L’Espagne a présenté devant le parlement son Projet de Loi Organique pour une utilisation responsable et une gouvernance efficace de l’intelligence artificielle. Ce texte, publié dans le Bulletin Officiel des Cortes Generales, ne remplace pas le Règlement Européen sur l’Intelligence Artificielle (AI Act), mais il traduit en droit national une partie essentielle de son application en Espagne : définition des autorités compétentes, organisation institutionnelle, régime de sanctions, espaces d’expérimentation contrôlés et obligations spécifiques pour le secteur public.
Le Bureau du Congrès a décidé de confier l’avis à la Commission de l’Économie, du Commerce et de la Transformation Numérique, en ouvrant une période de dépôt d’amendements d’une durée de quinze jours ouvrables, qui se terminera le 30 juin 2026. Par la suite, le texte poursuivra son parcours parlementaire, et pourra encore être modifié avant son adoption définitive.
Une législation espagnole pour la mise en œuvre de l’AI Act
Le projet repose sur une idée claire : le Règlement Européen sur l’IA s’applique directement, mais il laisse aux États membres la responsabilité de désigner les autorités nationales, d’organiser la surveillance et de définir le régime de sanctions. L’Espagne profite de cette loi pour bâtir cette architecture nationale.
Le texte réglemente quatre grands axes : gouvernance et supervision du marché, espaces d’expérimentation contrôlés, utilisation responsable de l’IA dans le secteur public, et sanctions pour non-respect du Règlement Européen sur l’IA.
| Domaine | Ce que réglemente le projet |
|---|---|
| Gouvernance | Désignation des autorités nationales compétentes |
| Supervision | Surveillance du marché, inspections et coordination |
| Sandbox | Espaces d’expérimentation contrôlés pour l’IA |
| Secteur public | Inventaire des systèmes et délégation en IA |
| Sanctions | Infractions légères, graves et très graves |
| Réclamations | Plateforme unique via l’AESIA |
| Mesures provisoires | Restriction, retrait, déconnexion ou interdiction des systèmes |
Le projet insiste sur le fait qu’il ne crée pas une réglementation parallèle à l’AI Act, mais qu’il adapte le cadre juridique espagnol à ses exigences. Dans son exposé des motifs, le texte rappelle que le Règlement Européen régule la mise sur le marché, la mise en service et l’utilisation des systèmes d’IA dans l’Union Européenne, et que les obligations s’appliquent aux fournisseurs, responsables de leur déploiement, importateurs, distributeurs et autres opérateurs.
AESIA sera l’acteur central, mais pas la seule instance
L’Agence Espagnole de Surveillance de l’Intelligence Artificielle, AESIA, se présente comme le pivot du système national. Le projet la désigne comme l’autorité de surveillance du marché pour la majorité des systèmes d’IA, et comme point de contact unique avec la Commission Européenne, le Bureau de l’IA, le Conseil de l’IA et les autorités des autres États membres.
Cependant, le modèle n’est pas totalement centralisé. La loi favorise une supervision répartie selon le secteur et le type de système. La AEPD et les autorités autonomes de protection des données reprendront des compétences notamment dans les domaines sensibles liés à la biométrie, à l’identification, à la catégorisation biométrique, à la migration, à l’asile et au contrôle aux frontières. Le Conseil Général du Pouvoir Judiciaire (CGPJ) aura également des compétences concernant certains systèmes d’IA utilisés dans le domaine judiciaire et garantissant le respect du droit.
| Autorité | Principales compétences |
| AESIA | Surveillance générale du marché, point de contact unique et coordination |
| Direction Générale de l’Intelligence Artificielle | Autorité de notification pour les systèmes IA de l’annexe III |
| ENAC | Support technique en évaluation et supervision des organismes de conformité |
| AEPD et autorités autonomes | Biométrie, migration, asile et contrôle aux frontières dans certains cas |
| CGPJ | IA dans la justice et respect du droit |
| Bank of Spain | Systèmes IA pour la solvabilité et l’évaluation de crédit dans les entités supervisées |
| CNMV | IA de solvabilité pour les opérateurs sous sa supervision |
| Direction Générale des Assurances | IA pour l’évaluation des risques et la tarification dans l’assurance vie et la santé |
La Direction Générale de l’Intelligence Artificielle, dépendante du Secrétariat d’État à la Digitalisation et à l’IA, agira comme instance de notification pour les systèmes d’IA de l’annexe III du Règlement Européen. Elle bénéficiera du soutien de l’ENAC, l’organisme national d’accréditation, pour l’évaluation et la supervision des organismes de conformité.
Le schéma vise à équilibrer spécialisation et coordination. Bien que la AESIA puisse fournir une assistance technique aux autres autorités, le texte insiste sur le fait que cette assistance ne doit pas remettre en cause leur indépendance ni leur spécialisation sectorielle.
Inventaire des systèmes d’IA et délégation obligatoire dans le secteur public
Une des innovations majeures concerne le secteur public national. Les entités publiques devront déclarer régulièrement l’utilisation de systèmes d’IA dans l’exercice de leurs missions. À cette fin, un inventaire interopérable avec le registre européen des systèmes à haut risque sera créé.
Cet inventaire ne remplace pas les obligations d’enregistrement propres au AI Act pour les systèmes d’IA à haut risque, mais il apporte une couche supplémentaire de transparence nationale pour l’usage de l’IA dans les démarches administratives électroniques. Les données minimales incluront le fournisseur, le responsable de déploiement, d’autres opérateurs impliqués, et la catégorisation du système.
| Obligation du secteur public | Portée |
| Informer sur les systèmes d’IA | Données pertinentes et actualisées |
| Créer un inventaire | Interopérable avec le registre européen |
| Identifier fournisseur et responsable | Informations minimales par système |
| Classer les systèmes | Catégorisation selon le cadre applicable |
| Encourager la formation | Utilisation responsable, durable et fiable |
| Nommer un délégué IA | Coordination interne et conformité réglementaire |
Le projet introduit également la figure du délégué à l’intelligence artificielle pour chaque entité du secteur public. Sa mission sera de coordonner les politiques internes, d’assurer la conformité aux normes et d’assurer une utilisation responsable des systèmes d’IA. Il pourra aussi conseiller dans la réalisation d’évaluations d’impact sur le biais discriminatoire et la protection des droits fondamentaux, lorsque ces démarches seront requises.
Certaines exceptions seront prévues : systèmes liés à des fins militaires, de défense, de sécurité nationale, aux infrastructures critiques, à la recherche antérieure à la mise en service, à la cybersécurité publique, à la fraude fiscale ou à l’intégrité du système de prestations sociales, lorsque leur publication pourrait compromettre leur efficacité ou en augmenter le risque.
Sanctions pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial
Le régime disciplinaire constitue une partie essentielle du projet. La loi classe les infractions en légères, graves et très graves, et reprend les seuils principaux du Règlement Européen sur l’IA. Les sanctions les plus lourdes concernent les pratiques interdites.
| Type d’infraction | Sanction maximale |
| Très graves liées aux pratiques interdites | 35 000 000 € ou 7 % du chiffre d’affaires mondial annuel |
| Autres très graves | 15 000 000 € ou 3 % du chiffre d’affaires mondial annuel |
| Graves | 7 500 000 € ou 1 % du chiffre d’affaires mondial annuel |
| Légeres | 500 000 € ou 0,5 % du chiffre d’affaires mondial annuel |
Pour les PME et start-ups, les amendes pourront être calculées en fonction du chiffre d’affaires ou d’un montant absolu, selon la moindre des deux, conformément au Règlement Européen. La loi prévoit aussi des mesures accessoires telles que le retrait du système, la déconnexion ou l’interdiction d’usage lorsque le risque est grave ou inacceptable.
Les infractions graves incluent notamment le non-respect des règles de transparence, l’absence d’enregistrement des systèmes à haut risque, la résistance aux inspections, la présentation de fausses informations, ou encore la non-conformité des fournisseurs, importateurs, distributeurs ou organismes notifiés.
Les délais de prescription sont également prévus : un an pour les infractions légères, trois ans pour les graves, et cinq ans pour les très graves. La procédure administrative de sanction doit aboutir sous un maximum de 18 mois pour les infractions graves et très graves, et 9 mois pour les infractions légères.
Réclamations, signalements et mesures conservatoires
Le projet prévoit la mise en place d’un système de réclamations permettant à toute personne physique ou morale d’alerter les autorités en cas de non-respect du Règlement Européen sur l’IA. L’AESIA devra établir une plateforme unique pour recevoir ces plaintes, qu’elle transmettra à l’autorité compétente dans un délai maximum de dix jours ouvrés.
Déposer une réclamation ne confère pas automatiquement une qualité de partie intéressée dans une procédure de sanction potentielle, mais cela peut enclencher une analyse, une demande d’informations, une inspection ou le début d’une procédure d’office pour des mesures correctives ou la suspension du système.
Le texte prévoit aussi une protection pour les lanceurs d’alerte qui dénoncent des infractions avérées dans un cadre professionnel ou lié à une relation de travail, conformément à la réglementation européenne et nationale sur la protection des dénonciateurs.
| Outil | Fonction |
| Plateforme unique | Recevoir et transmettre les réclamations à l’AESIA |
| Enquêtes préliminaires | Analyser les faits avant toute procédure |
| Inspection | Vérifier les systèmes et exiger des informations | Mesures conservatoires | Prévenir tout dommage ou aggravation du risque | Protection du lanceur d’alerte | Garantir confidentialité et protection contre les représailles | Publication des sanctions | Coordination et communication par l’AESIA |
Les autorités pourront prendre des mesures provisoires pour endiguer les risques, telles que demander l’adaptation du système, en empêcher l’usage, le retirer, l’inutiliser, le désactiver ou alerter les utilisateurs finaux.
Espaces d’expérimentation (sandboxes) pour stimuler l’innovation en toute sécurité juridique
Le projet règlemente également la création d’espaces contrôlés d’expérimentation pour l’IA. La AESIA sera responsable de l’établissement du sandbox obligatoire prévu par le Règlement Européen, mais d’autres autorités compétentes pourront créer des espaces supplémentaires dans leur domaine.
L’objectif est de faciliter le développement, la validation et l’expérimentation de systèmes innovants avant leur mise sur le marché ou leur déploiement. Ces espaces devront respecter une gouvernance sectorielle, disposer de ressources suffisantes, et communiquer avec la Office de l’IA et le Conseil de l’IA via leur point de contact unique.
Le texte mentionne spécifiquement le domaine de la santé et du secteur sociosanitaire, où la déploiement de l’IA doit respecter la dignité humaine, l’autonomie, l’intimité, la sécurité des patients, la qualité des soins, ainsi que l’indépendance technique et scientifique des professionnels.
Ce que les organisations doivent faire dès maintenant
Bien que le projet ne soit pas encore adopté, il est clair que toute organisation utilisant de l’IA en Espagne doit dès à présent considérer que la gouvernance de l’IA devient une obligation concrète, et non plus une simple recommandation.
Les entreprises et administrations doivent commencer par inventorier leurs systèmes d’IA : qui les fournit, qui les déploie, à quelles fins, quels sont les données utilisées, et s’ils entrent dans les catégories à haut risque ou nécessitant plus de transparence. La conformité ne repose pas uniquement sur le fournisseur technologique : le responsable du déploiement doit aussi respecter des obligations, notamment lorsqu’il s’agit de systèmes à haut risque dans des secteurs comme l’emploi, l’éducation, les services essentiels, le crédit, l’assurance, la biométrie ou le secteur public.
| Priorité | Action recommandée |
| Inventaire | Cartographier tous les systèmes d’IA utilisés dans l’organisation |
| Classification | Déterminer si les systèmes sont interdits, à haut risque, transparents ou autres |
| Documentation | Enregistrer fournisseur, finalité, données, modèle et responsables |
| Analyse d’impact | Vérifier le respect des droits fondamentaux, les biais, la protection des données |
| Supervision humaine | Désigner des personnes compétentes, formées et ayant autorité |
| Transparence | Informer lorsque l’on interagit avec une IA ou lorsque du contenu synthétique est utilisé |
| Incidents | Préparer des protocoles de signalement et de réponse |
| Audit | Conserver logs, traçabilité et documentation technique |
| Formation | Favoriser la sensibilisation à l’IA auprès des équipes concernées |
| Gestion interne | Responsables clairs du suivi et de la conformité |
Le vrai changement ne sera pas seulement dans les amendes, mais dans la nécessité de prouver une maîtrise effective : connaître les IA en usage, leur niveau de risque, qui répond d’elles, et comment leur supervision est organisée. Cette traçabilité sera essentielle pour se conformer à la loi, mais aussi pour limiter les risques opérationnels et réputationnels.
Un cadre réglementaire encore en cours d’élaboration, mais avec des impacts immédiats sur la planification
Le Projet de Loi Organique n’est pas encore adopté, mais sa publication permet d’anticiper la direction que prend la réglementation en Espagne. Le pays souhaite placer la AESIA au centre de la coordination, répartir les compétences dans les secteurs sensibles, créer des espaces d’expérimentation et doter le AI Act d’un régime interne de sanctions.
Pour le secteur technologique, le message est clair : vendre ou déployer de l’IA en Espagne ne se résumera plus à une démonstration technique irréprochable. La documentation, les contrôles, l’évaluation des risques, la transparence, la capacité à gérer les incidents et des relations claires avec les autorités seront désormais indispensables.
Pour l’administration publique aussi, le niveau d’exigence monte. L’inventaire des systèmes d’IA et la figure du délégué IA pourraient transformer la manière dont sont achetés, déployés et expliqués les algorithmes dans le secteur public. L’IA publique devra devenir plus traçable, tout en conservant certaines exceptions pour des raisons de sécurité, de fraude ou de cybersécurité.
L’Espagne ne crée pas son propre AI Act, mais construit le dispositif national pour l’appliquer. Cette infrastructure aura un impact direct sur les entreprises, les administrations, les fournisseurs technologiques, les responsables conformité, les services juridiques et les équipes produit. L’IA continuera d’évoluer, mais le déploiement sans gouvernance interne, sans traçabilité et sans personne responsable s’en trouvera de plus en plus difficile.
Questions fréquentes
Qu’est-ce que le Projet de Loi Organique pour une utilisation responsable de l’IA ?
Il s’agit d’un texte en cours d’élaboration qui adapte le cadre espagnol au Règlement Européen sur l’IA, désigne les autorités compétentes, réglemente les espaces d’expérimentation, introduit des obligations pour le secteur public et définit des sanctions.
S’appliquera-t-il à l’AI Act européen ?
Non. L’AI Act est un règlement européen directement applicable. La loi espagnole approfondit la mise en œuvre nationale par la désignation des autorités, la coordination, la procédure et le régime de sanctions.
Quel rôle jouera l’AESIA ?
L’AESIA sera l’autorité de surveillance du marché pour la majorité des systèmes d’IA, le point de contact unique, et responsable de l’espace d’expérimentation obligatoire.
Quelles sont les sanctions maximales prévues ?
Les infractions les plus graves pour pratiques interdites pourront être sanctionnées jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel.
