), les candidats évincés par un outil de recrutement, les associations de défense des droits ou les concurrents peuvent ainsi déclencher l’attention d’une autorité.

Cette dimension change la logique de risque : un système d’IA visible, mal encadré et affectant directement des personnes (RH, accès aux services, notation) est plus exposé qu’un outil interne discret. La transparence et l’information des personnes, loin d’être de simples formalités, réduisent aussi le risque de signalement contentieux.

Checklist documentaire de préparation

Voici la documentation à constituer dès 2026, avant la systématisation des contrôles. Elle vaut aussi bien comme outil de conformité que comme dossier de défense.

Document Base dans le règlement Priorité
Inventaire / registre des systèmes d’IA Bonne pratique de gouvernance Immédiate
Classification par niveau de risque Art. 6, annexe III Immédiate
Documentation technique par système haut risque Art. 11, annexe IV Haute
Système de gestion des risques Art. 9 Haute
Politique de gouvernance des données Art. 10 Haute
Procédure de surveillance humaine Art. 14 Haute
Dispositif de journalisation Art. 12 Moyenne
FRIA pour les déployeurs concernés Art. 27 Haute
Preuve de la formation / littératie IA du personnel Art. 4 Immédiate
Information des personnes / transparence Art. 50 Moyenne

L’obligation de littératie en matière d’IA (Art. 4), applicable depuis février 2025, est souvent négligée : elle impose que le personnel concevant ou utilisant des systèmes d’IA dispose d’un niveau de compréhension suffisant. C’est un contrôle facile à mener pour une autorité et facile à documenter pour une organisation prévoyante.

Recommandations pratiques

1. Cartographier avant de documenter

On ne peut contrôler que ce qu’on connaît. La première action est l’inventaire exhaustif des systèmes d’IA en usage, y compris les outils SaaS introduits par les métiers sans passage par la DSI. Voir notre guide registre des systèmes d’IA et classification des risques IA.

2. Prioriser par le risque

Concentrer l’effort documentaire sur les systèmes haut risque de l’annexe III et sur toute pratique potentiellement interdite. Un outil de productivité générique ne mobilise pas le même effort qu’un système de présélection RH.

3. Articuler avec le RGPD existant

La plupart des systèmes IA à haut risque traitent des données personnelles. Le dossier AI Act doit s’articuler avec l’AIPD et le registre RGPD, sans les dupliquer. Le DPO joue un rôle central dans cette articulation.

4. Anticiper la demande documentaire

Constituer, pour chaque système haut risque, un dossier prêt à être transmis. Un contrôle qui trouve une documentation structurée se déroule très différemment d’un contrôle qui révèle une absence de traçabilité.

5. Suivre l’actualité réglementaire

Les actes d’exécution, normes harmonisées et lignes directrices de la Commission ne sont pas encore tous publiés. Certaines modalités de contrôle se préciseront en 2026-2027. Une veille structurée est nécessaire — voir notre actualité AI Act 2026.

FAQ : contrôles de l’AI Act

Qui contrôle l’application de l’AI Act en France ?

Le contrôle est réparti entre l’AI Office européen, pour les modèles à usage général, et des autorités nationales de surveillance du marché pour les systèmes à haut risque. En France, la désignation formelle de ces autorités (CNIL, DGCCRF, régulateurs sectoriels) relève des textes d’adaptation nationale, encore en cours de finalisation. La CNIL est d’ores et déjà active sur le volet données personnelles.

Quand les premiers contrôles auront-ils lieu ?

Les contrôles sur les pratiques interdites et les GPAI ont déjà commencé (février et août 2025). Les contrôles sur les systèmes à haut risque de l’annexe III monteront en puissance avec l’entrée en application de leurs obligations, entre août 2026 et 2027.

Mon entreprise, simple utilisatrice d’IA, peut-elle être contrôlée ?

Oui, si vous êtes déployeur d’un système à haut risque au sens de l’annexe III. Vous avez alors les obligations de l’article 26 (surveillance humaine, information des personnes, journalisation). Un simple usage d’outils de productivité génériques relève surtout de la transparence et de la littératie IA.

Que demande une autorité lors d’un contrôle ?

Principalement de la documentation : classification du système, documentation technique, gestion des risques, gouvernance des données, surveillance humaine, journalisation, et le cas échéant l’analyse d’impact sur les droits fondamentaux. D’où l’intérêt de constituer ce dossier en amont.

Comment articuler contrôle AI Act et contrôle CNIL ?

Un même système peut relever des deux logiques : le RGPD pour le traitement de données personnelles, l’AI Act pour la conformité du système d’IA. Les documentations doivent être cohérentes et articulées. Un cumul de sanctions RGPD et AI Act est juridiquement possible.

Par où commencer si je n’ai rien documenté ?

Par l’inventaire des systèmes d’IA et leur classification par niveau de risque. C’est la base de tout. Pour structurer cet inventaire et le tenir à jour, un logiciel de conformité permet de recenser les systèmes d’IA, les classer et générer la documentation associée. Pour une évaluation globale, voir notre guide audit RGPD.