Quelle autorité sera compétente pour contrôler l'application de l'AI Act au Luxembourg ?
Réponse courte
Au Luxembourg, la CNPD (Commission nationale pour la protection des données) est l'autorité pressentie pour superviser l'application de l'AI Act, en cohérence avec son rôle existant de contrôle du RGPD. Le règlement UE 2024/1689 (AI Act) impose à chaque État membre de désigner au moins une autorité nationale compétente avant le 2 août 2025.
La CNPD dispose déjà d'une expertise en matière de traitement automatisé de données et de supervision des algorithmes. L'ITM (Inspection du travail et des mines) conserve ses compétences en matière de droit du travail et de non-discrimination. Une coordination entre ces deux autorités est nécessaire pour couvrir les systèmes d'IA utilisés dans le contexte de l'emploi, notamment ceux classés à haut risque par l'Annexe III de l'AI Act.
Définition
L'autorité nationale compétente au sens de l'AI Act est l'organisme désigné par chaque État membre pour superviser l'application du règlement, contrôler la conformité des systèmes d'IA déployés sur son territoire, mener des enquêtes et prononcer des sanctions.
Au Luxembourg, la CNPD cumule déjà les fonctions de protection des données et a développé le programme "Sandkescht" (bac à sable réglementaire) pour accompagner les entreprises dans l'innovation responsable. L'AI Act prévoit également la possibilité de désigner plusieurs autorités sectorielles, ce qui permettrait une répartition des compétences entre la CNPD pour les aspects données et algorithmes, et l'ITM pour les aspects spécifiques au droit du travail.
Questions fréquentes
Conditions d’exercice
L'architecture de contrôle de l'AI Act au Luxembourg repose sur une répartition des compétences entre autorités existantes.
| Critère | Détail |
|---|---|
| Autorité principale | CNPD désignée comme autorité de surveillance du marché et autorité notifiante ; compétence générale sur tous les systèmes d'IA |
| Compétences CNPD | Contrôle de conformité des systèmes à haut risque, enquêtes, accès aux données et documentation technique, sanctions administratives |
| Rôle de l'ITM | Compétence maintenue pour le droit du travail, conditions d'emploi, non-discrimination ; contrôle des systèmes d'IA dans le contexte RH |
| Programme Sandkescht | Bac à sable réglementaire de la CNPD pour tester des solutions IA innovantes dans un environnement contrôlé |
| Coordination européenne | Participation au Comité européen de l'intelligence artificielle (AI Board) ; coopération avec les autorités des autres États membres |
| Calendrier | 2 février 2025 : interdictions ; 2 août 2025 : désignation formelle des autorités ; 2 août 2026 : exigences complètes pour systèmes à haut risque |
| Pouvoirs de sanction | Amendes jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les infractions les plus graves |
Modalités pratiques
Les employeurs luxembourgeois doivent anticiper le cadre de contrôle pour se préparer aux inspections.
| Étape | Détail |
|---|---|
| Inventaire des systèmes IA | Recenser tous les outils d'IA utilisés dans l'entreprise et les classer selon le niveau de risque (interdit, haut risque, risque limité, risque minimal) |
| Point de contact | Désigner un responsable IA interne chargé des relations avec la CNPD et l'ITM |
| Documentation technique | Constituer les dossiers de conformité exigés par l'AI Act pour chaque système à haut risque |
| Veille réglementaire | Suivre les publications de la CNPD et du Comité européen de l'IA pour anticiper les lignes directrices sectorielles |
| Formation | Former les équipes RH et IT aux exigences de l'AI Act et aux procédures de contrôle |
| Coopération | Répondre aux demandes d'information de la CNPD dans les délais impartis et faciliter les enquêtes |
Pratiques et recommandations
Anticiper la désignation formelle de l'autorité compétente en se conformant dès maintenant aux exigences de l'AI Act, car le calendrier d'application est progressif et certaines obligations sont déjà en vigueur.
Centraliser la gouvernance IA au sein de l'entreprise avec un responsable identifié qui coordonne la conformité RGPD et AI Act auprès de la CNPD.
Documenter systématiquement les systèmes d'IA utilisés, leur finalité, leurs niveaux de risque et les mesures de conformité mises en place pour faciliter tout contrôle futur.
Participer aux initiatives de la CNPD comme le programme Sandkescht pour bénéficier d'un accompagnement dans la mise en conformité et tester les solutions dans un cadre sécurisé.
Consulter la délégation du personnel sur l'introduction de tout système d'IA, conformément aux obligations d'information et de consultation prévues par le Code du travail.
Cadre juridique
| Référence | Objet |
|---|---|
| AI Act (UE 2024/1689) - Article 70 | Désignation des autorités nationales compétentes par chaque État membre |
| AI Act - Articles 64-68 | Gouvernance européenne : Comité européen de l'intelligence artificielle |
| AI Act - Articles 74-84 | Pouvoirs de surveillance du marché, enquêtes, mesures correctives et sanctions |
| RGPD - Article 51 | Autorité de contrôle indépendante (CNPD au Luxembourg) |
| Art. L.414-3 et suivants | Information et consultation de la délégation du personnel sur les nouvelles technologies |
| Art. L.251-1 | Interdiction de toute discrimination directe ou indirecte |
| Loi du 1er août 2018 | Organisation de la CNPD et mise en oeuvre du RGPD au Luxembourg |
Note
La CNPD est l'autorité naturelle pour le contrôle de l'AI Act au Luxembourg compte tenu de son expertise existante en matière de données et d'algorithmes. Les employeurs doivent cependant garder à l'esprit que l'ITM conserve ses compétences propres en droit du travail. La coopération entre ces deux autorités déterminera l'efficacité du contrôle des systèmes d'IA en contexte RH.