La Fédération des Tiers de Confiance du Numérique a réuni le 18 février la DINUM, la DGE, l'ANSSI, la CNIL, l'ACPR, BPCE et la Société générale pour lancer un guide méthodologique de mise en conformité à l'AI Act, et annoncé la création prochaine d'un label « IA de confiance » destiné à distinguer les organisations ayant structuré leur gouvernance IA selon les exigences du règlement européen.
L'AI Act entre progressivement en application avec un paquet Omnibus en discussion au Parlement européen susceptible de reporter certaines échéances. Dans ce contexte, la question de la conformité aux systèmes d'IA à haut risque devient un facteur de différenciation compétitive pour les organisations des secteurs bancaire, financier, assurantiel et de santé. L'initiative de la FnTC relève d’une dynamique continentale de structuration de l'écosystème souverain européen autour de l'IA. Face à la domination des grands modèles américains et à l'accélération de l'IA agentique, les autorités de régulation françaises et européennes cherchent à établir des référentiels de confiance opposables, vérifiables et reconnus par le marché, capables de jouer le même rôle structurant que les certifications de sécurité ou les labels de conformité réglementaire dans d'autres domaines.
Le guide publié par la FnTC traduit les exigences de l'AI Act en obligations de gouvernance, organisées autour de critères fondamentaux, comme la transparence des données et des modèles, l’explicabilité et l’auditabilité, la robustesse, la sécurité et la responsabilité. Son architecture couvre le spectre complet des niveaux de risque définis par le règlement — des pratiques interdites jusqu'aux modèles d'IA génératives — avec pour objectif de permettre à chaque organisation d'identifier rapidement les obligations applicables à ses propres systèmes d'IA. La supervision humaine occupe une position centrale dans ce référentiel, déclinée en quatre axes opérationnels : formation des collaborateurs, détection et gestion des biais, structuration de la gouvernance interne, et implication des tiers et des partenaires.
Combler l'écart entre la réglementation et sa traduction opérationnelle
Pour les DSI et RSSI des secteurs à haut risque, cette approche répond à un problème de terrain : l'AI Act est un règlement dense, dont l'interprétation technique reste partiellement ouverte, et dont les obligations varient significativement selon la nature et l'usage des systèmes déployés. Un système d'IA utilisé pour le scoring de crédit, la détection de fraude ou le diagnostic médical assisté relève du régime des systèmes à haut risque, avec des exigences de documentation, de traçabilité et d'audit humain qui n'ont pas d'équivalent dans les pratiques actuelles de la plupart des organisations. Le guide de la FnTC vise précisément à combler l'écart entre la norme réglementaire et sa traduction opérationnelle dans les systèmes d'information.
Bernard Bailet, Président de la FnTC, formule l'ambition en ces termes : « La confiance se construit par des règles claires, des pratiques vérifiables et des acteurs qui s'y engagent. » Cette formulation pointe une réalité structurelle du marché de l'IA : en l'absence de signal de confiance reconnu, les acheteurs publics et privés ne disposent d'aucun mécanisme objectif pour distinguer les fournisseurs ayant réellement intégré les exigences de l'AI Act de ceux qui s'en réclament sans en avoir les pratiques.
Un label opposable pour distinguer les acteurs conformes
Le groupe de travail IA de la FnTC engagera dans les prochaines semaines la création d'un label « IA de confiance », dans le prolongement direct du guide. Ce label a vocation à valoriser les acteurs engagés dans une démarche structurée et responsable d'intégration de l'IA, en rendant visible et vérifiable leur niveau de conformité aux exigences du règlement européen. Judith Mehl, animatrice du groupe de travail, précise l'objectif : « Il est important d'envoyer un signal clair, reconnu par le marché, pour distinguer les acteurs qui ont réellement intégré les exigences de l'IA de confiance. »
La création de ce label s'inscrit dans une logique de marché que les DSI connaissent bien dans d'autres domaines : les certifications ISO 27001, les qualifications ANSSI ou les labels SecNumCloud jouent depuis plusieurs années un rôle de signal de confiance objectif dans les appels d'offres publics et privés, permettant aux acheteurs de réduire le coût d'évaluation des fournisseurs et aux opérateurs qualifiés de valoriser leurs investissements en conformité. Le label « IA de confiance » vise à reproduire cette dynamique sur le segment de l'IA, à un moment où la prolifération des offres se revendiquant de l'IA responsable rend la différenciation par la seule communication inopérante.
L'implication conjointe de la DINUM, de la CNIL et de l'ACPR dans la démarche signale que le label ne sera pas un exercice purement associatif : la présence des régulateurs sectoriels dès la phase de conception du référentiel augmente la probabilité que les critères retenus soient alignés avec les attentes des autorités de contrôle, et donc reconnus dans les procédures de conformité réglementaire des secteurs bancaire, financier et de santé. Pour les organisations de ces secteurs, un label coconstruit avec leurs régulateurs représente une économie substantielle de documentation et d'audit comparé à des démarches de conformité menées isolément face à chaque autorité de supervision.
Une réponse à la multiplicité des autorités compétentes
L'un des enjeux fondamentaux soulevés par l'AI Act est la multiplicité des autorités potentiellement compétentes sur un même système d'IA selon le secteur d'application : la CNIL sur les données personnelles, l'ANSSI sur la cybersécurité des systèmes critiques, l'ACPR sur les systèmes financiers, la Haute Autorité de Santé sur les dispositifs médicaux. Cette fragmentation crée un risque de chevauchement d'exigences contradictoires et de coût de conformité disproportionné pour les organisations opérant dans plusieurs secteurs simultanément. La réunion organisée par la FnTC constitue une première formalisation de l'interrégulation de l'IA en France, réunissant ces autorités autour d'un constat partagé sur les enjeux du règlement européen.
Pour les RSSI et les délégués à la protection des données des grandes organisations, la coordination entre régulateurs représente un paramètre opérationnel de premier ordre. Un référentiel commun, même non contraignant, réduit l'incertitude sur les exigences applicables et facilite la construction d'un dossier de conformité cohérent face à des interlocuteurs institutionnels multiples. La FnTC, forte de plus de vingt ans d'expérience dans la sécurisation de la numérisation des usages, se positionne comme interface entre cette complexité réglementaire et les besoins opérationnels des organisations — un rôle d'autant plus stratégique que le paquet Omnibus en discussion est susceptible de modifier encore les échéances et le périmètre d'application de certaines obligations de l'AI Act.
La structuration d'un écosystème souverain européen autour de l'IA se joue aussi au niveau des référentiels de confiance, des labels opposables et des pratiques de gouvernance vérifiables. Le label « IA de confiance » porté par la FnTC, s'il parvient à s'imposer comme signal reconnu par le marché, constituera un moyen de différenciation pour les acteurs européens face aux fournisseurs extraeuropéens dont la conformité à l'AI Act reste à démontrer.
