Les déployeurs français abordent l'analyse d'impact sur les droits fondamentaux (AIDF, FRIA en anglais) prévue à l'article 27 du règlement IA à partir d'un point de départ familier : une pratique mûre de la protection des données, construite autour de l'analyse d'impact relative à la protection des données (AIPD) de la CNIL, le nom français de l'analyse d'impact RGPD (DPIA). Ce guide adapte le modèle d'AIDF générique au contexte français. Il explique comment l'article 27, paragraphe 4, permet de réutiliser une AIPD comme intrant, ce qu'apportent les recommandations IA publiées par la CNIL et où elles s'arrêtent, et quelle autorité française recevra la notification prévue à l'article 27, paragraphe 3, une fois les désignations arrêtées. La date de préparation contraignante est le 2 août 2026. Le Digital Omnibus (approuvé à titre provisoire vers le 7 mai 2026) reporterait au 2 décembre 2027 les obligations autonomes relatives aux systèmes à haut risque de l'annexe III, y compris l'AIDF de l'article 27, mais il n'a pas encore force de loi : il faut donc continuer à se préparer sur la base du 2 août 2026. Vous pouvez rédiger une analyse structurée avec le générateur d'AIDF gratuit.
L'AIDF en France : une obligation de l'article 27 lue au prisme de la CNIL
L'AIDF est une obligation du déployeur au titre de l'article 27 du règlement IA, et elle concerne les organisations françaises de deux manières. Les organismes de droit public et les entités privées fournissant des services publics doivent réaliser une AIDF avant de déployer un système à haut risque relevant de l'annexe III. En France, ce groupe comprend les organismes de sécurité sociale, les hôpitaux publics, les écoles et universités, les bailleurs de logements sociaux et les concessionnaires de services publics. Par ailleurs, quel que soit son statut public ou privé, tout déployeur qui utilise l'IA pour évaluer la solvabilité ou établir des notations de crédit entre dans le champ d'application au titre de l'annexe III, point 5 b), avec une exception pour l'IA utilisée pour détecter la fraude financière ; il en va de même pour tout déployeur qui utilise l'IA pour l'évaluation des risques et la tarification en assurance vie et santé au titre de l'annexe III, point 5 c).
L'obligation incombe au déployeur, l'organisation qui met le système en service sous sa propre autorité. Le fournisseur fournit les éléments dont le déployeur a besoin au titre des articles 11 à 13 (documentation technique de l'annexe IV, notice d'utilisation et risques et limites connus du système), et le déployeur construit l'AIDF à partir de ces éléments. C'est aussi au déployeur qu'incombe la notification prévue à l'article 27, paragraphe 3. Pour un déployeur français, la conséquence pratique est que cette obligation ne peut pas être déléguée au fournisseur d'IA.
La plupart des déploiements à haut risque qui déclenchent déjà une AIDF en France traitent aussi des données personnelles, et exigent donc déjà une AIPD au titre de l'article 35 du RGPD. La notation de l'éligibilité aux prestations, la notation de crédit et la tarification de l'assurance vie et santé impliquent toutes un traitement à grande échelle de données personnelles concernant des personnes identifiables, incluant fréquemment des groupes vulnérables. C'est ce chevauchement qui explique que la voie française vers l'AIDF passe par l'AIPD. Pour confirmer d'abord si un système donné est à haut risque, suivez le guide de classification haut risque ; pour la dimension protection des données, consultez notre article complémentaire sur les AIPD pour les systèmes d'IA.
Réutiliser votre AIPD : l'article 27, paragraphe 4, et la méthodologie d'AIPD de la CNIL
L'article 27, paragraphe 4, est la disposition centrale pour les déployeurs français. Il prévoit que, lorsque l'une des obligations de l'article 27 est déjà satisfaite au moyen d'une analyse d'impact relative à la protection des données réalisée au titre de l'article 35 du règlement (UE) 2016/679 (le RGPD) ou de l'article 27 de la directive (UE) 2016/680, l'analyse d'impact sur les droits fondamentaux prévue au paragraphe 1 « complète cette analyse d'impact relative à la protection des données ». Concrètement, cela signifie qu'une AIPD existante est réutilisée comme intrant de l'AIDF. Elle ne dispense pas de l'AIDF, qui doit toujours traiter chaque droit pertinent de la Charte.
La France dispose d'une infrastructure d'AIPD particulièrement riche. La CNIL publie une méthodologie PIA depuis 2015, composée de trois guides (une méthode, des modèles et une base de connaissances), ainsi qu'un logiciel PIA libre et gratuit. Une AIPD est obligatoire au titre de l'article 35 du RGPD lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, ce qui couvre les systèmes d'IA à haut risque entrant dans le champ d'une AIDF. L'AIPD que vous produisez avec cette méthodologie devient le socle que l'AIDF vient prolonger.
Le tableau ci-dessous indique quels éléments de l'article 27, paragraphe 1, une AIPD couvre généralement déjà et ce que l'AIDF doit encore ajouter. La logique est constante : l'AIPD traite bien la dimension protection des données et partiellement le contexte du système, tandis que l'analyse propre aux droits — non-discrimination, bonne administration et droits sociaux — est l'endroit où l'AIDF accomplit l'essentiel de son travail. Le générateur AIPD-vers-AIDF est conçu précisément autour de cette réutilisation.
| Élément de l'AIDF (article 27, paragraphe 1) | Couvert par l'AIPD CNIL ? | Ce que l'AIDF doit encore ajouter |
|---|---|---|
| a) Description du système et finalité prévue | En partie — l'AIPD décrit le traitement | Le cadrage du processus côté déployeur et la finalité prévue par le fournisseur (éléments de l'annexe IV et de l'article 13) |
| b) Durée et fréquence d'utilisation | En grande partie — la section contexte de l'AIPD | Volume de décisions, périmètre géographique et rythme de déploiement |
| c) Catégories de personnes concernées | En partie — l'AIPD énumère les personnes concernées | Les tiers indirectement concernés et les groupes vulnérables (articles 24 à 26 de la Charte) |
| d) Risques spécifiques pour les droits fondamentaux | En partie — l'AIPD évalue les risques pour les droits et libertés, mais sous l'angle de la protection des données | Tous les droits de la Charte hors protection des données : non-discrimination, bonne administration, sécurité sociale |
| e) Mesures de contrôle humain | Légèrement — la section sécurité et mesures de l'AIPD | Rôles de supervision alignés sur l'article 14, pouvoirs d'intervention et formation |
| f) Mesures en cas de matérialisation des risques et réclamations | En partie — l'AIPD prévoit des mesures et des voies de recours | Garanties propres aux droits, réclamation et recours, et la notification à l'autorité au titre de l'article 27, paragraphe 3 |
Les recommandations IA publiées par la CNIL, et ce qu'elles laissent au Bureau de l'IA
La CNIL a bâti ses travaux sur l'IA à partir du RGPD. Depuis 2023, elle a publié une série de recommandations et de fiches pratiques qui expliquent comment le droit de la protection des données s'applique au développement et au déploiement de l'IA. Aucune d'elles n'est un modèle d'AIDF au sens de l'article 27.
Le 7 février 2025, la CNIL a publié deux recommandations : l'une sur l'information des personnes concernées lorsque leurs données servent à entraîner des modèles d'IA, l'autre sur la facilitation de l'exercice des droits des personnes (accès, rectification, opposition et effacement) dans les systèmes d'IA.
Le 22 juillet 2025, la CNIL a finalisé trois recommandations supplémentaires : sur la détermination des cas où le RGPD s'applique aux modèles d'IA, sur l'annotation des données et sur le développement sécurisé des systèmes d'IA, accompagnées d'une fiche de synthèse et d'une liste de vérification de conformité téléchargeable. La CNIL a également annoncé des lignes directrices sectorielles à venir, couvrant l'éducation, la santé et l'emploi, ainsi que des travaux sur les responsabilités des acteurs tout au long de la chaîne de valeur de l'IA.
La CNIL publie aussi un guide d'auto-évaluation pour les systèmes d'IA, une grille d'analyse de sept fiches permettant d'évaluer la maturité RGPD d'un système d'IA : l'intégration proportionnée de l'IA autour d'un objectif clair, la constitution d'un jeu de données d'entraînement de qualité conforme au RGPD, le développement et l'entraînement de l'algorithme, la garantie de la qualité et de la transparence du système en service, la sécurisation du traitement, la transparence et les droits pour les utilisateurs finaux, et l'attribution des responsabilités et la documentation du traitement.
Tout ce matériel est réellement utile pour la dimension protection des données d'un déploiement d'IA en France. Il ne comprend pas de modèle d'AIDF au sens de l'article 27. Au titre de l'article 27, paragraphe 5, ce modèle, y compris un outil automatisé, relève de la responsabilité du Bureau européen de l'IA, et il n'avait pas été publié en juin 2026. Les déployeurs français devraient structurer l'AIDF autour des six éléments de l'article 27, paragraphe 1, et traiter le matériel d'AIPD de la CNIL comme l'intrant relatif à la protection des données.
Qui supervise le règlement IA en France, et qui notifier au titre de l'article 27, paragraphe 3
La France n'a pas encore désigné officiellement ses autorités nationales compétentes et ses autorités de surveillance du marché au titre du règlement IA, et elle ne les a pas notifiées à la Commission. Elle a manqué l'échéance du 2 août 2025 pour le faire et figure parmi les États membres qui n'ont pas formalisé leurs désignations. Tant qu'une désignation n'est pas adoptée, la CNIL, l'ACPR et les autres organismes candidats agissent de fait, sans statut officiel au titre du règlement IA.
Un schéma de gouvernance publié par le gouvernement le 9 septembre 2025 propose une répartition par secteur. Il s'agit d'une proposition en attente d'adoption par le Parlement, qui n'a pas été adoptée. Selon ce schéma, la DGCCRF serait l'autorité de surveillance du marché coordinatrice et le point de contact unique au titre de l'article 70 ; la DGE détiendrait le bureau de liaison et le siège de la France au Comité européen de l'intelligence artificielle ; la CNIL serait chef de file pour l'IA traitant des données personnelles et biométriques, ainsi que pour l'emploi, la répression pénale, le contrôle aux frontières et l'identification biométrique (environ quinze cas d'usage) ; l'ACPR couvrirait l'IA des services financiers ; Arcom prendrait en charge les contenus audiovisuels et les hypertrucages ; l'ANSSI et le PEReN mutualiseraient l'expertise technique ; et la HAS et l'ANSM couvriraient l'IA de santé et des dispositifs médicaux.
Les dispositions de désignation ont été introduites puis retirées du projet de loi DDADUE (loi portant diverses dispositions d'adaptation au droit de l'Union européenne) à l'Assemblée nationale, et le schéma est toujours en attente d'adoption par le Parlement. Par ailleurs, la CNIL a publiquement plaidé pour que les autorités de protection des données soient désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d'IA à haut risque, en invoquant leur expertise en matière de droits fondamentaux et la nécessité de maintenir la cohérence entre le RGPD et le règlement IA.
Le tableau ci-dessous résume la répartition proposée. Chaque ligne doit être lue comme une proposition.
| Domaine de l'IA (France) | Autorité proposée (schéma du 9 sept. 2025) | Statut |
|---|---|---|
| Point de contact unique / autorité de surveillance du marché coordinatrice (article 70) | DGCCRF | Proposé ; pas encore adopté |
| Siège de la France au Comité européen de l'IA / bureau de liaison | DGE | Proposé ; pas encore adopté |
| IA de données personnelles et biométrique (et emploi, répression pénale, frontières, identification biométrique) | CNIL (chef de file de fait) | Proposé ; la CNIL agit de fait |
| IA des services financiers (y compris le crédit) | ACPR | Proposé ; pas encore adopté |
| Audiovisuel / hypertrucages / contenus | Arcom | Proposé ; pas encore adopté |
| Expertise technique mutualisée | ANSSI + PEReN | Proposé ; pas encore adopté |
| IA de santé et des dispositifs médicaux | HAS / ANSM | Proposé ; pas encore adopté |
Ce que la désignation non arrêtée implique pour votre notification
Pour un déployeur français, la conséquence pratique est concrète. Le destinataire de la notification prévue à l'article 27, paragraphe 3, n'est pas encore formellement fixé : vous ne pouvez donc pas, à ce jour, adresser la notification à une autorité désignée. Tenez prêt un dossier complet au titre de l'article 27, paragraphe 1, surveillez le décret de désignation et déposez la notification dès que l'autorité destinataire sera nommée. L'obligation contraignante est de préparer le dossier ; la destination du dépôt reste à arrêter.
Exemple concret : un organisme public français notant l'éligibilité aux prestations
Prenons un organisme français de protection sociale, un organisme de sécurité sociale tel qu'une caisse d'allocations familiales ou de prestations sociales, qui déploie un système d'IA pour noter les bénéficiaires en vue d'un contrôle. Le système signale les foyers susceptibles d'un indu ou d'un réexamen d'éligibilité. Il s'agit de l'annexe III, point 5 a) : l'IA utilisée par les autorités publiques ou pour leur compte pour évaluer l'admissibilité aux prestations et services publics essentiels d'aide sociale, ou pour les octroyer, les réduire, les révoquer ou les récupérer. En tant qu'organisme public déployant un système à haut risque relevant de l'annexe III, la caisse doit réaliser une AIDF au titre de l'article 27 avant la première utilisation. Elle mène déjà une AIPD CNIL sur le même traitement. Ce cas illustre donc en pratique la réutilisation prévue à l'article 27, paragraphe 4.
Un point juridique mérite attention. Si la note entraîne une réduction ou une suspension des prestations sans intervention humaine significative, il s'agit d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou des effets significatifs similaires, que l'article 22, paragraphe 1, du RGPD interdit sauf si une exception de l'article 22, paragraphe 2, s'applique. Pour une décision relative à des prestations publiques, la voie habituelle est l'article 22, paragraphe 2, point b) : une autorisation par le droit de l'Union ou de l'État membre prévoyant des garanties appropriées. Le contrôle le plus net consiste à maintenir une intervention humaine significative dotée du pouvoir de passer outre, de sorte que la décision ne soit pas exclusivement automatisée, et à reconnaître au bénéficiaire le droit d'exprimer son point de vue et de contester le résultat. Cette exigence relève à la fois de l'AIPD et de l'AIDF.
Chaque risque du registre est coté selon sa probabilité et sa gravité, et les deux notes se combinent en un niveau de risque unique à l'aide de la matrice de cotation du modèle d'AIDF. Consigner le raisonnement derrière chaque cotation compte autant que la cotation elle-même.
Le registre des risques de l'AIDF de notation des prestations
Le registre ci-dessous correspond à la section 4 de l'AIDF (article 27, paragraphe 1, point d)) pour ce déploiement. C'est le niveau de précision qu'attendraient une autorité de surveillance du marché française et un juge, et le type de résultat que produit le générateur d'AIDF.
| Droit fondamental | Scénario de préjudice | Probabilité | Gravité | Risque | Mesure d'atténuation | Risque résiduel |
|---|---|---|---|---|---|---|
| Non-discrimination (article 21 de la Charte) | Des variables indirectes (lieu de résidence, composition du foyer, fréquence des contacts antérieurs) sont corrélées à des caractéristiques protégées, de sorte que les parents isolés, les personnes handicapées et les bénéficiaires nés à l'étranger sont signalés pour contrôle à des taux disproportionnés. | Probable | Majeure | Élevé | Tests trimestriels d'impact disparate sur les groupes protégés ; suppression ou transformation des variables indirectes ; audit algorithmique indépendant ; publication de la méthodologie de notation et des critères de sélection. | Moyen |
| Vie privée et protection des données (articles 7-8 de la Charte ; RGPD) | Le croisement de plusieurs bases de données administratives pour construire la note est intrusif et excède ce qui est nécessaire. | Possible | Majeure | Élevé | Test de minimisation des données et de nécessité repris de l'AIPD CNIL ; limitation des bases de données croisées ; documentation de la base légale ; logiciel PIA de la CNIL pour la dimension protection des données. | Moyen |
| Bonne administration et recours effectif (principe général de bonne administration ; article 47 de la Charte) | Une note opaque déclenche une suspension de prestation que le bénéficiaire ne peut ni comprendre ni contester. | Possible | Majeure | Élevé | Réexamen humain obligatoire avant toute suspension ; motivation individualisée et intelligible de toute décision défavorable ; voie de recours accessible ; la note ne met jamais fin automatiquement à une prestation. | Faible |
| Sécurité sociale ; droits de l'enfant et des personnes handicapées (articles 34, 24, 26 de la Charte) | Un signalement erroné prive un foyer dépendant d'un revenu de subsistance essentiel. | Peu probable | Catastrophique | Élevé | Garantie en cas de difficulté, sans suspension dans l'attente du réexamen ; procédure manuelle accélérée ; suivi continu des taux de faux positifs et d'erreur par groupe. | Moyen |
| Article 22 du RGPD (décisions exclusivement automatisées) | La note détermine la réduction ou la suspension sans intervention humaine significative, ce qui en fait une décision exclusivement automatisée illicite produisant un effet juridique ou un effet significatif similaire. | Possible | Majeure | Élevé | Maintenir un réexamen humain significatif, qui ne soit pas une simple validation de pure forme, doté du pouvoir de passer outre, afin que la décision ne soit pas exclusivement automatisée ; lorsqu'une exception de l'article 22, paragraphe 2, est invoquée, mettre en œuvre les garanties requises (intervention humaine significative, droit d'exprimer son point de vue et de contester la décision) ; conserver l'AIPD et l'AIDF dans un dossier unique et intégré. | Moyen |
Une liste de contrôle d'AIDF propre à la France
La voie française vers l'AIDF suit un ordre naturel. Partez de l'AIPD, étendez l'analyse à l'ensemble des droits de la Charte, puis constituez le dossier de notification pour qu'il soit prêt lorsque l'autorité destinataire sera nommée.
- Réalisez ou actualisez d'abord l'AIPD. Utilisez la méthodologie PIA de la CNIL et son logiciel PIA gratuit pour documenter la dimension protection des données : base légale, nécessité, proportionnalité, minimisation des données, sécurité et droits des personnes concernées. C'est l'intrant prévu à l'article 27, paragraphe 4.
- Confirmez le fait déclencheur. Vérifiez le système au regard de l'article 6 et de l'annexe III à l'aide du guide de classification haut risque, et confirmez votre catégorie de déployeur.
- Étendez à tous les droits de la Charte. Ajoutez les droits hors protection des données que l'AIPD n'atteint pas : la non-discrimination (article 21), la bonne administration (un principe général du droit de l'Union) et le recours effectif (article 47 de la Charte), ainsi que les droits sociaux (articles 34, 24, 26). Documentez le contrôle humain au titre de l'article 14.
- Reliez les obligations aux contrôles et aux preuves. Utilisez la cartographie des contrôles pour rattacher chaque exigence de l'article 27 à un contrôle concret et à un élément de preuve.
- Constituez le dossier de notification. Documentez les six éléments de l'article 27, paragraphe 1, pour que le dossier soit prêt à être déposé au titre de l'article 27, paragraphe 3, dès que la France aura nommé l'autorité destinataire.
- Surveillez les éléments mouvants. Suivez le décret de désignation et l'état d'avancement du Digital Omnibus, et revenez à la présentation du règlement IA pour connaître l'état actuel des échéances.
Deux guides complémentaires
Deux guides complémentaires approfondissent des questions voisines. Pour une AIDF de notation de crédit entièrement traitée, incluant l'exception de détection de la fraude de l'annexe III, point 5 b), et l'articulation avec l'article 22 du RGPD, consultez l'exemple d'AIDF pour la notation de crédit. Pour la manière dont la France aborde les normes harmonisées du règlement IA, consultez le débat sur la France et la prEN 18286.
Foire aux questions
La CNIL est-elle l'autorité compétente pour l'AIDF en France ?
Pas encore officiellement. La France n'a pas adopté ses désignations d'autorités au titre du règlement IA et a manqué l'échéance du 2 août 2025. Un schéma gouvernemental du 9 septembre 2025 propose la DGCCRF comme point de contact unique au titre de l'article 70, la CNIL comme chef de file de fait pour l'IA traitant des données personnelles et biométriques, et l'ACPR pour l'IA des services financiers, mais les dispositions de désignation se sont enlisées dans le projet de loi DDADUE au Parlement. Tant qu'un décret n'est pas adopté, le destinataire de la notification de l'article 27, paragraphe 3, n'est pas formellement fixé : tenez donc votre documentation de l'article 27, paragraphe 1, prête à être déposée.
Une AIPD française (DPIA) peut-elle remplacer l'AIDF ?
Non. L'article 27, paragraphe 4, prévoit que l'AIDF complète une AIPD réalisée au titre de l'article 35 du RGPD ; elle ne la remplace pas. Vous réutilisez les parties déjà couvertes par l'AIPD, comme les données, la sécurité et certains risques, et l'AIDF évalue en outre chaque droit pertinent de la Charte de l'UE, dont la non-discrimination, la bonne administration et les droits sociaux, au-delà de la seule protection des données.
La CNIL fournit-elle un modèle d'AIDF ?
Non. La CNIL publie des ressources centrées sur le RGPD — recommandations IA et fiches pratiques, un guide d'auto-évaluation pour les systèmes d'IA, et une méthodologie d'AIPD assortie d'un logiciel PIA libre et gratuit — sans modèle d'AIDF au sens de l'article 27. Le modèle officiel d'AIDF relève de la responsabilité du Bureau européen de l'IA au titre de l'article 27, paragraphe 5, et il n'avait pas été publié en juin 2026.
Quelles autorités françaises superviseront les systèmes d'IA à haut risque ?
Selon le schéma proposé du 9 septembre 2025, la DGCCRF assure la coordination en tant que point de contact unique, la CNIL est chef de file pour l'IA traitant des données personnelles et biométriques (et pour l'emploi, la répression pénale et l'identification biométrique), l'ACPR couvre la finance, Arcom couvre les contenus audiovisuels et les hypertrucages, et l'ANSSI avec le PEReN apportent un appui technique. Ce ne sont encore que des propositions en attente d'adoption par le Parlement.
Les recommandations IA de la CNIL couvrent-elles le règlement IA ?
Les recommandations de la CNIL reposent sur le RGPD. Elles interprètent la manière dont le droit de la protection des données s'applique au développement et au déploiement de l'IA. La CNIL s'articule en pratique avec le règlement IA et a publiquement plaidé pour que les autorités de protection des données soient désignées comme autorités de surveillance du marché pour les systèmes d'IA à haut risque qui touchent aux droits fondamentaux, afin de maintenir la cohérence entre le RGPD et le règlement IA.
Quels déployeurs français doivent réaliser une AIDF ?
Les organismes de droit public et les entités privées fournissant des services publics qui déploient une IA à haut risque relevant de l'annexe III, ainsi que, quel que soit leur statut public ou privé, tout déployeur qui utilise l'IA pour l'évaluation de la solvabilité ou la notation de crédit au titre de l'annexe III, point 5 b) (sauf la détection de la fraude), ou pour l'évaluation des risques et la tarification en assurance vie et santé au titre de l'annexe III, point 5 c).
Après l'AIDF, que dois-je notifier, et à qui, en France ?
L'article 27, paragraphe 3, impose au déployeur de notifier les résultats de l'AIDF à l'autorité de surveillance du marché, à l'aide du modèle de l'article 27, paragraphe 5, du Bureau de l'IA une fois qu'il existera. Comme la France n'a pas encore officiellement désigné cette autorité, tenez prêt un dossier complet au titre de l'article 27, paragraphe 1. La date de préparation contraignante reste le 2 août 2026 tant que le Digital Omnibus n'est pas publié au Journal officiel, ce qui la reporterait au 2 décembre 2027.
Points clés à retenir
Une AIDF française est la plus efficace lorsqu'elle part de travaux que vous possédez déjà. Réalisez ou actualisez l'AIPD CNIL, réutilisez-la comme intrant au titre de l'article 27, paragraphe 4, puis étendez l'analyse à chaque droit pertinent de la Charte et constituez le dossier de l'article 27, paragraphe 1, pour qu'il soit prêt à notifier dès que la France aura nommé l'autorité destinataire. La date de préparation contraignante est le 2 août 2026, et le Digital Omnibus ne la reporterait au 2 décembre 2027 qu'une fois publié au Journal officiel : la marche à suivre est donc la même dans les deux cas — se préparer dès maintenant. Vous pouvez rédiger une analyse structurée avec le générateur d'AIDF gratuit et, pour voir comment cela se traduit sur un déploiement réel, réserver une démo. Cet article est fourni à titre d'information générale et ne constitue pas un conseil juridique ; confirmez vos obligations au titre de l'article 27 auprès d'un conseil qualifié, et revérifiez le statut réglementaire — les désignations d'autorités françaises et le Digital Omnibus sont l'un et l'autre encore en mouvement — avant de vous fier à une échéance ou à une voie de notification.