L'article 70 du Règlement (UE) 2024/1689 établit le cadre de désignation et de fonctionnement des autorités nationales compétentes, acteurs essentiels de la mise en œuvre de l'AI Act au niveau de chaque État membre. Cette disposition reconnaît que, bien que l'AI Act soit un règlement européen directement applicable, sa mise en œuvre effective nécessite des autorités nationales dotées de pouvoirs de surveillance, de contrôle, et d'intervention sur leurs territoires respectifs. Ces autorités constituent le maillon opérationnel entre le cadre réglementaire européen et les réalités concrètes du déploiement de l'IA dans chaque pays.

L'article 70 impose à chaque État membre de désigner une ou plusieurs autorités compétentes responsables de la surveillance du marché des systèmes d'IA et de l'application de l'AI Act sur son territoire. Il prévoit la création d'un point de contact unique facilitant la coordination avec les autres autorités européennes et avec les opérateurs. Cette architecture institutionnelle vise à garantir une application harmonisée et efficace du règlement tout en respectant les spécificités organisationnelles de chaque État membre.

L'article 70 établit également les exigences relatives aux ressources, à l'indépendance, et aux compétences des autorités nationales, garantissant qu'elles disposent des moyens nécessaires pour exercer effectivement leurs missions de supervision dans un domaine techniquement complexe et en évolution rapide. Ces autorités nationales forment, avec le Bureau de l'IA et le Comité européen de l'IA, l'architecture complète de gouvernance de l'AI Act à travers l'Union européenne.

Texte officiel de l'article 70 de l'AI Act

L'article 70 de l'AI Act dispose (extraits principaux) :

« 1. Chaque État membre désigne ou établit au moins une autorité nationale compétente aux fins de superviser l'application et la mise en œuvre du présent règlement. Cette autorité est une autorité de surveillance du marché au sens du règlement (UE) 2019/1020.

2. Les États membres informent la Commission de l'identité des autorités nationales compétentes désignées. Ils désignent un point de contact unique qui assure la coordination avec la Commission, le Bureau de l'IA et les autres autorités nationales compétentes.

3. Les autorités nationales compétentes exercent leurs pouvoirs de manière indépendante, impartiale et sans parti pris. Les États membres veillent à ce que les autorités nationales compétentes disposent de ressources financières et humaines adéquates pour s'acquitter efficacement de leurs tâches au titre du présent règlement.

4. Les autorités nationales compétentes ont le pouvoir de demander et d'accéder à toutes les informations et à tous les documents nécessaires pour s'acquitter de leurs tâches, et de mener des enquêtes concernant les systèmes d'IA relevant du champ d'application du présent règlement.

5. Les autorités nationales compétentes coopèrent entre elles et avec la Commission et le Bureau de l'IA. Cette coopération peut inclure l'échange d'informations, la coordination des activités de surveillance du marché et la fourniture d'une assistance mutuelle. »

Cet article établit donc l'obligation pour chaque État membre de désigner une autorité nationale compétente, définit ses caractéristiques (indépendance, ressources adéquates, qualité d'autorité de surveillance du marché), précise ses pouvoirs (demande d'informations, enquêtes), et impose la coopération entre autorités et avec le Bureau de l'IA.

Analyse juridique de l'article 70

Obligation de désignation et qualification d'autorité de surveillance du marché

L'article 70, paragraphe 1, impose que « chaque État membre désigne ou établit au moins une autorité nationale compétente aux fins de superviser l'application et la mise en œuvre du présent règlement ». Cette formulation reconnaît la diversité des organisations administratives nationales : certains États peuvent désigner une autorité existante (en lui confiant la mission additionnelle de supervision de l'IA), tandis que d'autres peuvent créer une nouvelle autorité dédiée.

L'exigence « au moins une autorité » permet aux États de désigner plusieurs autorités, par exemple selon des critères sectoriels (une autorité pour l'IA en santé, une pour l'IA en finance, etc.) ou selon d'autres modalités organisationnelles. Toutefois, pour garantir la cohérence, le paragraphe 2 impose la désignation d'un « point de contact unique » assurant la coordination.

L'autorité désignée doit être « une autorité de surveillance du marché au sens du règlement (UE) 2019/1020 ». Cette qualification inscrit la supervision de l'IA dans le cadre général de la surveillance du marché européen, garantissant une cohérence avec les mécanismes existants de contrôle de la conformité des produits. Le règlement (UE) 2019/1020 établit un cadre harmonisé pour la surveillance du marché dans l'Union, définissant les pouvoirs et les procédures des autorités de surveillance. Les autorités nationales compétentes pour l'IA doivent donc disposer des pouvoirs et capacités caractéristiques des autorités de surveillance du marché : contrôles, inspections, tests, mesures correctrices, sanctions.

Cette qualification garantit également que les autorités nationales s'inscrivent dans les mécanismes de coopération et d'échange d'informations prévus pour la surveillance du marché à l'échelle européenne, facilitant la cohérence et l'efficacité transfrontalières.

Information de la Commission et point de contact unique

L'article 70, paragraphe 2, impose aux États membres d'« informer la Commission de l'identité des autorités nationales compétentes désignées ». Cette obligation de notification permet à la Commission et au Bureau de l'IA de connaître les interlocuteurs dans chaque État membre, facilitant la coordination et la communication. La Commission publie vraisemblablement la liste des autorités nationales désignées, garantissant la transparence pour les opérateurs.

Les États doivent également « désigner un point de contact unique qui assure la coordination avec la Commission, le Bureau de l'IA et les autres autorités nationales compétentes ». Ce point de contact unique garantit qu'il existe un interlocuteur clair et identifiable pour les communications européennes, évitant les confusions ou les retards dans les échanges. En pratique, ce point de contact peut être l'autorité nationale compétente elle-même si elle est unique, ou une autorité désignée pour jouer ce rôle de coordination si plusieurs autorités coexistent.

Le point de contact assure la coordination « avec la Commission, le Bureau de l'IA et les autres autorités nationales compétentes », couvrant ainsi les deux dimensions de la coordination : verticale (entre niveau national et niveau européen) et horizontale (entre États membres). Cette fonction de coordination est essentielle pour garantir l'harmonisation de l'application de l'AI Act et la gestion cohérente des dossiers transfrontaliers.

Indépendance, impartialité et ressources adéquates

L'article 70, paragraphe 3, impose que « les autorités nationales compétentes exercent leurs pouvoirs de manière indépendante, impartiale et sans parti pris ». Cette exigence garantit l'intégrité de la supervision : les décisions des autorités doivent être fondées uniquement sur l'analyse de la conformité réglementaire et des risques, sans influence de considérations politiques, économiques, ou autres.

L'« indépendance » signifie que les autorités ne doivent pas être soumises à des instructions ou des pressions de la part du gouvernement, d'entreprises, ou d'autres acteurs susceptibles d'influencer leurs décisions. Cette indépendance peut être garantie par un statut institutionnel approprié, une gouvernance autonome, et des financements protégés des interférences.

L'« impartialité et sans parti pris » signifie que les autorités traitent tous les opérateurs de manière équitable, sans favoriser certains acteurs (nationaux versus étrangers, grands groupes versus PME, etc.) et sans discrimination fondée sur des critères non pertinents.

Le paragraphe 3 impose également que « les États membres veillent à ce que les autorités nationales compétentes disposent de ressources financières et humaines adéquates pour s'acquitter efficacement de leurs tâches au titre du présent règlement ». Cette obligation reconnaît que la supervision de l'IA, technologie complexe et évolutive, nécessite des moyens substantiels : recrutement d'experts techniques (data scientists, ingénieurs IA, experts en cybersécurité), formation continue du personnel pour suivre les évolutions technologiques, budgets pour des analyses techniques, des audits, des tests de systèmes d'IA, systèmes d'information et bases de données pour gérer les notifications et les contrôles, et moyens pour la coopération internationale (déplacements, participation aux réunions du Comité, etc.).

Cette exigence est cruciale : sans ressources adéquates, les autorités nationales ne pourront pas exercer effectivement leurs missions, compromettant l'application de l'AI Act. Les États membres ont donc une obligation de résultat : garantir que leurs autorités sont suffisamment dotées.

Pouvoirs de demande d'informations et d'enquête

L'article 70, paragraphe 4, confère aux autorités nationales compétentes « le pouvoir de demander et d'accéder à toutes les informations et à tous les documents nécessaires pour s'acquitter de leurs tâches, et de mener des enquêtes concernant les systèmes d'IA relevant du champ d'application du présent règlement ». Ces pouvoirs sont essentiels pour permettre aux autorités d'exercer effectivement leur mission de surveillance.

Le pouvoir de « demander et d'accéder à toutes les informations et à tous les documents nécessaires » est large : les autorités peuvent exiger des fournisseurs, déployeurs, distributeurs, et autres opérateurs la fourniture de documentations techniques, de données d'entraînement et de test, de registres de fonctionnement, d'analyses de risques, de résultats d'évaluations de conformité, de contrats et d'accords commerciaux, de statistiques d'utilisation, ou de toute autre information pertinente pour évaluer la conformité.

Le caractère impératif de ce pouvoir signifie que les opérateurs sont légalement tenus de répondre aux demandes des autorités. Le refus ou la fourniture d'informations inexactes ou incomplètes constituent des infractions sanctionnables.

Le pouvoir de « mener des enquêtes » implique que les autorités peuvent conduire des investigations approfondies, incluant potentiellement des inspections sur site, des tests techniques de systèmes d'IA, des auditions de représentants des opérateurs, des analyses documentaires, et la collaboration avec d'autres autorités (protection des données, concurrence, cybersécurité) si nécessaire. Ces enquêtes peuvent être déclenchées par des plaintes, des signalements, des incidents graves, ou de manière proactive dans le cadre de la surveillance du marché.

Obligation de coopération

L'article 70, paragraphe 5, impose que « les autorités nationales compétentes coopèrent entre elles et avec la Commission et le Bureau de l'IA ». Cette obligation de coopération est essentielle compte tenu de la nature transfrontalière de nombreux systèmes d'IA et opérateurs. La coopération garantit que les autorités disposent d'une vision complète des situations, évitent les duplications d'efforts, et coordonnent leurs actions pour une efficacité maximale.

« Cette coopération peut inclure l'échange d'informations, la coordination des activités de surveillance du marché et la fourniture d'une assistance mutuelle. » Ces modalités couvrent les principales dimensions de la coopération : « échange d'informations » sur les contrôles effectués, les non-conformités identifiées, les mesures prises, les incidents graves signalés, et les bonnes pratiques développées ; « coordination des activités de surveillance du marché » pour les dossiers impliquant plusieurs États membres (systèmes commercialisés dans plusieurs pays, opérateurs établis dans un État mais opérant dans d'autres), pour éviter les contrôles redondants et garantir la cohérence des approches ; « fourniture d'une assistance mutuelle » lorsqu'une autorité a besoin du soutien d'une autre (expertise spécifique, accès à des informations, exécution d'actes sur un autre territoire).

En pratique, cette coopération s'appuie sur le Comité européen de l'IA (articles 65-66) qui constitue le forum privilégié d'échange et de coordination entre autorités nationales, et sur les systèmes d'information européens (comme le système d'information et de communication pour la surveillance du marché - ICSMS) permettant le partage sécurisé de données.

Exemples concrets d'application

Exemple concret d'application de l'article 70 de l'AI Act

Mise en place de l'autorité nationale compétente en France

Désignation de l'autorité (paragraphes 1-2) :

En juillet 2025, un mois avant l'entrée en application de l'AI Act (2 août 2025), la France désigne la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF), rattachée au ministère de l'Économie, comme autorité nationale compétente pour la supervision de l'AI Act.

Choix motivé par :
- La DGCCRF est déjà autorité de surveillance du marché pour de nombreux produits (conformément au règlement (UE) 2019/1020)
- Elle dispose d'une expérience substantielle de contrôle de conformité, d'inspections, et d'actions correctrices
- Elle dispose d'une présence territoriale importante (directions départementales dans toute la France)
- Elle peut s'appuyer sur des laboratoires techniques publics pour des analyses complexes

La France notifie formellement à la Commission européenne la désignation de la DGCCRF comme autorité nationale compétente et comme point de contact unique pour l'AI Act.

Organisation interne et ressources (paragraphe 3) :

La DGCCRF crée une nouvelle unité dédiée : le « Pôle Intelligence Artificielle » composé de :
- 1 chef de pôle (administrateur civil expérimenté)
- 15 inspecteurs spécialisés (recrutés parmi des profils mixtes : ingénieurs IA, juristes spécialisés, auditeurs techniques)
- 5 experts techniques (data scientists, experts en sécurité IA)
- 3 juristes spécialisés en droit européen et droit du numérique
- 2 assistants administratifs

Budget annuel alloué : 3 millions d'euros couvrant :
- Salaires et charges
- Formations continues (participation à des conférences scientifiques, formations techniques sur les nouvelles architectures d'IA)
- Outils techniques (accès à des plateformes d'analyse de systèmes d'IA, logiciels spécialisés)
- Prestations externes (audits techniques par des experts indépendants pour les cas complexes)
- Déplacements (inspections, participation aux réunions du Comité européen de l'IA à Bruxelles)

Garanties d'indépendance :
- Le Pôle IA dispose d'une autonomie opérationnelle dans ses décisions de contrôle et de sanction
- Les inspecteurs ne peuvent recevoir d'instructions de la hiérarchie sur des dossiers individuels
- Des procédures de prévention des conflits d'intérêts sont mises en place (déclarations d'intérêts, interdiction de pantouflage vers l'industrie pendant 3 ans après le départ)

Exercice des pouvoirs de surveillance (paragraphe 4) :

Cas concret - Contrôle d'un système d'IA de recrutement :

En novembre 2025, la DGCCRF reçoit une plainte d'une association de lutte contre les discriminations signalant qu'une plateforme de recrutement en ligne, « TalentMatch », utilise un système d'IA pour trier automatiquement les CV qui pourrait être discriminatoire.

1. Demande d'informations initiale :

La DGCCRF, en vertu de l'article 70, paragraphe 4, envoie à TalentMatch une demande formelle d'informations dans un délai de 15 jours :
- Description détaillée du système d'IA utilisé pour le tri des CV
- Classification du système (est-il à haut risque au sens de l'Annexe III, point 4 ?)
- Documentation technique (article 11 de l'AI Act)
- Système de gestion des risques (article 9)
- Informations sur les données d'entraînement (article 10) : quelles données ? représentativité ? mesures contre les biais ?
- Logs et registres de fonctionnement (article 12)
- Mesures de surveillance humaine (article 14)
- Évaluation de conformité effectuée et marquage CE (si applicable)

TalentMatch répond partiellement : l'entreprise fournit une description générale mais invoque le secret des affaires pour ne pas divulguer certains détails techniques. Elle affirme que le système n'est pas à haut risque car il ne prend pas de décisions automatisées (un recruteur humain valide toujours).

2. Enquête approfondie :

Insatisfaite de la réponse, la DGCCRF ouvre une enquête formelle :
- Inspection sur site dans les locaux de TalentMatch (accès aux serveurs, aux codes sources, aux documentations internes)
- Audition des responsables techniques et des data scientists ayant développé le système
- Analyse technique du système par les experts de la DGCCRF : tests sur des CV fictifs variés pour détecter d'éventuels biais (genre, origine, âge)
- Engagement d'un cabinet d'audit externe spécialisé en IA pour une évaluation indépendante

3. Constatations :

L'enquête révèle que :
- Le système est bien à haut risque (Annexe III, point 4) : bien qu'un humain valide, le système influence fortement la décision en pré-sélectionnant les candidats
- La documentation technique est incomplète et ne respecte pas les exigences de l'Annexe IV
- Les données d'entraînement présentent des biais significatifs (sous-représentation des femmes dans certains métiers, biais d'âge)
- Le système de gestion des risques est insuffisant (les risques de discrimination n'ont pas été correctement évalués)
- Aucune évaluation de conformité par un organisme notifié n'a été effectuée
- Le système est commercialisé sans marquage CE

Tests techniques : Le système pénalise systématiquement les CV de femmes pour certains postes techniques, et les CV de candidats de plus de 50 ans.

4. Mesures correctrices :

La DGCCRF, en vertu de ses pouvoirs d'autorité de surveillance du marché :
- Ordonne à TalentMatch de cesser immédiatement la commercialisation du système (suspension de mise sur le marché)
- Exige la mise en conformité complète dans un délai de 6 mois : correction des biais, documentation technique complète, évaluation de conformité par organisme notifié, obtention du marquage CE
- Impose une amende administrative de 200 000 € pour mise sur le marché d'un système à haut risque non conforme
- Publie une communication publique avertissant les entreprises utilisatrices de TalentMatch des risques de non-conformité et de discrimination

5. Coopération européenne (paragraphe 5) :

La DGCCRF constate que TalentMatch commercialise son système dans 8 autres États membres. Elle :
- Informe le Bureau de l'IA et les autorités compétentes de ces États via le système ICSMS
- Partage les résultats de son enquête et les preuves de non-conformité
- Coordonne avec les autorités allemande et espagnole qui lancent également des contrôles
- Présente le cas lors de la réunion trimestrielle du Comité européen de l'IA, contribuant à l'élaboration de lignes directrices sur l'évaluation des biais dans les systèmes de recrutement

6. Suivi et résolution :

TalentMatch, face aux mesures de plusieurs autorités européennes :
- Suspend la commercialisation dans toute l'UE
- Engage un programme de refonte complète du système (nouvelles données d'entraînement diversifiées, mécanismes de détection et d'atténuation des biais, surveillance humaine renforcée)
- Effectue l'évaluation de conformité avec un organisme notifié
- Obtient le marquage CE après 8 mois de travaux
- Relance la commercialisation de manière conforme

La DGCCRF publie un retour d'expérience de ce cas comme exemple pédagogique pour les autres fournisseurs de systèmes d'IA de recrutement.

Bilan après un an d'activité :

Entre août 2025 et août 2026, la DGCCRF :
- Effectue 150 contrôles de systèmes d'IA (tous secteurs confondus)
- Identifie 35 cas de non-conformité (systèmes à haut risque sans marquage CE, documentation insuffisante, biais non traités)
- Prononce 12 amendes administratives (montant total : 2,8 millions d'euros)
- Ordonne 8 suspensions de mise sur le marché
- Accompagne 50 PME dans leur mise en conformité (approche pédagogique)
- Participe activement aux 4 réunions du Comité européen de l'IA
- Contribue à l'élaboration de 3 lignes directrices sectorielles

Cet exemple illustre comment une autorité nationale compétente, désignée conformément à l'article 70, exerce ses pouvoirs de surveillance du marché, de demande d'informations, d'enquête, et de mesures correctrices, tout en coopérant avec les autres autorités européennes pour garantir une application harmonisée et efficace de l'AI Act.

Articulation avec les autres dispositions de l'AI Act

L'article 70 constitue le fondement de la dimension nationale de la gouvernance de l'AI Act, complétant la dimension européenne incarnée par le Bureau de l'IA (article 64) et le Comité européen de l'IA (articles 65-66). Les autorités nationales compétentes sont les représentants de leurs États au sein du Comité, garantissant une articulation directe entre le niveau national et le niveau européen.

Les autorités nationales exercent les pouvoirs de surveillance du marché détaillés dans le Titre VIII de l'AI Act (articles 74-78), incluant les contrôles, les investigations, les mesures correctrices, et les sanctions. L'article 70 établit le cadre institutionnel, tandis que les articles suivants précisent les modalités opérationnelles de ces pouvoirs.

Les autorités nationales sont également responsables de la gestion de la base de données UE pour les systèmes d'IA à haut risque (article 71) au niveau national : elles vérifient les enregistrements, contrôlent la conformité des informations fournies, et peuvent demander des corrections ou des compléments.

L'article 70 s'articule avec le règlement (UE) 2019/1020 sur la surveillance du marché : les autorités nationales compétentes pour l'IA sont qualifiées d'autorités de surveillance du marché au sens de ce règlement, bénéficiant des pouvoirs et s'inscrivant dans les mécanismes de coopération prévus par ce cadre général.

Implications pratiques pour les organisations

Pour les fournisseurs et déployeurs de systèmes d'IA, l'article 70 signifie qu'ils sont soumis à la surveillance d'autorités nationales compétentes disposant de pouvoirs substantiels de contrôle, d'investigation, et de sanction. Ces organisations doivent identifier l'autorité compétente dans chaque État membre où elles opèrent, se préparer à répondre à des demandes d'informations et à des inspections, maintenir une documentation complète et accessible facilitant les contrôles, et adopter une approche proactive de mise en conformité plutôt que d'attendre les contrôles.

Les organisations opérant dans plusieurs États membres doivent être conscientes que, bien que l'AI Act soit un règlement harmonisé, les autorités nationales peuvent avoir des pratiques de surveillance légèrement différentes. La participation de ces autorités au Comité européen de l'IA vise précisément à harmoniser ces pratiques, mais des variations subsisteront. Les organisations doivent suivre les communications et lignes directrices des autorités pertinentes et participer aux consultations pour contribuer à l'émergence de pratiques équilibrées.

Pour les PME et les startups, les autorités nationales compétentes peuvent représenter à la fois un risque (contrôles, sanctions) et une ressource (accompagnement, guidance). De nombreuses autorités adoptent une approche pédagogique avec les petites structures de bonne foi, privilégiant l'accompagnement à la sanction. Les PME doivent ne pas hésiter à contacter leur autorité nationale pour des questions de conformité ou des demandes de clarification.

Pour les États membres, l'article 70 impose une obligation de mise en œuvre effective : désigner rapidement une autorité compétente, la doter de ressources financières et humaines adéquates, garantir son indépendance, et assurer sa participation active à la coopération européenne. Les États qui ne remplissent pas ces obligations compromettent l'application de l'AI Act sur leur territoire et exposent leurs entreprises à des risques de fragmentation du marché intérieur.

L'article 70 de l'AI Act établit le cadre institutionnel des autorités nationales compétentes, acteurs essentiels de la mise en œuvre concrète du règlement dans les 27 États membres. En imposant à chaque État de désigner une autorité de surveillance du marché dotée de pouvoirs substantiels, de ressources adéquates, et d'indépendance, l'article 70 garantit que l'AI Act ne reste pas un texte théorique mais se traduise par une supervision effective du marché de l'IA.

Les autorités nationales compétentes constituent le maillon opérationnel entre le cadre réglementaire européen et les réalités du terrain. Elles exercent quotidiennement les missions de contrôle, d'investigation, de mesures correctrices, et d'accompagnement des opérateurs, contribuant ainsi à l'émergence d'une culture de conformité et de responsabilité dans l'écosystème de l'IA. Leur coopération mutuelle et avec le Bureau de l'IA, organisée notamment via le Comité européen de l'IA, garantit l'harmonisation des pratiques et l'efficacité transfrontalière de la supervision.

Pour les organisations, les autorités nationales compétentes représentent les interlocuteurs principaux pour toutes les questions relatives à l'application de l'AI Act. Comprendre leur fonctionnement, anticiper leurs attentes, et établir un dialogue constructif avec elles constituent des éléments clés d'une stratégie de conformité réussie. Les autorités ne sont pas uniquement des organes de contrôle et de sanction, mais également des facilitateurs de la mise en conformité, contribuant au développement d'une IA européenne responsable, sûre, et respectueuse des droits fondamentaux.