Projet de loi Adaptation au droit de l'Union européenne
Direction de la Séance
N°442
12 février 2026
(1ère lecture)
(PROCÉDURE ACCÉLÉRÉE)
(n° 348 , 347 , 334, 335, 336, 337, 346)
AMENDEMENT
| C | |
|---|---|
| G |
présenté par
Le Gouvernement
ARTICLE ADDITIONNEL APRÈS ARTICLE 24
Après l’article 24
Insérer un article additionnel ainsi rédigé :
La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifiée :
1° Après le I quater de l’article 8, il est inséré un paragraphe ainsi rédigé :
« I.... – Elle est l’une des autorités compétentes au sens de l’article 70 du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle dans les conditions prévues au titre IV quinquies de la présente loi. Elle agit, à ce titre, en tant qu’organisme notifié, en application du dernier alinéa du paragraphe 1 de l’article 43 du même règlement, en sa qualité d’autorité de surveillance du marché visée au paragraphe 8 de l’article 74.
« Elle traite les réclamations introduites par une personne physique ou morale au titre de l’article 85 du règlement 2024/1689 et les signalements de violation au titre de l’article 87 du même règlement. » ;
2° L’article 16 est complété par un alinéa ainsi rédigé :
« Elle est également compétente pour prendre les mesures et prononcer les sanctions à l’encontre des opérateurs de systèmes d’intelligence artificielle qui ne respectent pas les exigences issues du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle conformément aux dispositions du titre IV quinquies de la présente loi. »
3° L’article 19 est ainsi modifié :
a) Le I est ainsi modifié :
- Au premier alinéa, après les mots : « servant à la mise en œuvre d’un traitement de données à caractère personnel » sont insérés les mots : « d’une pratique interdite en matière d’intelligence artificielle, au sens de l’article 5 du règlement (UE) 2024/1689 ou à la mise sur le marché, la mise en service ou au déploiement d’un système d’intelligence artificielle à l’égard duquel la Commission est autorité compétente au sens de l’article 70 du même règlement ou de tout système d’intelligence artificielle relevant des obligations de transparence au sens de l’article 50 du même règlement. » ;
- Au troisième alinéa, après les mots : « Lorsqu’un traitement de données à caractère personnel », le mot : « est » est supprimé et sont ajoutés les mots : « , une pratique interdite en matière d’intelligence artificielle au sens de l’article 5 du règlement (UE) 2024/1689, un système d’intelligence artificielle à l’égard duquel la Commission est autorité compétente au sens de l’article 70 du même règlement ou tout système d’intelligence artificielle relevant des obligations de transparence au sens de l’article 50 du même règlement est mis sur le marché, mis en service, déployé ou » ;
b) Le III est ainsi modifié :
- Au premier alinéa, après les mots : « modifiant la directive 2000/31/CE (règlement sur les services numériques » sont insérés les mots : « , du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle » ;
- À la première phrase du second alinéa, après les mots : « qui figurent dans un traitement » sont insérés les mots : « ou dans un système d’intelligence artificielle » ;
- À la deuxième phrase du second alinéa, après les mots : « dans cette catégorie de traitement » sont insérés les mots : « ou de système d’intelligence artificielle » ;
- Au quatrième alinéa, après les mots : « Pour le contrôle des services de communication au public en ligne » sont insérés les mots : « et des systèmes d’intelligence artificielle en application de l’article 14, paragraphe 4, point j) du règlement (UE) 2019/1020 du Parlement européen et du Conseil du 20 juin 2019 sur la surveillance du marché et la conformité des produits » ;
c) Il est ajouté un paragraphe ainsi rédigé :
« VI. – Dans le cadre de leurs missions de surveillance du marché au titre du Règlement (UE) 2024/1689, d’autorité compétente à l’égard des pratiques interdites au titre de l’article 5 du même règlement et à l’égard des obligations de transparence de certains systèmes d’intelligence artificielle au sens de l’article 50 du même règlement, les membres et agents mentionnés au premier alinéa du I peuvent, dans les conditions prévues à l’article 74, aux paragraphes 12, 13 et 14 du règlement UE 2024/1689, avoir un accès complet aux informations, aux données et à la documentation visées dans ces dispositions. Ils disposent également des pouvoirs prévus aux paragraphes 3 et 6 de l’article 11 et au paragraphe 4 de l’article 14 du règlement UE 2019/1020 sur la surveillance du marché. Ils peuvent également organiser des tests d’un système d’intelligence à haut risque par des moyens techniques dans les cas visés à l’article 77, paragraphe 3 du règlement UE 2024/1689. » ;
4° L’article 20 est ainsi modifié :
a) Au I, après les mots : « est susceptible de violer les dispositions » sont insérés les mots : « du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle » et après les mots : « du règlement (UE) 2016/679 du 27 avril 2016 » sont insérés les mots : « ou un opérateur de système d’intelligence artificielle » ;
b) Après le V, sont insérés deux paragraphes VI et VII ainsi rédigés :
« VI. – Pour les systèmes d’intelligence artificielle qui ne respectent pas les obligations résultant du règlement (UE) 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle, le Président de la Commission nationale de l’informatique et des libertés peut également, à l’égard de l’opérateur du système d’intelligence artificielle :
« 1° Le rappeler à ses obligations légales ou, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu’il fixe, de mettre le système d’intelligence artificielle en conformité avec les dispositions applicables ;
« 2° Prendre les mesures qui s’imposent en application de l’article 73, paragraphe 8 du règlement 2024/1689 sur l’intelligence artificielle, conformément à l’article 19 du règlement 2019/1020, dans un délai de sept jours ;
« 3° Prendre les mesures visées à l’article 79 du règlement (UE) 2024/1689 à l’égard des systèmes d’intelligence artificielle présentant un risque, au sens de l’article 3, point 19), du règlement (UE) 2019/1020, dans la mesure où ils présentent des risques pour la santé ou la sécurité, ou pour les droits fondamentaux, des personnes ;
« 4° Prendre les mesures visées à l’article 80 du règlement (UE) 2024/1689 sur l’intelligence artificielle à l’égard d’un système d’intelligence artificielle classé par le fournisseur comme n’étant pas à haut risque en application de l’article 6, paragraphe 3 du même règlement, s’il est en réalité à haut risque, à l’exception des cas relevant de l’article 80, paragraphe 7 du même règlement ;
« 5° Prendre les mesures visées à l’article 83 du règlement (UE) 2024/1689 sur l’intelligence artificielle en cas de non-conformité formelle du système d’intelligence artificielle ;
« 6° Suspendre ou retirer le certificat délivré en sa qualité d’organisme notifié ou l’assortir de restrictions, conformément à l’article 44 du règlement (UE) 2024/1689 ;
« 7° Exiger d’un opérateur qu’il prenne les mesures appropriées pour éliminer un risque conformément à l’article 14, paragraphe 4, point g) du règlement (UE) 2019/1020 sur la surveillance de marché ;
« 8° Exiger le retrait du contenu d’une interface en ligne qui mentionne les produits qui présentent un risque grave, ou d’affichage d’une mise en garde explicite des utilisateurs finaux lorsque ceux-ci accèdent à l’interface en ligne, conformément à l’article 14, paragraphe 4, point k), i) du règlement (UE) 2019/1020 sur la surveillance de marché ;
« 9° Lorsqu’une injonction prise en application du 4° de ce paragraphe est restée sans suite, exiger la restriction d’accès à l’interface en ligne concernée par le prestataire de services de la société de l’information, y compris en demandant à des tiers concernés d’appliquer de telles mesures, conformément à l’article 14, paragraphe 4, point k), ii) du règlement (UE) 2019/1020 sur la surveillance de marché ;
« 10° Prendre les mesures visées à l’article 16, paragraphe 3 du règlement (UE) 2019/1020 sur la surveillance de marché, si le système d’intelligence artificielle est susceptible de compromettre la santé ou la sécurité des utilisateurs ou s’il n’est pas conforme à la législation d’harmonisation de l’Union au sens de l’article 16, paragraphe 1 du règlement (UE) 2019/1020 et au titre de l’article 16, paragraphe 3, points a), b), c), d), e), f) et g) du règlement (UE) 2019/1020 sur la surveillance de marché lorsqu’un système d’intelligence artificielle constitue une pratique interdite au sens de l’article 5 du règlement 2024/1689 sur l’intelligence artificielle, ou à l’égard des SIA qui présentent un risque au sens de l’article 82 du RIA ;
« 11° Une mesure d’interdiction ou de restriction de la mise à disposition d’un produit sur le marché ou l’ordre de retirer ou de rappeler le produit, dès lors que l’opérateur ne prend pas les mesures correctives qui s’imposent ou que la non-conformité ou le risque persiste, conformément aux articles 14, paragraphe 4, point h) ou 16, paragraphe 5 du règlement (UE) 2019/1020 sur la surveillance de marché, ou qu’il ne prend pas la mesure corrective prononcée au titre du 6° du VI de la présente loi.
« Le président de la Commission nationale de l’informatique et des libertés peut demander au bureau de rendre publiques les mesures prises en application de ce paragraphe.
« VII. – Lorsque l’opérateur du système d’intelligence artificielle ne respecte pas les obligations résultant du règlement (UE) 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues aux III et au VI, saisir la formation restreinte de la commission en vue du prononcé, après une procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :
« 1° Un rappel à l’ordre ;
« 2° Une injonction de mettre en conformité le système d’intelligence artificielle avec les obligations résultant du règlement (UE) 2024/1689 et de la présente loi. Cette injonction est assortie d’un délai d’exécution qui ne peut être inférieur à trois jours. Elle peut être assortie, sauf dans des cas où le système d’intelligence artificielle est mis en œuvre par l’État, d’une astreinte dont le montant journalier ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;
« 3° Une injonction de prendre les mesures appropriées pour éliminer un risque conformément à l’article 14, paragraphe 4, point g) du règlement 2019/1020 sur la surveillance de marché ;
« 4° Une injonction de retrait du contenu d’une interface en ligne qui mentionne les produits qui présentent un risque grave, ou d’affichage d’une mise en garde explicite des utilisateurs finaux lorsque ceux-ci accèdent à l’interface en ligne, conformément à l’article 14, paragraphe 4, point k), i) du règlement 2019/1020 sur la surveillance de marché ;
« 5° Lorsqu’une injonction prise en application du 4° de ce paragraphe est restée sans suite, une mesure de restriction d’accès à l’interface en ligne concernée par le prestataire de services de la société de l’information, y compris en demande des tiers concernés d’appliquer de telles mesures, conformément à l’article 14, paragraphe 4, point k), ii) du règlement 2019/1020 sur la surveillance de marché ;
« 6° Une injonction au titre de l’article 16, paragraphe 3 s’il est susceptible de compromettre la santé ou la sécurité des utilisateurs ou qu’il n’est pas conforme à la législation d’harmonisation de l’Union au sens de l’article 16, paragraphe 1 du règlement 2019/1020 et au titre de l’article 16, paragraphe 3, points b), c) et d) du règlement 2019/1020 sur la surveillance de marché lorsqu’un système d’intelligence artificielle constitue une pratique interdite au sens de l’article 5 du règlement 2024/1689 sur l’intelligence artificielle ;
« 7° Une mesure d’interdiction ou de restriction de la mise à disposition d’un produit sur le marché ou l’ordre de retirer ou rappeler le produit, dès lors que l’opérateur ne prend pas les mesures correctives qui s’imposent ou que la non-conformité ou le risque persiste, conformément aux articles 14, paragraphe 4, point h) ou 16, paragraphe 5 du règlement 2019/1020 sur la surveillance de marché, ou qu’il ne prend pas la mesure corrective prononcée au titre du 6° ) ;
« 8° À l’exception des systèmes d’intelligence artificielle mis en œuvre par l’État, une amende administrative ne pouvant excéder les plafonds prévus à l’article 99, paragraphes 3, 4, 5 et 6 du règlement (UE) 2024/1689 pour les manquements aux articles qui y sont listés, une amende administrative ne pouvant excéder les plafonds prévus aux paragraphes 5 et 6 de l’article 99, pour un manquement à l’article 21 du même règlement, et une amende ne pouvant excéder les plafonds prévus aux paragraphes 4 et 6 de l’article 99, pour un manquement aux articles 27, 72, 73 et 86 du même règlement. »
5° Après l’article 21, sont insérés deux articles ainsi rédigés :
« Art. 21-1. - I. – Lorsque le non-respect des dispositions du règlement (UE) 2024/1689 ou de la présente loi entraîne un risque grave substantiel pour les droits fondamentaux, la santé ou la sécurité, et que le président de la commission considère qu’il est urgent d’intervenir, il saisit le président de la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire définie par décret en Conseil d’État, adopter l’une des mesures suivantes :
« 1° Les mesures visées à l’article 79 du règlement (UE) 2024/1689 à l’égard des systèmes d’intelligence artificielle présentant un risque, au sens de l’article 3, point 19), du règlement (UE) 2019/1020, dans la mesure où ils présentent des risques pour la santé ou la sécurité, ou pour les droits fondamentaux, des personnes ;
« 2° Les mesures visées à l’article 80 du règlement 2024/1689 sur l’intelligence artificielle à l’égard d’un système d’intelligence artificielle classé par le fournisseur comme n’étant pas à haut risque en application de l’article 6, paragraphe 3 du règlement (UE) 2024/1689, s’il est en réalité à haut risque, à l’exception des cas relevant de l’article 80, paragraphe 7 du même règlement ;
« 3° Suspendre ou retirer le certificat délivré en sa qualité d’organisme notifié ou l’assortir de restrictions, conformément à l’article 44 du règlement (UE) 2024/1689 ;
« 4° Exiger d’un opérateur qu’il prenne les mesures appropriées pour éliminer un risque conformément à l’article 14, paragraphe 4, point g) du règlement (UE) 2019/1020 sur la surveillance de marché ;
« 5° Exiger le retrait du contenu d’une interface en ligne qui mentionne les produits qui présentent un risque grave, ou d’affichage d’une mise en garde explicite des utilisateurs finaux lorsque ceux-ci accèdent à l’interface en ligne, conformément à l’article 14, paragraphe 4, point k), i) du règlement (UE) 2019/1020 sur la surveillance de marché ;
« 6° Lorsqu’une injonction prise en application du 5° de ce paragraphe est restée sans suite, exiger la restriction d’accès à l’interface en ligne concernée par le prestataire de services de la société de l’information, y compris en demandant à des tiers concernés d’appliquer de telles mesures, conformément à l’article 14, paragraphe 4, point k), ii) du règlement (UE) 2019/1020 sur la surveillance de marché ;
« 7° Les mesures visées de l’article 16, paragraphe 3 du règlement 2019/1020 sur la surveillance de marché, si le système d’intelligence artificielle est susceptible de compromettre la santé ou la sécurité des utilisateurs ou s’il n’est pas conforme à la législation d’harmonisation de l’Union au sens de l’article 16, paragraphe 1 du règlement (UE) 2019/1020 et au titre de l’article 16, paragraphe 3, points a), b), c), d), e) f) et g) du règlement 2019/1020 sur la surveillance de marché lorsqu’un système d’intelligence artificielle constitue une pratique interdite au sens de l’article 5 du règlement 2024/1689 sur l’intelligence artificielle, ou à l’égard des SIA qui présentent un risque au sens de l’article 82 du RIA ;
« 8° Une mesure d’interdiction ou de restriction de la mise à disposition d’un produit sur le marché ou l’ordre de retirer ou rappeler le produit, dès lors que l’opérateur ne prend pas les mesures correctives qui s’imposent ou que la non-conformité ou le risque persiste, conformément aux articles 14, paragraphe 4, point h) ou et 16, paragraphe 5 du règlement (UE) 2019/1020 sur la surveillance de marché, dès lors qu’il ne prend pas la mesure corrective prononcée au titre du 6° ) ;
« 9° Une injonction de mettre en conformité le système d’intelligence artificielle avec les obligations résultant du règlement (UE) 2024/1689 et de la présente loi. Cette injonction est assortie d’un délai d’exécution qui ne peut être inférieur à trois jours. Elle peut être assortie, sauf dans des cas où le système d’intelligence artificielle est mis en œuvre par l’État, d’une astreinte dont le montant journalier ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte.
« Art. 21-2. – Lorsque le président de la Commission nationale de l’informatique envisage de prononcer l’une des mesures prévues au VI de l’article 20, il notifie sans tarder son projet de décision au mis en cause, qui peut déposer des observations sur ce projet dans un délai qu’il fixe conformément à l’article 18 du règlement (UE) 2019/1020, et l’informe de son droit de se taire sur les faits qui lui sont reprochés.
« Dans les cas où le Président de la Commission n’aura pas pu entendre l’opérateur avant de prendre la mesure, conformément au paragraphe 3 de l’article 18 du même règlement, l’opérateur se voit accorder cette possibilité dans les meilleurs délais après l’adoption de ladite mesure. » ;
6° Le premier alinéa de l’article 22 est ainsi modifié :
a) A la première phrase, les mots : « Les mesures prévues aux IV et V de l’article 20 et aux 1° à 7° du I de l’article 21 de la présente loi » sont remplacés par les mots : « Lorsque le président de la Commission nationale de l’informatique et des libertés saisit la formation restreinte en vue du prononcé de l’une des mesures prévues aux IV, V ou VII de l’article 20, au IV de l’article 20-1, à l’article 21-1 et aux 1° à 7° du I de l’article 21 de la présente loi, il informe le mis en cause de son droit de se taire sur les faits qui lui sont reprochés. Ces mesures » ;
b) À la deuxième phrase, les mots : « responsable de traitement ou à son sous-traitant » sont remplacés par les mots : « mis en cause » ;
c) Après la troisième phrase, est insérée une phrase ainsi rédigée : « Lorsqu’il assiste à la séance, le mis en cause est informé de son droit de se taire sur les faits qui lui sont reprochés et peut présenter des observations orales. » ;
d) À la dernière phrase, après le mot : « peut » , est inséré le mot : « également » et après le mot : « toute » est inséré le mot : « autre » ;
7° L’article 22-1 est ainsi modifié :
a) Après la première phrase du premier alinéa, est insérée une phrase ainsi rédigée : « Il informe alors le mis en cause de son droit de se taire sur les faits qui lui sont reprochés. » ;
b) Au deuxième alinéa, après les mots : « 1° , 2° et 7° du IV, » le mot : « et » est supprimé, après les mots : « 1° et 2° du V », sont insérés les mots : « et 1° , 2° et 8° du VII », après les mots : « mentionnée au 7° du IV, » le mot « et » est supprimé, après les mots : « au 3° du V » sont insérés les mots : « et au 8° du VII », après les mots : « mentionnée au 2° des IV, » le mot : « et » est supprimé et les mots : « IV et V » sont remplacés par les mots : « IV, V et VII » ;
c) Le sixième alinéa est ainsi modifié :
- À la première phrase, les mots : « responsable de traitement ou au sous-traitant » sont remplacés par les mots : « mis en cause » ;
- Après la première phrase, est insérée une phrase ainsi rédigée : « Dans ce cas, il est informé de son droit de se taire sur les faits qui lui sont reprochés. » ;
8° Avant le titre V, il est inséré un titre IV quinquies ainsi rédigé :
« TITRE IV QUINQUIES
« Dispositions applicables aux systèmes d’intelligence artificielle relevant du règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle
« Art. 124-9. ‒ Le présent titre s’applique sans préjudice des autres dispositions de la présente loi et du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données).
« Art. 124-10. ‒ La Commission nationale de l’informatique et des libertés contrôle le respect du chapitre II du règlement (UE) 2024/1689 du 13 juin 2024 pour les pratiques interdites en matière d’intelligence artificielle au sens des points c) à h) du paragraphe 1 de l’article 5 du règlement.
« Art. 124-11. ‒ La Commission nationale de l’informatique et des libertés contrôle le respect du chapitre III, des sections 1 à 3 du chapitre IX et de l’article 86 du règlement (UE) 2024/1689 du 13 juin 2024 pour ce qui concerne les systèmes d’intelligence artificielle à haut risque relevant de l’annexe III du règlement (UE) 2024/1689 du 13 juin 2024 dans les cas suivants :
« 1° Les systèmes d’intelligence artificielle mentionnés aux points 1, 4, 6, 7 et 8 ;
« 2° Les systèmes d’intelligence artificielle mentionnés au point 3 qui n’entrent pas dans le champ de l’habilitation prévue au 35° de l’article L. 511-7 du code de la consommation ;
« 3° Les systèmes d’intelligence artificielle mentionnés au point 5, à l’exception de ceux relevant du b) et c) lorsqu’ils sont mis sur le marché, mis en service ou utilisés par les personnes visées aux I et aux 1° à 4° du II de l’article L. 612-2 du code monétaire et financier.
« Art. 124-12. ‒ La Commission nationale de l’informatique et des libertés contrôle le respect du chapitre IV du règlement (UE) 2024/1689 du 13 juin 2024 pour les systèmes d’intelligence artificielle qui sont soumis à des obligations de transparence en application du paragraphe 3 de l’article 50 du règlement.
« Art. 124-13. –Pour veiller au respect des obligations qui incombent aux opérateurs de systèmes d’intelligence artificielle au sens du règlement (UE) 2024/1689 du 13 juin 2024, la Commission nationale de l’informatique et des libertés coopère avec l’Autorité de régulation de la communication audiovisuelle et numérique. Elle peut la saisir pour avis dans le cadre de ses missions de surveillance des systèmes d’intelligence artificielle mentionnés au point 8, b) de l’annexe III du même règlement, et la saisit lorsque le système d’intelligence artificielle en cause est directement lié à la régulation d’une plateforme en ligne ou de la communication audiovisuelle, au pluralisme ou, à la protection du discours civique, ou des processus électoraux.
« Art. 124-14. ‒Pour assurer ses missions prévues au I quinquies de l’article 8 et aux articles 124-7, 124-8, 124-9, 124-10 et 124-11, elle dispose des pouvoirs prévus aux articles 19, 20, 21-1, 22 et 22-1 de la présente loi.
« Art. 124-15. – La Commission nationale de l’informatique et des libertés, en tant qu’organisme notifié au titre du règlement (UE) 2024/1689 sur l’intelligence artificielle délivre les certificats de conformité conformément à l’article 44, paragraphes 1 et 2 du même règlement et elle en assure la surveillance conformément à l’annexe VII du même règlement. Elle peut également suspendre, retirer ou assortir de restrictions les certificats qu’elle a délivrés, conformément au paragraphe 3 du même article 44 du règlement 2024/1689 sur l’intelligence artificielle.
« Art. 124-16. – La Commission nationale de l’informatique et des libertés, en tant qu’autorité compétente pour la surveillance de marché, examine les demandes de dérogation à l’évaluation de la conformité conformément à l’article 46, paragraphes 1 et 3 du règlement (UE) 2024/1689 sur l’intelligence artificielle et délivre, le cas échéant, les autorisations de mise sur le marché et de mise en service dérogatoires pour une durée limitée.
« Art. 124-17. ‒ Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les modalités d’application du présent titre. »
Objet
Le présent amendement a pour objet d’assurer la mise en œuvre effective par la CNIL en droit interne du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (règlement sur l’IA), conformément aux exigences de transposition et d’adaptation prévues par ce texte directement applicable.
À cette fin, il adapte la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés afin de permettre à la CNIL d’exercer les missions de contrôle, de surveillance du marché et de sanctions prévues par le règlement pour les systèmes d’intelligence artificielle relevant de son champ de compétence, conformément au schéma de gouvernance interministériel.
L’amendement confie en premier lieu à la CNIL le contrôle des pratiques d’intelligence artificielle interdites au sens de l’article 5 du règlement (UE) 2024/1689. S’agissant de la pratique de notation sociale, la compétence est exercée conjointement avec la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
Il confie également à la CNIL le contrôle du respect des obligations de transparence applicables à certains systèmes d’intelligence artificielle, notamment ceux mettant en œuvre des dispositifs de reconnaissance des émotions ou de catégorisation biométrique.
En ce qui concerne les systèmes d’intelligence artificielle à haut risque relevant de l’annexe III du règlement, l’amendement précise les champs pour lesquels la CNIL est désignée autorité de surveillance du marché. Elle dispose ainsi d’une compétence exclusive pour les systèmes utilisés :
-à des fins d’identification biométrique ;
-pour les décisions relatives à l’emploi, au recrutement, à la gestion de la main-d’œuvre ou à l’accès à une activité indépendante ;
-pour certaines applications relevant de la répression, des contrôles aux frontières ou de la gestion des migrations.
Pour les systèmes utilisés dans le champ de l’éducation et de la formation professionnelle, la DGCCRF ayant la compétence pour le contrôle des systèmes d’IA utilisés dans le cadre de la formation professionnelle, la CNIL est désignée compétente pour l’ensemble des autres systèmes d’intelligence artificielle du périmètre.
S’agissant des systèmes d’intelligence artificielle utilisés pour l’accès aux services privés et publics, notamment l’évaluation de l’éligibilité à des services ou prestations, la répartition des compétences distingue les usages financiers des autres usages. Les systèmes utilisés par des institutions financières pour l’évaluation de la solvabilité, des risques ou de la tarification des personnes physiques relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution (ACPR), tandis que la CNIL demeure compétente pour les autres usages, notamment ceux relatifs à l’évaluation de l’éligibilité aux prestations et services d’aide sociale ainsi qu’à la hiérarchisation des appels d’urgence.
Lorsque les systèmes d’intelligence artificielle concernés présentent un lien direct avec les processus démocratiques, la CNIL exerce sa compétence en tant qu’autorité de surveillance du marché, en consultant pour avis de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) dans le cadre des enquêtes.
Enfin, la CNIL est désignée compétente pour les systèmes d’intelligence artificielle des juridictions disciplinaires, pour lesquelles les autorités de surveillance des juridictions ne sont pas compétentes.