La Ley de IA de la UE en Francia: ejecución, autoridades y obligaciones de las empresas
La Ley de IA de la UE se aplica directamente en Francia. Se propone a la CNIL y a la DGCCRF como autoridades de ejecución. Cubre las sanciones, el solapamiento con el RGPD y el plazo de alto riesgo de diciembre de 2027.
Francia se ha posicionado como un campeón europeo del desarrollo de la IA — la Cumbre de Acción sobre la IA de París celebrada por el presidente Macron en febrero de 2024 y el paquete de inversión en IA de 109 000 millones de euros de Francia señalan a un gobierno decidido a liderar, no a seguir, en materia de inteligencia artificial. Sin embargo, la Ley de IA de la UE — el Reglamento (UE) 2024/1689 — no espera a que la ambición nacional se alinee con el Derecho nacional. Se aplica directamente en Francia ahora, con obligaciones sustantivas ya en vigor, con independencia de que París haya completado la labor de designar a sus autoridades de ejecución.
Este artículo expone dónde se sitúa Francia: qué obligaciones vinculan ya a las empresas francesas, el marco de gobernanza nacional propuesto a la espera del Parlamento, cómo encaja la CNIL en el cuadro, la interacción con el RGPD, el calendario corregido en virtud del Ómnibus Digital y qué deberían estar haciendo hoy las empresas francesas.
Un reglamento, no una directiva: no se requiere transposición francesa
La Ley de IA de la UE es un reglamento, no una directiva. En virtud del artículo 288 del TFUE, el Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024 y se aplica directa y uniformemente en todos los Estados miembros, incluida Francia. No se necesita ningún voto del Parlamento francés para darle efecto jurídico. Las empresas francesas no esperan a una loi d'application antes de que las obligaciones surtan efecto.
Lo que Francia sí necesita aportar es la infraestructura nacional de ejecución: la designación de autoridades competentes en virtud del Artículo 70, los procedimientos internos para imponer sanciones y cualesquiera medidas nacionales que se requieran en los ámbitos en los que el Reglamento concede discrecionalidad a los Estados miembros. Esos elementos aún se están ensamblando.
Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025. Las obligaciones relativas a los modelos de GPAI con arreglo al Capítulo V se aplican desde el 2 de agosto de 2025. La aplicación general — incluidos los deberes de transparencia de riesgo limitado del Artículo 50 — se aplica desde el 2 de agosto de 2026. El régimen de alto riesgo le sigue, con los sistemas autónomos del Anexo III exigibles a partir del 2 de diciembre de 2027 en virtud del Ómnibus Digital. Ninguna de esas fechas depende de que Francia complete su trabajo de gobernanza nacional.
La designación de Francia sigue pendiente
El plazo para que los Estados miembros designaran a las autoridades nacionales competentes en virtud del Artículo 70 era el 2 de agosto de 2025. Francia lo incumplió.
El Gobierno francés ha propuesto desde entonces un marco de gobernanza — un modelo segmentado por sectores con un centro de coordinación — que aún requiere su adopción por el Parlamento antes de ser definitivo. A principios de junio de 2026, la propuesta no se ha promulgado como ley. Nada de la estructura propuesta está cerrado; el Parlamento podría enmendarla, retrasarla o alterarla.
Esa incertidumbre acarrea una consecuencia práctica que las empresas deberían tomarse en serio. Las obligaciones y los plazos del Reglamento los fija Bruselas, no París. Las empresas francesas ya deben los deberes de alfabetización en IA del Artículo 4, el cumplimiento del Artículo 5 y las obligaciones relativas a la GPAI. La ausencia de una autoridad nacional designada significa que actualmente no hay ningún organismo francés facultado para investigar las infracciones de IA de alto riesgo ni para imponer las multas del Artículo 99 a través de un procedimiento de ejecución interno — pero esa ventana se cerrará una vez que el Parlamento actúe, y la Oficina de IA de Bruselas ya tiene competencia de ejecución directa sobre los proveedores de modelos de GPAI.
Trate la demora en la designación como un vacío administrativo, no como un indulto. Las obligaciones existen; el ejecutor está en camino.
¿Quién hará cumplir la Ley de IA de la UE en Francia? (modelo propuesto)
El marco propuesto por el Gobierno francés reparte la supervisión por sectores y establece un centro de coordinación. Nada de lo siguiente es definitivo hasta que el Parlamento lo adopte.
DGCCRF: coordinadora propuesta y punto de contacto único
La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF, Dirección General de la Competencia, el Consumo y la Represión del Fraude) se propone como autoridad coordinadora y punto de contacto único de Francia con la Oficina de IA de la UE en virtud del Artículo 70. Como organismo nacional de consumo y de vigilancia del mercado, la DGCCRF ya hace cumplir las normas de seguridad de los productos y de prácticas comerciales desleales; el mandato propuesto de la Ley de IA ampliaría esa función de coordinación transectorial. Con arreglo al modelo propuesto, la DGCCRF supervisaría directamente unos 14 casos de uso de IA.
CNIL: supervisora propuesta para los casos de uso sensibles para los derechos
La Commission nationale de l'informatique et des libertés (CNIL, Comisión Nacional de Informática y Libertades) — la autoridad francesa de protección de datos — se propone para supervisar unos 15 casos de uso de IA, concentrados en los despliegues sensibles para los derechos e intensivos en datos personales. La CNIL ha argumentado públicamente que las autoridades de protección de datos, con sus competencias y experiencia existentes sobre el tratamiento de datos personales, son el hogar natural para la supervisión de la IA de alto riesgo en ámbitos como la identificación biométrica, el empleo, la solvencia y la salud.
Ese argumento tiene lógica institucional. Los sistemas con más probabilidades de generar un perjuicio grave en virtud de la Ley de IA son precisamente los sistemas que también tratan datos personales a gran escala. Situar a la CNIL en una función de supervisión para esos casos de uso significa que una sola autoridad sostiene los dos hilos, el del RGPD y el de la Ley de IA.
ARCOM: supervisión propuesta de los casos de uso audiovisuales y de plataformas
La ARCOM (Autorité de régulation de la communication audiovisuelle et numérique, la Autoridad de Regulación de la Comunicación Audiovisual y Digital de Francia) se propone para supervisar unos 7 casos de uso de IA — los relacionados con los medios de comunicación, las plataformas digitales y la distribución de contenidos. El mandato existente de la ARCOM en virtud de la Ley de Servicios Digitales y de las normas de gobernanza de plataformas le confiere experiencia pertinente para los casos de uso de contenido generado por IA y relacionados con las ultrafalsificaciones (deepfakes).
Reserva técnica compartida: ANSSI y PEReN
El marco propuesto establecería una reserva de experiencia técnica compartida que se nutriría de la ANSSI (Agence nationale de la sécurité des systèmes d'information, la Agencia Nacional de Seguridad de los Sistemas de Información de Francia) y del PEReN (Pôle d'expertise de la régulation numérique, el Centro de Experiencia en Regulación Digital). Esta reserva apoyaría a las autoridades de vigilancia del mercado en las evaluaciones técnicas — evaluaciones de ciberseguridad con arreglo al Artículo 15, revisión de la documentación técnica con arreglo al Anexo IV y las cuestiones de conformidad más complejas — sin ostentar ella misma competencias de ejecución.
Oficina de IA de la UE: supervisión directa de la GPAI
Las empresas francesas que desarrollan e introducen modelos de IA de uso general en el mercado no están supervisadas por ninguna autoridad francesa por esa actividad. La Oficina de IA de la UE en Bruselas ostenta competencia directa sobre las obligaciones relativas a los modelos de GPAI con arreglo a los Artículos 53 y 55, sea cual sea el marco de gobernanza francés que finalmente cristalice. Los desarrolladores franceses de modelos de IA que participen en el proceso de códigos de buenas prácticas de la Oficina de IA de la UE deberían tratarlo como una relación con Bruselas, no con París.
Cómo interactúa el marco de Francia con el RGPD
La función propuesta de la CNIL no es arbitraria — refleja un solapamiento estructural genuino entre la Ley de IA de la UE y el RGPD que Francia está mejor situada que la mayoría para gestionar, dada la reputación de la CNIL como una de las autoridades de protección de datos más activas de Europa.
El punto de apilamiento más inmediato se da entre el artículo 35 del RGPD (la evaluación de impacto relativa a la protección de datos, EIPD) y el Artículo 27 de la Ley de IA de la UE (la evaluación de impacto relativa a los derechos fundamentales, EIDF). Ambas son obligatorias antes del despliegue para los sistemas que cubren; ambas requieren una evaluación documentada de los riesgos para las personas; y el Artículo 27, apartado 4, de la Ley de IA permite explícitamente que la EIDF se apoye en una EIPD existente. Un organismo público francés que despliega un sistema de IA para evaluar la admisibilidad a prestaciones sociales deberá ambas. La carga de trabajo es real, pero los fundamentos fácticos de las dos evaluaciones se solapan sustancialmente — completar primero una EIPD minuciosa es una buena preparación para la EIDF, no un esfuerzo duplicado.
La segunda interacción se refiere a la toma de decisiones automatizada. El artículo 22 del RGPD restringe las decisiones adoptadas exclusivamente mediante tratamiento automatizado que producen efectos jurídicos o similarmente significativos sobre las personas, y exige información significativa sobre la lógica aplicada. Los requisitos de conservación de registros del Artículo 12 y de transparencia del Artículo 13 de la Ley de IA de la UE para los sistemas de IA de alto riesgo se apilan encima de eso. Una fintech francesa que utiliza un modelo de IA de solvencia afronta obligaciones simultáneas en virtud de ambos instrumentos: el artículo 22 del RGPD sobre la divulgación de la lógica de la decisión, y los Artículos 12 y 13 de la Ley de IA sobre la conservación de registros y la información al responsable del despliegue. Ninguno sustituye al otro.
La CNIL ha sido activa en la gobernanza de la IA antes de la Ley de IA de la UE — su trabajo de 2023-2024 sobre la IA y el RGPD, y sus recomendaciones sobre el reconocimiento facial, proporcionan una base. Cuando la CNIL ostente ambos mandatos de supervisión, las empresas pueden esperar investigaciones coordinadas en lugar de duplicadas, pero también un escrutinio coordinado en lugar de duplicado.
El calendario de la Ley de IA de la UE tal como se aplica en Francia
| Fecha | Qué se aplica |
|---|---|
| 2 de febrero de 2025 | Prácticas prohibidas del Artículo 5 y alfabetización en IA del Artículo 4 — en vigor y exigibles ahora |
| 2 de agosto de 2025 | Obligaciones de GPAI (Capítulo V, Artículos 51 a 56), gobernanza, Oficina de IA, sanciones del Artículo 99 |
| 2 de agosto de 2026 | Aplicación general, incluida la transparencia de riesgo limitado del Artículo 50 (chatbots, ultrafalsificaciones, marcado de contenido sintético, comunicación del reconocimiento de emociones) |
| 2 de diciembre de 2027 | Sistemas de IA de alto riesgo autónomos (lista del Anexo III) — aplazados en virtud del Ómnibus Digital |
| 2 de agosto de 2028 | IA de alto riesgo como componente de seguridad de productos regulados del Anexo I — aplazada en virtud del Ómnibus Digital |
Dos fechas merecen énfasis para las empresas francesas.
El Artículo 5 ya está activo. Las empresas francesas que utilicen IA que implique la puntuación social por parte de autoridades públicas, la manipulación subliminal que explota vulnerabilidades, la categorización biométrica por características sensibles fuera de las excepciones permitidas, o la identificación biométrica remota en tiempo real en espacios públicos deberían haber completado su revisión antes de febrero de 2025. La prohibición ha sido exigible — a escala de la UE por la Oficina de IA, y potencialmente a escala nacional una vez que Francia complete su designación — desde esa fecha.
El plazo de alto riesgo se ha movido. En virtud del Ómnibus Digital — el paquete de enmiendas de la Comisión sobre el que el Parlamento Europeo y el Consejo alcanzaron un acuerdo político el 7 de mayo de 2026, con la adopción formal prevista antes del 2 de agosto de 2026 — los sistemas de alto riesgo autónomos del Anexo III tienen ahora hasta el 2 de diciembre de 2027, y la IA de alto riesgo integrada en productos del Anexo I hasta el 2 de agosto de 2028. Ese aplazamiento no significa que el trabajo pueda esperar hasta 2027. Construir un sistema de gestión de riesgos del Artículo 9, ensamblar un paquete de documentación técnica del Anexo IV, establecer los controles de supervisión humana del Artículo 14 y completar una evaluación de la conformidad con arreglo al Artículo 43 lleva normalmente de seis a doce meses de trabajo focalizado para una organización bien dotada de recursos. Empezar en 2026 es prudente; empezar a mediados de 2027 no lo es.
Sanciones: a qué se enfrentan las empresas en Francia
El marco sancionador es el Artículo 99 del Reglamento (UE) 2024/1689. Se aplican tres niveles:
- 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total (si esta última cifra es mayor) — para las infracciones de las prácticas prohibidas del Artículo 5. Desplegar una práctica de IA prohibida — puntuación social, identificación biométrica pública en tiempo real fuera de las excepciones para la garantía del cumplimiento del Derecho — se sitúa en este nivel.
- 15 000 000 EUR o el 3 % — para el incumplimiento de la mayoría de las demás obligaciones: requisitos de los sistemas de IA de alto riesgo (Artículos 9 a 15), obligaciones del proveedor (Artículo 16), obligaciones del responsable del despliegue (Artículo 26), deberes de transparencia del Artículo 50 y obligaciones conexas.
- 7 500 000 EUR o el 1 % — por facilitar información incorrecta, incompleta o engañosa a organismos notificados o autoridades competentes.
Para las empresas más pequeñas, el Artículo 99, apartado 6, prevé un tope de proporcionalidad: para las pymes y las empresas emergentes, la multa es el menor de los dos importes, la cantidad fija o el porcentaje. Una empresa francesa con 8 millones de euros de volumen de negocios anual no puede afrontar una multa de 15 millones de euros por el incumplimiento de una obligación de alto riesgo — el 3 % de 8 millones de euros son 240 000 euros, y ese es el techo.
Las multas son máximos, no valores por defecto. Los factores de proporcionalidad — la duración y la gravedad de la infracción, el grado de cooperación y la conducta previa — modularán cualquier cifra real. Pero el techo es real, y el nivel del 7 % se aplica a las prácticas prohibidas desde el 2 de agosto de 2025.
Una nota práctica: el procedimiento nacional de ejecución a través del cual las autoridades francesas investigarán e impondrán estas multas aún se está estableciendo junto con el marco de gobernanza. Esa incertidumbre procedimental no afecta a las obligaciones subyacentes, pero sí significa que el riesgo de ejecución inmediato recae principalmente en la Oficina de IA de la UE (para la GPAI) y en la autoridad nacional que se designe primero.
Consideraciones de cumplimiento específicas de Francia
Espacios controlados de pruebas para la IA: operativos antes de agosto de 2026
El Artículo 57 de la Ley de IA de la UE exige a cada Estado miembro establecer al menos un espacio controlado de pruebas (sandbox) para la IA antes del 2 de agosto de 2026. Las empresas francesas — y en particular las que desarrollan sistemas de IA novedosos en los servicios financieros, la salud o la administración pública — deberían vigilar las normas operativas del espacio controlado francés una vez publicadas. El Artículo 58 ordena el acceso prioritario y la reducción de tasas para las empresas más pequeñas. Los espacios controlados permiten pruebas supervisadas en condiciones reales bajo supervisión regulatoria antes del lanzamiento general al mercado; para los desarrolladores franceses de IA que se dirigen a categorías de alto riesgo, esta es una vía significativa hacia el mercado que la demora en la designación no debería oscurecer.
Responsables del despliegue del sector público: EIDF obligatoria
Los organismos públicos franceses — ministerios, prefecturas, organismos de seguridad social (CAF, CPAM) y agencias públicas como Pôle Emploi — que despliegan IA en las categorías del Anexo III deben completar una EIDF con arreglo al Artículo 27 antes de poner el sistema en servicio. El sector público francés tiene un largo historial de uso de sistemas algorítmicos en la admisibilidad a prestaciones, la liquidación tributaria y la asignación de recursos de los servicios públicos; muchos de esos sistemas requerirán una clasificación formal, y algunos requerirán una EIDF. El cumplimiento de los organismos públicos tiene gran visibilidad — marca la pauta y probablemente atraerá una atención supervisora temprana una vez que se establezca el marco nacional.
Responsable del despliegue frente a proveedor: el riesgo del Artículo 25 para los personalizadores franceses
La mayoría de las empresas francesas que despliegan herramientas de IA de terceros se sitúan en la función de responsable del despliegue con arreglo al Artículo 26. Pero ajustar (fine-tuning) el modelo de un proveedor con datos propios, integrarlo con el propio nombre de la empresa o modificar sustancialmente su finalidad prevista puede desplazar a una empresa por encima de la línea del Artículo 25 hacia las obligaciones completas del proveedor en virtud del Artículo 16. Las empresas tecnológicas francesas — incluidas muchas del ecosistema tecnológico de París — que han adaptado herramientas de IA de proveedores para casos de uso profesionales específicos deberían trabajar con cuidado el análisis del Artículo 25. El paso de responsable del despliegue a proveedor no es visible desde fuera; depende de lo que se haya hecho al sistema, no de cómo se llame.
La documentación ahora como prima de incertidumbre
La designación pendiente de Francia crea una consideración de cumplimiento específica: mientras el marco nacional de ejecución no esté claro, las empresas no pueden saber exactamente qué autoridad revisará su documentación, en qué secuencia ni con qué herramientas de investigación. La respuesta racional es documentar ahora el razonamiento de la clasificación — qué análisis del filtro del Artículo 6, apartado 3, se aplicó, qué categorías del Anexo III se evaluaron, cómo se determinó la función (proveedor o responsable del despliegue). La documentación producida cerca del hecho es más creíble y útil que la documentación reconstruida bajo presión regulatoria.
Cómo ayuda Confir a las empresas en Francia
Construir desde cero la pila de documentación de la Ley de IA de la UE consume mucho tiempo. Solo el expediente técnico del Anexo IV abarca nueve áreas de contenido; añada la declaración de conformidad del Artículo 47 / Anexo V, la EIDF del Artículo 27 para los responsables del despliegue que reúnan los requisitos y un inventario de IA de toda la organización, y la carga de trabajo supera rápidamente lo que la mayoría de los equipos de cumplimiento o jurídicos tienen capacidad de asumir junto a su trabajo diario.
Confir es una herramienta de cumplimiento alojada en la UE construida específicamente para esta labor. Su motor de clasificación es basado en reglas y determinista — codifica los Artículos 5 y 6 con la lógica del Anexo III en reglas explícitas, produciendo la misma conclusión a partir de la misma admisión cada vez, con una explicación legible por humanos de qué regla se aplicó. Sin inferencia de modelos, sin riesgo de alucinación. Genera el paquete completo de documentación técnica del Anexo IV, la declaración de conformidad del Artículo 47 / Anexo V y la EIDF del Artículo 27.
Qué deberían hacer ahora las empresas en Francia
De inmediato (obligaciones del Artículo 5 ya en vigor): Audite cualquier sistema de IA que pudiera implicar la categorización biométrica por características sensibles, la puntuación social por parte de autoridades públicas, la identificación biométrica en tiempo real en espacios públicos, la manipulación subliminal o la explotación de vulnerabilidades personales. Si encaja en una categoría del Artículo 5 y no se aplica ninguna exención legal, debe detenerse o reestructurarse. La prohibición ha sido exigible desde el 2 de febrero de 2025.
Antes del 2 de agosto de 2026 (transparencia del Artículo 50): Los sistemas de IA que interactúan con personas físicas — chatbots de cara al cliente, asistentes de voz, herramientas de contenido generado por IA, sistemas de reconocimiento de emociones — deben cumplir las obligaciones de transparencia y etiquetado del Artículo 50. Los usuarios deben saber cuándo interactúan con una IA; el contenido sintético debe marcarse. Este no es el plazo de alto riesgo, pero es real, está en camino y es independiente de la cuestión de la designación nacional.
2026-2027 (preparación de alto riesgo, sistemas del Anexo III): Las empresas con sistemas autónomos del Anexo III tienen hasta el 2 de diciembre de 2027 en virtud del aplazamiento del Ómnibus Digital. Use 2026 para construir el inventario de IA y la clasificación, aplicar el filtro del Artículo 6, apartado 3, para determinar qué sistemas aterrizan genuinamente en categorías de alto riesgo, asignar las funciones de proveedor y responsable del despliegue, y empezar la documentación. Los organismos públicos franceses deberían iniciar la preparación de la EIDF para cualquier sistema del Anexo III en despliegue activo.
De forma continua: Siga la tramitación parlamentaria del proyecto de ley de gobernanza francés — las primeras acciones de ejecución en Francia indicarán qué autoridad está priorizando qué sectores. Vigile las orientaciones de la CNIL sobre la intersección RGPD-Ley de IA; la CNIL publica de forma activa y sus posiciones sobre la supervisión de la IA están entre las más desarrolladas de cualquier autoridad de protección de datos europea. Vigile las orientaciones de la Oficina de IA de la UE sobre la GPAI si su empresa desarrolla o integra modelos fundacionales.
Preguntas frecuentes
¿Quién hace cumplir la Ley de IA de la UE en Francia?
A junio de 2026, Francia aún no ha designado a las autoridades nacionales competentes — incumplió el plazo del Artículo 70 del 2 de agosto de 2025. El Gobierno ha propuesto un marco con la DGCCRF como autoridad coordinadora y la CNIL supervisando los casos de uso sensibles para los derechos, pero el Parlamento aún no lo ha adoptado. Mientras tanto, la Oficina de IA de la UE en Bruselas supervisa directamente las obligaciones relativas a los modelos de GPAI y las prácticas prohibidas del Artículo 5 siguen siendo exigibles. Una vez completada la designación de Francia, la DGCCRF, la CNIL y la ARCOM asumirían cada una la responsabilidad de sus áreas de casos de uso asignadas.
¿Ha designado Francia formalmente a su autoridad de la Ley de IA?
No. Francia propuso un marco de gobernanza, pero incumplió el plazo legal del Artículo 70 del 2 de agosto de 2025. La designación propuesta — la DGCCRF como coordinadora, la CNIL para unos 15 casos de uso, la DGCCRF para 14, la ARCOM para 7 — requiere la adopción parlamentaria. Hasta que ese proceso concluya, la infraestructura nacional de ejecución no está implantada. Las obligaciones de las empresas francesas en virtud del Reglamento no se ven afectadas por ese vacío.
¿Cuál es la función de la CNIL en virtud de la Ley de IA de la UE?
Con arreglo al marco francés propuesto, la CNIL supervisaría unos 15 casos de uso de IA — principalmente los sensibles para los derechos o intensivos en datos personales, como la identificación biométrica, el empleo, la solvencia y las aplicaciones de salud. La CNIL ha argumentado públicamente que las autoridades de protección de datos son los supervisores apropiados para la IA de alto riesgo en esos ámbitos. La experiencia existente de la CNIL en la ejecución del RGPD — y sus propias orientaciones publicadas sobre IA — la convierten en el actor de gobernanza de la IA más activo de Francia, incluso antes de la designación formal.
¿Cuáles son las multas de la Ley de IA en Francia?
El Artículo 99 establece tres niveles: 35 millones de euros o el 7 % del volumen de negocios anual mundial por las infracciones de las prohibiciones del Artículo 5; 15 millones de euros o el 3 % para la mayoría de las demás obligaciones, incluidos los requisitos de IA de alto riesgo y los deberes del responsable del despliegue/proveedor; y 7,5 millones de euros o el 1 % por facilitar información incorrecta o engañosa a organismos notificados o autoridades. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, la cantidad fija o el porcentaje del volumen de negocios. El procedimiento nacional de ejecución aún se está estableciendo junto con el marco de gobernanza de Francia.
¿Cuándo se aplican las normas de IA de alto riesgo en Francia?
En virtud de la enmienda del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026), los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III se aplican a partir del 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados del Anexo I se aplica a partir del 2 de agosto de 2028. Las prácticas prohibidas del Artículo 5 se aplican desde el 2 de febrero de 2025 y están en vigor ahora. Las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026. La demora en la designación nacional no afecta a ninguna de estas fechas.
¿Se aplica la Ley de IA de la UE en Francia incluso sin la ley nacional de gobernanza?
Sí. La Ley de IA de la UE es un reglamento que se aplica directamente en virtud del Derecho de la UE, sin requerir una ley francesa de aplicación. Las prácticas prohibidas del Artículo 5 y las obligaciones de alfabetización en IA del Artículo 4 se aplican desde el 2 de febrero de 2025; las disposiciones sobre GPAI y sanciones desde el 2 de agosto de 2025. El trabajo de gobernanza pendiente de Francia determina qué autoridad nacional hará cumplir la ley, no si las normas se aplican. Las empresas francesas están vinculadas por el Reglamento (UE) 2024/1689 hoy.
¿Se aplica la Ley de IA a las empresas francesas que operan fuera de Francia?
La Ley de IA de la UE tiene alcance extraterritorial en virtud del Artículo 2. Cubre a los proveedores que introducen sistemas de IA en el mercado de la UE — con independencia de dónde estén establecidos — y a los responsables del despliegue situados en la UE. Una empresa francesa que presta servicios de IA a clientes en Alemania o España está dentro del ámbito. Una empresa de fuera de la UE que introduce sistemas de IA en el mercado francés también está dentro del ámbito, y debe nombrar a un representante autorizado en la UE en virtud del Artículo 22. El artículo pertinente para el alcance extraterritorial es el Artículo 2; consulte la guía relacionada más abajo para el análisis completo. ---
Guías relacionadas
- Ley de IA de la UE: qué es y a quién afecta
- Ley de IA de la UE: calendario de aplicación completo
- Alcance extraterritorial de la Ley de IA de la UE — empresas de fuera de la UE
- Sanciones de la Ley de IA de la UE: las multas del Artículo 99 explicadas
- La Ley de IA de la UE en Alemania: ejecución y autoridades
- Anexo III: la lista de casos de uso de IA de alto riesgo
- EIDF del Artículo 27: obligaciones de los responsables del despliegue del sector público
- Obligaciones del responsable del despliegue en virtud del Artículo 26
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →