Guide complet pour la double conformité RGPD et AI Act : cartographie des chevauchements, conflits potentiels, framework en 10 étapes, cas pratiques et checklist.
En 2026, les entreprises européennes font face à un défi réglementaire sans précédent : assurer simultanément leur conformité au Règlement Général sur la Protection des Données (RGPD) et au Règlement européen sur l'Intelligence Artificielle (AI Act). Ces deux textes fondateurs, loin d'être redondants, forment un maillage normatif complexe qui impose aux organisations de repenser intégralement leur gouvernance du numérique. Le RGPD, en vigueur depuis 2018, a posé les fondations de la protection des données personnelles en Europe. L'AI Act, dont les premières obligations sont entrées en application en février 2025 et dont le déploiement complet s'achève en août 2027, ajoute une couche réglementaire spécifique aux systèmes d'intelligence artificielle. La double conformité RGPD AI Act n'est pas une simple addition de contraintes : c'est un exercice d'articulation juridique et technique qui nécessite une compréhension fine des interactions entre les deux règlements. Cet article propose un guide exhaustif pour naviguer dans cette complexité, identifier les synergies exploitables et construire un programme de conformité intégré, pragmatique et durable.
RGPD : les rappels essentiels dans le contexte de l'intelligence artificielle
Avant d'aborder l'articulation entre les deux règlements, il est indispensable de revisiter les principes fondamentaux du RGPD sous le prisme spécifique de l'intelligence artificielle. Le RGPD n'a pas été conçu en pensant à l'IA, mais ses principes s'appliquent pleinement aux systèmes d'IA qui traitent des données personnelles — ce qui représente la grande majorité des cas d'usage en entreprise.
Les bases légales du traitement dans le contexte de l'IA
Le RGPD impose que tout traitement de données personnelles repose sur l'une des six bases légales prévues à l'article 6. Dans le contexte de l'IA, le choix de la base légale est particulièrement délicat et conditionne l'ensemble de la stratégie de conformité.
Le consentement (article 6.1.a) est souvent la première base légale envisagée, mais elle se révèle problématique pour l'IA. Le consentement doit être libre, spécifique, éclairé et univoque. Or, comment informer de manière suffisamment précise un utilisateur sur les finalités d'un modèle d'IA dont les capacités évoluent au fil de l'entraînement ? Comment garantir que le consentement couvre les usages futurs d'un modèle de fondation polyvalent ? La CNIL a d'ailleurs rappelé dans ses recommandations sur l'IA que le consentement, pour être valide, doit porter sur des finalités déterminées et ne peut servir de base légale « fourre-tout ».
L'intérêt légitime (article 6.1.f) constitue souvent une base plus adaptée pour les systèmes d'IA en entreprise, à condition de réaliser un test de mise en balance rigoureux. Ce test doit démontrer que l'intérêt légitime de l'organisation (amélioration des services, optimisation des processus, détection de fraudes) n'est pas supplanté par les droits et libertés des personnes concernées. La documentation de ce test est particulièrement critique dans le contexte de l'IA, car les impacts potentiels sur les individus peuvent être difficiles à anticiper.
L'exécution d'un contrat (article 6.1.b) peut servir de base légale lorsque le système d'IA est directement nécessaire à la fourniture d'un service contractualisé — par exemple, un moteur de recommandation intégré à un service d'abonnement. Toutefois, la Cour de justice de l'Union européenne a adopté une interprétation restrictive de cette base légale, exigeant que le traitement soit objectivement nécessaire à l'exécution du contrat et non simplement utile.
Pour les données sensibles (article 9), la situation se complique encore. Les systèmes d'IA qui traitent des données de santé, des données biométriques ou des données révélant l'origine raciale ou ethnique doivent s'appuyer sur l'une des exceptions limitativement énumérées à l'article 9.2, en plus de disposer d'une base légale au titre de l'article 6.
L'Analyse d'Impact relative à la Protection des Données (AIPD)
L'article 35 du RGPD impose la réalisation d'une AIPD lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le règlement cite explicitement les cas de profilage systématique, de traitement automatisé à grande échelle et de surveillance systématique — autant de caractéristiques fréquentes des systèmes d'IA.
La méthodologie AIPD recommandée par la CNIL prévoit quatre étapes fondamentales : la description du traitement et de ses finalités, l'évaluation de la nécessité et de la proportionnalité, l'identification et l'évaluation des risques pour les personnes concernées, et la définition des mesures pour traiter ces risques. Dans le contexte de l'IA, chacune de ces étapes présente des défis spécifiques liés à l'opacité des algorithmes, à l'imprévisibilité des résultats et à l'ampleur potentielle des impacts.
La CNIL a publié en 2024 une liste de traitements nécessitant systématiquement une AIPD, qui inclut explicitement les traitements utilisant des algorithmes d'apprentissage automatique pour prendre des décisions affectant significativement les personnes. Cette exigence s'applique indépendamment de toute obligation issue de l'AI Act, ce qui crée une première zone de chevauchement importante entre les deux réglementations.
Les droits des personnes face à l'IA
Le RGPD confère aux personnes concernées un ensemble de droits qui prennent une dimension particulière dans le contexte de l'intelligence artificielle. Le droit d'accès (article 15) implique non seulement de pouvoir communiquer les données personnelles traitées, mais aussi de fournir des « informations utiles concernant la logique sous-jacente » en cas de décision automatisée (article 15.1.h). Cette obligation de transparence algorithmique, souvent qualifiée de « droit à l'explication », constitue un défi technique majeur pour les systèmes d'IA fondés sur l'apprentissage profond.
Le droit à l'effacement (article 17), ou « droit à l'oubli », pose des questions fondamentales lorsqu'il s'agit de données utilisées pour entraîner un modèle d'IA. Peut-on considérer qu'une donnée a été effectivement effacée lorsqu'elle a contribué à façonner les paramètres d'un réseau de neurones ? La question du « désapprentissage » (machine unlearning) reste un sujet de recherche actif, et les solutions techniques disponibles sont encore imparfaites.
Le droit à la portabilité (article 20) soulève également des interrogations spécifiques. Si un utilisateur demande la portabilité de ses données, faut-il inclure les profils, scores ou prédictions générés par un système d'IA à partir de ses données ? La réponse dépend de la qualification juridique de ces outputs — données personnelles dérivées ou nouvelles données créées par le responsable de traitement.
Minimisation des données et limitation des finalités
Le principe de minimisation (article 5.1.c) exige que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement. Ce principe entre en tension directe avec les pratiques de développement de l'IA, où la performance des modèles est généralement corrélée au volume et à la diversité des données d'entraînement.
Le principe de limitation des finalités (article 5.1.b) interdit en principe la réutilisation de données pour des finalités incompatibles avec la finalité initiale de collecte. Or, les modèles d'IA de fondation sont par nature polyvalents, et les données d'entraînement peuvent servir à des usages très variés et parfois imprévisibles au moment de la collecte. L'article 89 du RGPD prévoit une exception pour les traitements à des fins de recherche scientifique, mais son application aux activités de R&D commerciale en IA fait l'objet de débats doctrinaux.
Principe fondamental : Le RGPD s'applique à tout système d'IA traitant des données personnelles, quel que soit son niveau de risque au sens de l'AI Act. Une IA classée « risque minimal » par l'AI Act reste pleinement soumise au RGPD si elle traite des données personnelles. La conformité RGPD est donc le socle incompressible sur lequel vient se superposer la conformité AI Act.
AI Act : ce qui change en 2026
Le Règlement européen sur l'intelligence artificielle, adopté définitivement en mars 2024 et publié au Journal officiel de l'Union européenne en juillet 2024, introduit le premier cadre juridique horizontal dédié à l'IA au monde. Son architecture réglementaire repose sur une approche fondée sur les risques, radicalement différente de l'approche du RGPD centrée sur la nature des données traitées.
La classification des risques : une pyramide à quatre niveaux
L'AI Act établit une classification des systèmes d'IA en quatre catégories de risque, chacune assortie d'obligations proportionnées. Cette classification constitue la colonne vertébrale du règlement et détermine l'intégralité du régime juridique applicable.
Les systèmes d'IA à risque inacceptable (article 5) sont purement et simplement interdits. Cette catégorie englobe la notation sociale généralisée (« social scoring ») par les autorités publiques, les systèmes de manipulation subliminale exploitant les vulnérabilités des personnes, l'identification biométrique à distance en temps réel dans l'espace public à des fins répressives (sauf exceptions strictement encadrées), et les systèmes de catégorisation biométrique fondés sur des caractéristiques sensibles. Ces interdictions sont entrées en vigueur dès février 2025.
Les systèmes d'IA à haut risque (articles 6 à 49) constituent le cœur du dispositif réglementaire. L'AI Act identifie huit domaines d'application dans lesquels les systèmes d'IA sont présumés à haut risque : l'identification et la catégorisation biométriques, la gestion et l'exploitation d'infrastructures critiques, l'éducation et la formation professionnelle, l'emploi et la gestion des ressources humaines, l'accès aux services essentiels (crédit, assurance, services publics), les activités répressives et judiciaires, la gestion de la migration et du contrôle aux frontières, et l'administration de la justice et les processus démocratiques.
Les systèmes d'IA à risque limité (article 50) sont soumis à des obligations de transparence spécifiques. Il s'agit notamment des chatbots (qui doivent informer l'utilisateur qu'il interagit avec une IA), des systèmes de génération de contenu (deepfakes, textes synthétiques) et des systèmes de reconnaissance des émotions.
Les systèmes d'IA à risque minimal ne font l'objet d'aucune obligation spécifique au titre de l'AI Act, bien que l'adhésion à des codes de conduite soit encouragée. Cette catégorie résiduelle couvre la grande majorité des applications d'IA en usage courant : filtres anti-spam, jeux vidéo, systèmes de recommandation de contenu non personnalisé.
Les obligations pour les systèmes à haut risque
Les fournisseurs de systèmes d'IA à haut risque doivent satisfaire un ensemble d'exigences substantielles avant la mise sur le marché européen. Ces exigences sont détaillées dans les articles 8 à 15 et couvrent plusieurs dimensions complémentaires.
Le système de gestion des risques (article 9) impose un processus continu et itératif d'identification, d'analyse et d'atténuation des risques tout au long du cycle de vie du système. Contrairement à l'AIPD du RGPD qui se concentre sur les risques pour les droits et libertés des personnes physiques, l'évaluation des risques AI Act couvre un spectre plus large incluant les risques pour la santé, la sécurité et les droits fondamentaux.
Les exigences en matière de données et de gouvernance des données (article 10) imposent que les jeux de données d'entraînement, de validation et de test soient pertinents, suffisamment représentatifs, exempts d'erreurs dans la mesure du possible et adaptés à la finalité prévue du système. Cette exigence de qualité des données entre en tension potentielle avec le principe de minimisation du RGPD.
La documentation technique (article 11) doit être établie avant la mise sur le marché et tenue à jour pendant toute la durée de vie du système. Elle doit permettre aux autorités compétentes d'évaluer la conformité du système et inclure des informations détaillées sur la conception, le développement, les tests et les performances du système.
L'enregistrement automatique des événements (article 12), ou logging, impose que les systèmes à haut risque enregistrent automatiquement les événements pertinents pendant leur fonctionnement, avec un niveau de traçabilité proportionné aux risques identifiés. Cette obligation de journalisation doit être conciliée avec les principes de minimisation et de limitation de la conservation du RGPD.
Les obligations de transparence (article 13) exigent que les systèmes à haut risque soient conçus de manière à permettre aux déployeurs de comprendre et d'utiliser correctement le système. Les instructions d'utilisation doivent inclure des informations sur les performances, les limitations connues et les conditions d'utilisation prévues.
Le contrôle humain (article 14) impose que les systèmes à haut risque soient conçus pour permettre une supervision humaine effective. Selon le niveau de risque et le contexte d'utilisation, ce contrôle peut prendre la forme d'un « human-in-the-loop » (intervention humaine dans chaque décision), d'un « human-on-the-loop » (supervision continue avec possibilité d'intervention) ou d'un « human-in-command » (capacité à arrêter le système).
Les exigences de robustesse, précision et cybersécurité (article 15) imposent que les systèmes à haut risque atteignent un niveau approprié de performance, de fiabilité et de résilience face aux tentatives de manipulation ou d'attaque adversariale.
Le calendrier d'application de l'AI Act
L'AI Act suit un calendrier de déploiement progressif qui s'étale sur trois ans à compter de son entrée en vigueur le 1er août 2024. Ce phasage est essentiel pour comprendre les priorités de mise en conformité en 2026.
Depuis le 2 février 2025, les interdictions relatives aux systèmes d'IA à risque inacceptable sont pleinement applicables, de même que les obligations en matière de culture de l'IA (« AI literacy ») pour les fournisseurs et les déployeurs. Toute organisation utilisant ou développant des systèmes d'IA doit s'assurer que son personnel dispose d'un niveau suffisant de compétences en matière d'IA.
À compter du 2 août 2025, les obligations relatives aux modèles d'IA à usage général (GPAI) et les règles de gouvernance (création du Bureau de l'IA, désignation des autorités nationales) deviennent applicables. Les fournisseurs de modèles de fondation comme GPT, Claude ou Gemini doivent se conformer aux exigences de transparence, de documentation technique et, pour les modèles à risque systémique, aux obligations renforcées d'évaluation et d'atténuation des risques.
Le 2 août 2026 marque l'entrée en application de l'essentiel du règlement : les obligations pour les systèmes d'IA à haut risque visés à l'Annexe III (les huit domaines d'application mentionnés plus haut), les obligations de transparence pour les systèmes à risque limité, et les dispositions relatives à l'enregistrement dans la base de données européenne. C'est cette échéance qui concentre les enjeux majeurs de double conformité RGPD et AI Act pour les entreprises.
Enfin, le 2 août 2027 verra l'application des obligations pour les systèmes d'IA à haut risque qui constituent des composants de sécurité de produits soumis à la législation d'harmonisation de l'Union (dispositifs médicaux, machines, jouets, etc.).
Échéance critique — 2 août 2026 : Les entreprises disposent de moins de quatre mois pour finaliser leur mise en conformité AI Act sur les systèmes à haut risque. Tout système d'IA déployé dans les domaines RH, crédit, assurance, éducation ou sécurité publique doit être conforme au chapitre III du règlement. Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les violations les plus graves.
Cartographie des chevauchements RGPD / AI Act
L'un des défis majeurs de la double conformité RGPD intelligence artificielle réside dans l'identification précise des zones de chevauchement entre les deux réglementations. Loin d'être des textes étanches, le RGPD et l'AI Act partagent des objectifs communs et imposent des obligations qui se recoupent, se complètent et parfois se contredisent. La cartographie détaillée de ces interactions est un prérequis indispensable à toute stratégie de conformité intégrée.
Vue d'ensemble des correspondances
| Domaine | RGPD | AI Act | Interaction |
|---|---|---|---|
| Transparence | Articles 13-14 : information des personnes sur le traitement | Article 13 : transparence et information des déployeurs ; Article 50 : obligations de transparence pour les IA à risque limité | Complémentarité : le RGPD cible les personnes concernées, l'AI Act cible les déployeurs et utilisateurs. Les deux exigent une information sur la logique algorithmique. |
| Évaluation d'impact | Article 35 : AIPD obligatoire si risque élevé pour les droits et libertés | Article 9 : système de gestion des risques ; Article 27 : évaluation d'impact sur les droits fondamentaux par les déployeurs | Chevauchement partiel : les deux imposent une évaluation préalable, mais avec des périmètres et des méthodologies différents. Possibilité de mutualisation. |
| Gouvernance des données | Article 5 : principes de qualité, exactitude, minimisation, limitation de conservation | Article 10 : exigences de qualité, représentativité et pertinence des données d'entraînement | Tension : le RGPD impose la minimisation, l'AI Act exige la représentativité et la qualité. Nécessité d'un équilibre documenté. |
| Droits des personnes | Articles 15-22 : accès, rectification, effacement, opposition, explication des décisions automatisées | Article 14 : contrôle humain ; Article 86 : droit à l'explication des décisions individuelles | Renforcement mutuel : l'AI Act vient compléter et renforcer les droits RGPD en matière de décision automatisée. |
| Documentation | Article 30 : registre des activités de traitement | Article 11 : documentation technique ; Article 18 : conservation de la documentation ; Article 49 : enregistrement dans la base de données de l'UE | Complémentarité : les exigences documentaires sont distinctes mais peuvent être intégrées dans un système de gestion documentaire unique. |
| Responsabilités | Articles 37-39 : Délégué à la Protection des Données (DPO) | Article 4.1 : culture IA (AI literacy) ; Désignation d'un point de contact pour l'AI Act | Coordination nécessaire : les rôles du DPO et du responsable IA doivent être articulés, voire cumulés dans certaines organisations. |
| Sécurité | Article 32 : mesures techniques et organisationnelles de sécurité | Article 15 : exigences de robustesse, précision et cybersécurité | Complémentarité technique : les mesures de sécurité RGPD et AI Act peuvent être largement mutualisées. |
| Transferts internationaux | Articles 44-49 : encadrement des transferts hors UE | Pas de disposition spécifique, mais les systèmes d'IA utilisant des données transférées restent soumis au RGPD | Application cumulative : les transferts de données pour l'entraînement ou l'inférence IA restent soumis au RGPD. |
Transparence : RGPD articles 13-14 vs AI Act article 13
La transparence constitue un pilier commun aux deux réglementations, mais les approches diffèrent sensiblement dans leur cible et leur contenu. Le RGPD impose une information directe des personnes concernées sur les caractéristiques essentielles du traitement de leurs données personnelles : identité du responsable de traitement, finalités, bases légales, destinataires, durées de conservation, droits applicables. En cas de décision automatisée au sens de l'article 22, cette information doit inclure des « informations utiles concernant la logique sous-jacente » du traitement.
L'AI Act, de son côté, impose une transparence technique à destination des déployeurs (les organisations qui utilisent le système d'IA). La documentation technique doit permettre au déployeur de comprendre le fonctionnement du système, ses performances attendues, ses limitations connues et les conditions de son utilisation appropriée. Pour les systèmes à risque limité (chatbots, deepfakes), l'AI Act ajoute une obligation de transparence directe envers les utilisateurs finaux, qui doivent être informés qu'ils interagissent avec un système d'IA.
La stratégie de conformité intégrée consiste à construire une information en couches (layered notice) qui satisfait simultanément les deux réglementations : une première couche synthétique à destination des utilisateurs finaux (couvrant les exigences RGPD et AI Act de transparence directe), une seconde couche détaillée à destination des déployeurs (couvrant les exigences AI Act de documentation technique), et une troisième couche de documentation interne (couvrant les exigences documentaires détaillées des deux textes).
Évaluation d'impact : AIPD vs AI Impact Assessment
L'AIPD du RGPD et l'évaluation d'impact sur les droits fondamentaux de l'AI Act (FRIA — Fundamental Rights Impact Assessment, article 27) présentent des similitudes structurelles mais des différences de périmètre significatives. L'AIPD se concentre sur les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données personnelles. La FRIA de l'AI Act couvre un spectre plus large de droits fondamentaux (non-discrimination, dignité humaine, protection de l'enfance, environnement) et inclut des dimensions techniques (robustesse, précision, cybersécurité) absentes de l'AIPD.
L'article 27.4 de l'AI Act prévoit explicitement que la FRIA peut être intégrée à l'AIPD du RGPD lorsque les deux évaluations sont requises pour le même système. Cette disposition d'articulation est précieuse car elle permet aux organisations de construire une évaluation d'impact unique qui satisfait les deux obligations. En pratique, cela suppose d'enrichir la méthodologie AIPD classique (telle que celle de la CNIL) avec les dimensions spécifiques de l'AI Act : analyse de la robustesse technique, évaluation des biais algorithmiques, vérification de la représentativité des données d'entraînement et documentation des mesures de contrôle humain.
Gouvernance des données : RGPD article 5 vs AI Act article 10
La gouvernance des données constitue probablement la zone de friction la plus significative entre les deux réglementations. Le RGPD impose cinq principes fondamentaux qui structurent le traitement des données personnelles : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation. L'AI Act, de son côté, impose des exigences de qualité des données d'entraînement qui peuvent entrer en tension avec certains de ces principes.
L'article 10 de l'AI Act exige que les données d'entraînement soient « pertinentes, suffisamment représentatives et, dans la mesure du possible, exemptes d'erreurs et complètes au regard de la finalité prévue ». L'exigence de représentativité implique que les données couvrent les différentes caractéristiques des populations concernées, y compris les groupes minoritaires, afin de prévenir les biais discriminatoires. Cette exigence peut conduire à collecter davantage de données, y compris des données sensibles (origine ethnique, genre, âge), ce qui entre en tension avec les principes de minimisation et de limitation des finalités du RGPD.
L'article 10.5 de l'AI Act prévoit d'ailleurs une exception notable au RGPD : dans la mesure strictement nécessaire pour la détection et la correction des biais, les fournisseurs de systèmes d'IA à haut risque peuvent traiter des catégories particulières de données personnelles (données sensibles au sens de l'article 9 du RGPD), sous réserve de garanties appropriées. Cette disposition constitue une lex specialis (loi spéciale) qui déroge au régime général du RGPD et illustre la complexité de l'articulation entre les deux textes.
Droits des personnes : droit à l'explication et contestation des décisions automatisées
L'article 22 du RGPD confère aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou les affectant de manière significative. Lorsqu'une telle décision est néanmoins prise (sur la base d'une exception prévue à l'article 22.2), la personne concernée a le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision.
L'AI Act vient renforcer ces droits de plusieurs manières. L'article 14 impose un contrôle humain effectif pour les systèmes à haut risque, qui va au-delà de la simple possibilité d'intervention humaine prévue par le RGPD. L'article 86 du règlement IA consacre un « droit à l'explication d'une prise de décision individuelle » qui s'applique à toute personne affectée par une décision prise à l'aide d'un système d'IA à haut risque. Ce droit est plus large que celui du RGPD car il ne se limite pas aux décisions « exclusivement » automatisées et ne requiert pas que la décision produise des « effets juridiques ».
La combinaison de ces deux régimes crée un cadre protecteur renforcé : toute décision impliquant un système d'IA et ayant un impact significatif sur une personne doit pouvoir être expliquée (en termes compréhensibles pour la personne concernée), contestée (avec possibilité d'obtenir un réexamen humain) et documentée (avec traçabilité du processus décisionnel). Les organisations doivent mettre en place des mécanismes opérationnels permettant l'exercice effectif de ces droits.
Documentation : registre des traitements vs documentation technique
Le RGPD impose la tenue d'un registre des activités de traitement (article 30) qui décrit les caractéristiques essentielles de chaque traitement : finalités, catégories de données, destinataires, transferts, durées de conservation, mesures de sécurité. L'AI Act impose une documentation technique beaucoup plus détaillée (article 11 et Annexe IV) qui couvre la conception du système, les données utilisées, les méthodes d'entraînement, les métriques de performance, les tests réalisés et les résultats de l'évaluation de conformité.
Ces deux exigences documentaires sont distinctes mais complémentaires. En pratique, l'approche la plus efficace consiste à construire un référentiel documentaire intégré qui lie chaque système d'IA à ses fiches de registre RGPD correspondantes, créant ainsi une vue consolidée de la conformité. Un système d'IA à haut risque sera typiquement associé à une ou plusieurs fiches de registre RGPD (correspondant aux différents traitements de données personnelles qu'il implique), à sa documentation technique AI Act et à son évaluation d'impact conjointe AIPD/FRIA.
DPO vs responsable IA : coordination des rôles
Le RGPD impose la désignation d'un DPO dans certains cas (organismes publics, traitements à grande échelle de données sensibles, suivi systématique à grande échelle). L'AI Act ne prévoit pas de fonction équivalente obligatoire, mais impose une obligation de « culture IA » (AI literacy) et la désignation d'un point de contact pour les autorités compétentes. En pratique, de nombreuses organisations créent un rôle de « responsable IA » ou « AI Officer » pour piloter la conformité AI Act.
La question de l'articulation entre le DPO et le responsable IA est cruciale. Trois configurations sont possibles : le cumul des fonctions (le DPO assume également la responsabilité AI Act), la séparation avec coordination formalisée, ou la création d'une équipe intégrée « données et IA ». Le choix dépend de la taille de l'organisation, du volume de systèmes d'IA déployés et de la complexité des traitements. Dans tous les cas, une coordination étroite est indispensable pour éviter les angles morts et les contradictions dans la stratégie de conformité.
Les conflits potentiels entre RGPD et AI Act
Si le RGPD et l'AI Act partagent des objectifs fondamentaux communs — la protection des droits fondamentaux et la construction d'un écosystème numérique de confiance —, leur articulation opérationnelle révèle des tensions structurelles que les organisations doivent identifier et résoudre. Ces conflits ne sont pas des contradictions juridiques insurmontables, mais des zones de friction qui exigent des arbitrages documentés et des solutions techniques innovantes.
Droit à l'effacement vs traçabilité de l'IA
Le conflit le plus emblématique oppose le droit à l'effacement du RGPD (article 17) aux obligations de traçabilité et de documentation de l'AI Act. Le RGPD confère aux personnes le droit d'obtenir l'effacement de leurs données personnelles dans un délai raisonnable lorsque certaines conditions sont réunies (retrait du consentement, données non nécessaires, traitement illicite). L'AI Act, de son côté, impose aux fournisseurs de systèmes à haut risque de conserver la documentation technique, les journaux d'événements et les données de test pendant au moins dix ans après la mise sur le marché du système, comme le précise le texte officiel du règlement européen sur l'intelligence artificielle.
Ce conflit est particulièrement aigu pour les données d'entraînement des modèles d'IA. Lorsqu'une personne exerce son droit à l'effacement, le responsable de traitement doit-il ré-entraîner l'intégralité du modèle pour s'assurer que les données effacées n'influencent plus les prédictions ? Le coût technique et financier d'une telle opération peut être prohibitif pour les modèles de grande taille. Les techniques de « machine unlearning » — désapprentissage ciblé sans ré-entraînement complet — sont encore immatures et ne garantissent pas une élimination totale de l'influence des données supprimées.
La résolution pragmatique de ce conflit passe par plusieurs mesures complémentaires. Premièrement, la séparation architecturale entre les données d'entraînement (qui peuvent être supprimées sans affecter le modèle déjà entraîné) et les paramètres du modèle (qui intègrent une forme agrégée et non réversible des données). Deuxièmement, la documentation précise de l'impossibilité technique de « désapprendre » des données spécifiques et la mise en œuvre de mesures compensatoires (filtrage des outputs, anonymisation renforcée). Troisièmement, l'information transparente des personnes concernées sur ces limitations techniques dès le stade de la collecte des données.
Minimisation des données vs qualité des données d'entraînement
Le principe de minimisation du RGPD (article 5.1.c) impose de limiter la collecte aux données strictement nécessaires. L'article 10 de l'AI Act exige des données « suffisamment représentatives » et « complètes » pour garantir la qualité et la fiabilité du système d'IA. Ces deux exigences peuvent entrer en contradiction directe, notamment dans les cas suivants.
Pour prévenir les biais discriminatoires, un système d'IA peut avoir besoin de données démographiques (âge, genre, origine) qui ne seraient pas « nécessaires » au sens du RGPD pour la finalité première du traitement. Par exemple, un algorithme de scoring crédit n'a pas besoin de connaître l'origine ethnique de l'emprunteur pour calculer un score, mais il peut avoir besoin de cette information pour vérifier que ses prédictions ne sont pas discriminatoires.
La résolution de cette tension repose sur l'article 10.5 de l'AI Act, qui autorise explicitement le traitement de données sensibles aux fins de détection et de correction des biais, sous réserve de garanties techniques et organisationnelles appropriées. En pratique, cela signifie que les organisations peuvent collecter des données démographiques à des fins de test d'équité (fairness testing), à condition de les traiter dans un environnement sécurisé et séparé, de ne pas les utiliser pour l'entraînement du modèle en production, et de les supprimer dès que l'analyse de biais est réalisée. Cette approche — collecte ciblée, usage limité, suppression rapide — réconcilie les exigences des deux textes.
Anonymisation vs performance du modèle
L'anonymisation des données est souvent présentée comme la solution miracle pour concilier utilisation de l'IA et protection des données personnelles. Si les données sont véritablement anonymisées (au sens de la jurisprudence du Comité européen de la protection des données), le RGPD ne s'applique plus. Toutefois, l'anonymisation présente plusieurs limites dans le contexte de l'IA.
L'anonymisation réduit la richesse informationnelle des données et peut dégrader significativement les performances des modèles d'IA. Les techniques d'anonymisation classiques (suppression d'identifiants, généralisation, perturbation) peuvent introduire du bruit qui altère les corrélations statistiques exploitées par les algorithmes d'apprentissage. Plus fondamentalement, les travaux de recherche montrent que les modèles d'IA entraînés sur des données anonymisées sont souvent plus biaisés que ceux entraînés sur des données complètes, car l'anonymisation peut masquer ou amplifier des déséquilibres existants dans les données.
Par ailleurs, le risque de ré-identification est amplifié par l'IA elle-même. Les modèles d'apprentissage automatique sont capables de reconstituer des informations personnelles à partir de données supposément anonymisées, en exploitant des corrélations entre variables. Ce phénomène remet en question la pérennité de l'anonymisation face à l'évolution des capacités algorithmiques.
La pseudonymisation constitue un compromis pragmatique : les données restent soumises au RGPD (car elles demeurent des données personnelles), mais les risques sont atténués par la séparation entre les données et les identifiants. L'AI Act reconnaît implicitement cette approche en exigeant des « garanties appropriées » pour le traitement de données personnelles dans le cadre du développement de systèmes d'IA.
Résoudre les tensions : Les conflits entre RGPD et AI Act ne sont pas des impasses juridiques. L'article 2.7 de l'AI Act prévoit explicitement que le règlement s'applique « sans préjudice » du RGPD. En cas de conflit, le RGPD prévaut pour les questions de protection des données personnelles. Toutefois, l'AI Act introduit des exceptions ciblées (article 10.5 sur les données sensibles pour la détection de biais) qui assouplissent ponctuellement le régime RGPD. La clé est de documenter systématiquement les arbitrages réalisés et les justifications associées.
Framework de double conformité en 10 étapes
La mise en œuvre opérationnelle de la conformité RGPD AI Act nécessite une démarche structurée qui intègre dès l'origine les exigences des deux réglementations. Le framework proposé ci-dessous s'appuie sur les bonnes pratiques identifiées par les autorités de régulation européennes et sur les retours d'expérience des premières organisations ayant engagé cette démarche.
Étape 1 : Cartographie des systèmes d'IA et des traitements de données
La première étape consiste à dresser un inventaire exhaustif de tous les systèmes d'IA utilisés ou développés par l'organisation et à les croiser avec le registre des traitements RGPD existant. Cette cartographie doit identifier, pour chaque système d'IA, les traitements de données personnelles associés, les bases légales applicables, les catégories de personnes concernées et les flux de données impliqués. L'objectif est de construire une vue unifiée « système d'IA / traitements de données » qui servira de socle à l'ensemble de la démarche.
En pratique, cette cartographie révèle souvent des zones d'ombre : des systèmes d'IA utilisés de manière informelle par des équipes métier (shadow AI), des traitements de données non documentés dans le registre RGPD, ou des flux de données vers des fournisseurs de services d'IA non identifiés comme sous-traitants au sens du RGPD. L'inventaire initial doit être suffisamment large pour capturer ces usages non répertoriés.
Étape 2 : Classification des risques AI Act
Pour chaque système d'IA identifié, il convient de déterminer son niveau de risque au sens de l'AI Act. Cette classification repose sur l'analyse croisée de la nature du système (ses capacités techniques), de son domaine d'application (les huit domaines à haut risque de l'Annexe III) et de ses conditions d'utilisation (déploiement autonome ou composant d'un produit plus large). La classification doit être documentée et justifiée, car elle détermine l'intégralité du régime juridique applicable.
Il est important de noter que la classification AI Act n'exonère pas du RGPD. Un système d'IA classé « risque minimal » au sens de l'AI Act reste pleinement soumis au RGPD s'il traite des données personnelles. Inversement, un système d'IA qui ne traite pas de données personnelles peut être soumis à des obligations substantielles au titre de l'AI Act s'il est classé à haut risque.
Étape 3 : Évaluation d'impact intégrée (AIPD + FRIA)
Pour les systèmes d'IA à haut risque traitant des données personnelles, une évaluation d'impact conjointe doit être réalisée. Cette évaluation intègre les exigences de l'AIPD (article 35 RGPD) et de la FRIA (article 27 AI Act) dans un document unique qui couvre l'analyse des risques pour les droits et libertés des personnes (dimension RGPD), l'analyse des risques pour les droits fondamentaux au sens large (dimension AI Act), l'évaluation de la robustesse, de la précision et de la cybersécurité du système, l'analyse des biais potentiels et des risques de discrimination, et la définition des mesures d'atténuation pour chaque risque identifié.
Étape 4 : Mise en conformité de la gouvernance des données
Cette étape vise à réconcilier les exigences RGPD et AI Act en matière de qualité et de gestion des données. Elle implique la définition de politiques de collecte qui respectent le principe de minimisation tout en garantissant la représentativité des données d'entraînement, la mise en place de processus de vérification de la qualité des données (exactitude, complétude, absence de biais), la documentation des arbitrages réalisés entre minimisation RGPD et qualité AI Act, et l'implémentation de mécanismes de séparation entre les données d'entraînement, de test et de production.
Étape 5 : Conception des mécanismes de transparence
La stratégie de transparence doit couvrir simultanément les obligations des deux réglementations. Elle inclut la rédaction de notices d'information « données et IA » à destination des personnes concernées, la préparation de la documentation technique AI Act à destination des déployeurs et des autorités, la mise en place de mécanismes d'explicabilité des décisions algorithmiques (satisfaisant à la fois le droit à l'explication RGPD et les exigences de transparence AI Act), et le déploiement d'interfaces permettant aux utilisateurs d'identifier clairement les interactions avec des systèmes d'IA.
Étape 6 : Implémentation du contrôle humain
Le contrôle humain est une exigence convergente des deux réglementations. La mise en œuvre opérationnelle implique la définition du niveau de supervision humaine approprié pour chaque système d'IA (human-in-the-loop, human-on-the-loop, human-in-command), la formation des opérateurs humains aux caractéristiques et limitations des systèmes d'IA qu'ils supervisent, la mise en place de processus d'escalade permettant la contestation et le réexamen humain des décisions algorithmiques, et la documentation des interventions humaines et de leurs résultats.
Étape 7 : Sécurisation technique
Les mesures de sécurité doivent couvrir les exigences cumulées du RGPD (article 32) et de l'AI Act (article 15). Cela inclut la protection contre les accès non autorisés aux données et aux modèles, la robustesse face aux attaques adversariales (empoisonnement de données, perturbation d'inputs), la résilience des systèmes d'IA face aux pannes et aux défaillances, la mise en place de mécanismes de détection et de réponse aux incidents de sécurité, et le chiffrement des données en transit et au repos.
Étape 8 : Construction du référentiel documentaire intégré
L'ensemble de la documentation de conformité doit être organisé dans un référentiel cohérent qui permet de démontrer la conformité simultanée aux deux réglementations. Ce référentiel comprend le registre des traitements RGPD enrichi des informations AI Act, la documentation technique de chaque système d'IA à haut risque, les évaluations d'impact conjointes AIPD/FRIA, les politiques et procédures de gouvernance des données, les contrats avec les fournisseurs et sous-traitants d'IA, les rapports de tests et d'audit, et les procédures de gestion des droits des personnes.
Étape 9 : Formation et culture organisationnelle
L'article 4 de l'AI Act impose une obligation de « culture IA » (AI literacy) qui complète les obligations de sensibilisation du RGPD. Le programme de formation doit couvrir la compréhension des principes fondamentaux de l'IA et de la protection des données, la connaissance des obligations légales applicables aux rôles concernés, la capacité à identifier les situations nécessitant une analyse de conformité, et la maîtrise des procédures internes de signalement et d'escalade.
Étape 10 : Monitoring continu et amélioration
La conformité n'est pas un état statique mais un processus continu. Le dispositif de monitoring doit inclure la surveillance des performances et des biais des systèmes d'IA en production, le suivi de l'évolution réglementaire et jurisprudentielle, les audits réguliers de conformité (internes et externes), la gestion des incidents et des violations (RGPD et AI Act), et la mise à jour continue de la documentation et des évaluations d'impact. L'adhésion au référentiel ISO 42001 pour les systèmes de management de l'intelligence artificielle peut constituer un cadre structurant pour cette démarche d'amélioration continue.
Outils de conformité : solutions logicielles pour la double conformité
Le marché des outils de conformité connaît une évolution rapide pour intégrer les exigences conjointes du RGPD et de l'AI Act. Plusieurs plateformes proposent désormais des modules spécifiques pour la gestion intégrée de la conformité « données et IA ». L'analyse de ces solutions permet d'identifier les fonctionnalités clés à rechercher et les limites actuelles du marché.
OneTrust : la plateforme intégrée de référence
OneTrust a étendu sa plateforme de gestion de la conformité RGPD pour intégrer un module dédié à la gouvernance de l'IA. La plateforme propose un registre centralisé des systèmes d'IA croisé avec le registre des traitements de données, des modèles d'évaluation d'impact préconfigurés couvrant à la fois l'AIPD et la FRIA, un workflow de classification des risques AI Act avec aide à la décision, et des tableaux de bord de conformité unifiés. La force d'OneTrust réside dans l'intégration native entre les modules « données » et « IA », qui permet de maintenir la cohérence entre les deux dimensions de la conformité. La plateforme propose également des connecteurs avec les principaux outils de développement IA (MLflow, Weights & Biases) pour automatiser la collecte d'informations techniques.
TrustArc : la conformité pilotée par l'intelligence artificielle
TrustArc propose une approche distinctive fondée sur l'utilisation de l'IA pour automatiser la conformité à l'IA — une mise en abyme intéressante. La plateforme utilise le traitement automatique du langage naturel pour analyser les politiques de confidentialité et identifier les lacunes par rapport aux exigences RGPD et AI Act. Elle propose également des outils d'évaluation automatisée des risques et un module de suivi réglementaire qui alerte sur les évolutions législatives pertinentes. TrustArc se distingue par la richesse de sa base de connaissances réglementaires et par sa capacité à adapter automatiquement les recommandations en fonction de la juridiction et du secteur d'activité.
Securiti.ai : la conformité centrée sur les données
Securiti.ai adopte une approche « data-first » qui part de la cartographie des données pour construire la conformité. La plateforme propose des fonctionnalités avancées de découverte et de classification automatique des données personnelles dans les environnements cloud et on-premise, d'analyse automatique des flux de données entre les systèmes d'IA et les sources de données, de détection des données sensibles dans les jeux de données d'entraînement, et de gestion automatisée des demandes de droits (accès, effacement, portabilité) couvrant les données utilisées par les systèmes d'IA. La valeur ajoutée de Securiti.ai réside dans sa capacité à fournir une visibilité granulaire sur les données effectivement traitées par les systèmes d'IA, comblant ainsi un angle mort fréquent dans les démarches de conformité.
DPOrganizer : la simplicité scandinave
DPOrganizer propose une solution plus légère et plus accessible, particulièrement adaptée aux PME et aux organisations qui débutent leur démarche de conformité IA. La plateforme propose un registre des traitements RGPD étendu aux systèmes d'IA, des modèles d'évaluation d'impact simplifiés mais conformes aux exigences réglementaires, un module de gestion des contrats sous-traitants intégrant les clauses spécifiques à l'IA, et un système de suivi des actions de mise en conformité avec alertes et rappels. DPOrganizer se distingue par son ergonomie et par son modèle tarifaire accessible, qui en fait une option pertinente pour les organisations à budget limité.
Critères de sélection d'un outil de conformité intégré
Au-delà des solutions spécifiques, la sélection d'un outil de conformité intégré doit prendre en compte plusieurs critères déterminants. La couverture fonctionnelle doit englober la gestion conjointe de la conformité RGPD et AI Act, incluant la cartographie, l'évaluation des risques, la documentation et le monitoring. L'intégrabilité avec les outils existants (systèmes d'information, plateformes de développement IA, outils de sécurité) est essentielle pour éviter les silos. L'évolutivité de la solution doit permettre d'intégrer les futures évolutions réglementaires sans changement de plateforme. Enfin, la localisation et la conformité de l'outil lui-même au RGPD sont des prérequis incontournables pour un outil de gestion de la conformité.
Focus : IA générative et RGPD
L'essor des modèles d'IA générative — ChatGPT d'OpenAI, Claude d'Anthropic, Gemini de Google — soulève des questions de conformité RGPD spécifiques et particulièrement épineuses. Ces systèmes, qui génèrent du texte, des images ou du code à partir de prompts utilisateurs, traitent massivement des données personnelles à plusieurs niveaux de leur fonctionnement : dans les données d'entraînement, dans les prompts utilisateurs et dans les outputs générés.
Données personnelles dans les modèles de fondation
Les grands modèles de langage (LLM) sont entraînés sur des corpus textuels massifs issus d'Internet, qui contiennent inévitablement des données personnelles : noms, adresses, numéros de téléphone, mais aussi des informations plus sensibles comme des données de santé, des opinions politiques ou des informations financières. La question de la licéité de cet entraînement au regard du RGPD fait l'objet de procédures devant plusieurs autorités européennes de protection des données.
Le Garante italiano (autorité italienne de protection des données) a temporairement interdit ChatGPT en mars 2023, invoquant l'absence de base légale pour le traitement des données d'entraînement, le défaut d'information des personnes concernées et l'absence de vérification d'âge. OpenAI a depuis mis en œuvre des mesures correctives (information des utilisateurs, mécanisme d'opposition, vérification d'âge), mais les questions de fond demeurent ouvertes.
La CNIL a publié une série de recommandations sur l'IA générative en 2024, distinguant la phase d'entraînement (où l'intérêt légitime peut constituer une base légale sous conditions strictes) de la phase de déploiement (où la base légale dépend de la finalité spécifique du service). La CNIL insiste sur la nécessité de mesures techniques de minimisation : filtrage des données personnelles dans les corpus d'entraînement, techniques de confidentialité différentielle, et mécanismes de suppression des données sur demande.
Prompts utilisateurs et données personnelles
Lorsqu'un utilisateur saisit un prompt contenant des données personnelles (les siennes ou celles de tiers), un traitement de données personnelles est réalisé par le fournisseur du service d'IA. Ce traitement pose plusieurs questions de conformité. Qui est responsable de traitement : l'utilisateur qui saisit le prompt, l'organisation qui fournit l'accès au service, ou le fournisseur du modèle ? La réponse dépend du contexte d'utilisation et des arrangements contractuels en place.
Dans un contexte professionnel, l'organisation qui déploie un outil d'IA générative pour ses collaborateurs est généralement responsable de traitement pour les usages internes, et le fournisseur du modèle agit comme sous-traitant au sens de l'article 28 du RGPD. Cette qualification impose la conclusion d'un contrat de sous-traitance détaillant les obligations du fournisseur en matière de sécurité, de confidentialité, de localisation des données et de suppression des données en fin de contrat.
La question des données d'entraînement issues des prompts est particulièrement sensible. Certains fournisseurs utilisent par défaut les interactions utilisateurs pour améliorer leurs modèles, ce qui constitue un traitement de données personnelles nécessitant une base légale et une information préalable. Les versions « entreprise » des principaux services d'IA générative (ChatGPT Enterprise, Claude for Business) proposent des garanties contractuelles de non-utilisation des données clients pour l'entraînement, mais ces garanties doivent être vérifiées et documentées.
Transferts internationaux et IA générative
La plupart des fournisseurs de modèles d'IA générative sont des entreprises américaines dont les serveurs sont situés aux États-Unis. L'utilisation de leurs services implique donc des transferts de données personnelles vers un pays tiers, soumis aux exigences du chapitre V du RGPD. Depuis l'arrêt Schrems II de la Cour de justice de l'Union européenne (2020) et l'adoption du Data Privacy Framework (DPF) en juillet 2023, le cadre juridique des transferts vers les États-Unis s'est clarifié pour les entreprises certifiées DPF, mais reste fragile juridiquement.
Les organisations européennes utilisant des services d'IA générative américains doivent vérifier la certification DPF du fournisseur, évaluer les risques spécifiques liés aux lois de surveillance américaines (FISA 702, Executive Order 12333) et mettre en œuvre des mesures supplémentaires si nécessaire (chiffrement, pseudonymisation, hébergement européen des données). L'émergence de fournisseurs européens d'IA générative (Mistral AI en France, Aleph Alpha en Allemagne) et de solutions d'hébergement souverain offre des alternatives permettant de réduire l'exposition aux risques de transfert.
L'articulation avec l'AI Act ajoute une couche supplémentaire de complexité. Les fournisseurs de modèles d'IA à usage général (GPAI models) sont soumis, depuis août 2025, à des obligations de transparence et de documentation qui s'appliquent indépendamment de leur localisation géographique, dès lors que le modèle est utilisé dans l'Union européenne. Cette dimension extraterritoriale de l'AI Act renforce les obligations de conformité IA RGPD pesant sur les utilisateurs européens de services d'IA américains.
IA générative en entreprise — les règles d'or : Avant de déployer un outil d'IA générative, l'organisation doit : (1) qualifier les rôles de chaque acteur (responsable/sous-traitant), (2) vérifier la base légale des traitements de données dans les prompts, (3) s'assurer de la conformité des transferts internationaux, (4) mettre en place une politique d'usage interdisant la saisie de données sensibles dans les prompts, (5) documenter l'ensemble dans le registre des traitements RGPD et, le cas échéant, dans la documentation technique AI Act.
Focus : scoring et décision automatisée
Le scoring et la décision automatisée constituent l'un des cas d'usage les plus réglementés au croisement du RGPD et de l'AI Act. L'article 22 du RGPD encadre strictement les décisions individuelles automatisées, tandis que l'AI Act classe la plupart des systèmes de scoring dans la catégorie « haut risque ». La combinaison de ces deux régimes crée un cadre particulièrement exigeant que les organisations doivent maîtriser.
L'article 22 du RGPD : une protection à géométrie variable
L'article 22.1 du RGPD pose le principe du droit de la personne à ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative. Ce droit n'est pas absolu : l'article 22.2 prévoit trois exceptions (exécution d'un contrat, autorisation légale, consentement explicite), sous réserve de mesures de sauvegarde appropriées incluant au minimum le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision.
L'interprétation de l'article 22 a fait l'objet de débats doctrinaux intenses. La Cour de justice de l'Union européenne a clarifié dans l'arrêt C-634/21 (SCHUFA) de décembre 2023 que le score de crédit généré par un organisme tiers (comme la SCHUFA en Allemagne) constitue en lui-même une décision automatisée au sens de l'article 22 lorsqu'il joue un rôle déterminant dans la décision finale du créancier. Cette interprétation extensive a des implications majeures pour tous les systèmes de scoring utilisés comme aide à la décision.
En pratique, la plupart des systèmes de scoring en entreprise ne prennent pas de décisions « exclusivement » automatisées — un opérateur humain intervient généralement dans le processus décisionnel. Toutefois, si l'intervention humaine est purement formelle (validation systématique des recommandations algorithmiques sans examen réel du dossier), la décision peut être requalifiée en décision automatisée au sens de l'article 22. Les lignes directrices du Comité européen de la protection des données précisent que l'intervention humaine doit être « significative » et non « symbolique ».
Le scoring comme système d'IA à haut risque
L'AI Act classe explicitement dans la catégorie « haut risque » les systèmes d'IA destinés à évaluer la solvabilité des personnes physiques (Annexe III, point 5.b), à l'exception des systèmes utilisés pour la détection de fraudes. Cette classification s'applique aux scores de crédit, aux modèles de souscription d'assurance, aux algorithmes de tarification individualisée et à tout système d'évaluation utilisé pour déterminer l'accès à des services essentiels.
Les systèmes de scoring classés à haut risque sont soumis à l'intégralité des obligations du chapitre III de l'AI Act : système de gestion des risques, gouvernance des données, documentation technique, logging, transparence, contrôle humain, robustesse et cybersécurité. Ces obligations viennent s'ajouter aux exigences de l'article 22 du RGPD, créant un double régime de protection.
La combinaison des deux réglementations impose un niveau de transparence et d'explicabilité particulièrement élevé pour les systèmes de scoring. La personne concernée doit pouvoir comprendre les facteurs qui ont influencé son score (exigence RGPD d'information sur la logique sous-jacente), contester le résultat et obtenir un réexamen humain (droit de contestation RGPD + contrôle humain AI Act), et bénéficier de garanties contre les discriminations (exigence AI Act de détection et d'atténuation des biais).
Mise en conformité pratique d'un système de scoring
La mise en conformité d'un système de scoring existant avec les exigences cumulées du RGPD et de l'AI Act peut être structurée autour de cinq chantiers principaux. Le chantier « explicabilité » vise à implémenter des mécanismes d'explication des scores (SHAP values, LIME, attention maps) permettant de fournir à chaque personne une explication individualisée des facteurs ayant influencé son score. Le chantier « équité » porte sur l'analyse systématique des biais du modèle selon différentes dimensions protégées (genre, âge, origine) et la mise en œuvre de techniques de débiaisage. Le chantier « contrôle humain » définit les modalités de supervision humaine et les critères déclenchant un réexamen humain systématique. Le chantier « documentation » produit l'ensemble de la documentation technique requise par l'AI Act. Le chantier « droits des personnes » met en place les processus opérationnels de traitement des demandes d'accès, de contestation et de rectification.
Sanctions comparées : RGPD vs AI Act
La compréhension du régime de sanctions est essentielle pour calibrer l'effort de conformité et prioriser les actions. Le RGPD et l'AI Act prévoient des sanctions administratives significatives, mais avec des structures et des montants différents qui reflètent les objectifs distincts de chaque réglementation.
Les sanctions RGPD : un régime éprouvé
Le RGPD prévoit deux niveaux de sanctions. Les violations les plus graves (articles 5, 6, 7, 9, 12 à 22, 44 à 49) sont passibles d'amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les violations des obligations des responsables de traitement et des sous-traitants (articles 8, 11, 25 à 39, 42, 43) sont passibles d'amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
Depuis l'entrée en application du RGPD en 2018, les autorités européennes ont progressivement durci leur politique de sanctions. Les amendes cumulées dépassent désormais les 5 milliards d'euros au niveau européen. Les sanctions les plus significatives ont visé les grandes plateformes technologiques : Meta (1,2 milliard d'euros par l'autorité irlandaise en 2023 pour des transferts illicites vers les États-Unis), Amazon (746 millions d'euros par l'autorité luxembourgeoise en 2021 pour des pratiques publicitaires non conformes), et TikTok (345 millions d'euros par l'autorité irlandaise en 2023 pour le traitement des données de mineurs).
Dans le contexte spécifique de l'IA, les sanctions RGPD ont commencé à cibler les usages algorithmiques : Clearview AI a été sanctionnée par plusieurs autorités européennes (CNIL, Garante, ICO) pour la collecte et le traitement illicites de données biométriques à des fins de reconnaissance faciale. La CNIL a également sanctionné des entreprises françaises pour des systèmes de vidéosurveillance utilisant l'IA sans AIPD préalable.
Les sanctions AI Act : un régime gradué et dissuasif
L'AI Act prévoit trois niveaux de sanctions, calibrés selon la gravité des violations. Les violations des interdictions relatives aux systèmes d'IA à risque inacceptable (article 5) sont passibles d'amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Ce plafond, supérieur à celui du RGPD, reflète la gravité particulière des pratiques visées (notation sociale, manipulation subliminale, identification biométrique non autorisée).
Les violations des autres obligations du règlement (exigences pour les systèmes à haut risque, obligations de transparence, obligations des fournisseurs de GPAI) sont passibles d'amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
La fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités compétentes ou aux organismes notifiés est passible d'amendes pouvant atteindre 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial.
Pour les PME et les startups, l'AI Act prévoit que les amendes soient proportionnées à leur taille et à leur capacité économique, avec la possibilité de retenir le plafond le plus bas (montant fixe ou pourcentage du chiffre d'affaires).
Tableau comparatif des sanctions
| Critère | RGPD | AI Act |
|---|---|---|
| Amende maximale (niveau 1) | 20 M€ ou 4 % CA mondial | 35 M€ ou 7 % CA mondial |
| Amende maximale (niveau 2) | 10 M€ ou 2 % CA mondial | 15 M€ ou 3 % CA mondial |
| Amende maximale (niveau 3) | — | 7,5 M€ ou 1 % CA mondial |
| Autorité de sanction | Autorités nationales de protection des données (CNIL, etc.) | Autorités nationales de surveillance du marché + Bureau européen de l'IA |
| Cumul possible | Oui — une même violation peut entraîner des sanctions au titre des deux règlements, mais le montant total ne doit pas dépasser le plafond le plus élevé (article 99.5 AI Act) | |
| Autres mesures | Injonction, limitation/interdiction de traitement, suspension des flux de données | Retrait du marché, rappel, interdiction de mise sur le marché |
| Application aux organismes publics | Variable selon les États membres | Amendes appliquées dans les mêmes conditions |
Le risque de cumul des sanctions
L'article 99.5 de l'AI Act prévoit explicitement la coordination des sanctions en cas de violation conjointe des deux règlements. Lorsqu'un même fait constitue une violation du RGPD et de l'AI Act, les autorités compétentes doivent se coordonner pour éviter une double sanction disproportionnée. Le montant total des amendes ne peut dépasser le plafond le plus élevé applicable, mais rien n'empêche que les deux autorités prononcent chacune une sanction dans la limite de leurs compétences respectives.
En France, la question de la répartition des compétences entre la CNIL (autorité RGPD) et l'autorité nationale de surveillance du marché pour l'AI Act (qui reste à désigner de manière définitive) sera déterminante. La CNIL a d'ores et déjà revendiqué un rôle central dans la régulation de l'IA, en raison de l'imbrication étroite entre protection des données et gouvernance de l'IA.
Sanctions — ce qu'il faut retenir : Le cumul des sanctions RGPD et AI Act est possible mais plafonné au montant le plus élevé applicable. Pour une entreprise déployant un système d'IA à haut risque non conforme qui traite illicitement des données personnelles, l'exposition maximale théorique est de 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Au-delà des amendes, les mesures correctrices (interdiction de traitement RGPD + retrait du marché AI Act) peuvent paralyser l'activité opérationnelle.
Cas pratiques de double conformité
L'application concrète de la conformité RGPD AI Act ne peut se comprendre pleinement qu'à travers des cas d'usage réels. Les trois cas pratiques suivants illustrent les défis opérationnels et les solutions possibles dans des contextes variés.
Cas 1 : Chatbot RH qui analyse des CV
Une entreprise de taille intermédiaire (2 000 salariés) déploie un chatbot alimenté par un modèle de langage pour assister les recruteurs dans l'analyse des CV et la présélection des candidats. Le chatbot extrait les informations clés des CV (formation, expérience, compétences), les compare aux critères du poste et attribue un score de compatibilité.
Classification AI Act : Ce système est un système d'IA à haut risque au titre de l'Annexe III, point 4 (emploi et gestion des ressources humaines). Plus précisément, il relève de la catégorie « systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres d'emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats ».
Obligations RGPD : Le traitement de CV constitue un traitement de données personnelles soumis au RGPD. Les données traitées incluent des données d'identification (nom, adresse, photo), des données professionnelles (parcours, compétences) et potentiellement des données sensibles (handicap, situation familiale, photo révélant l'origine). La base légale est typiquement l'intérêt légitime (analyse de la candidature dans le cadre d'un processus de recrutement) ou les mesures précontractuelles. Une AIPD est obligatoire car le traitement implique du profilage systématique de candidats.
Exigences cumulées : L'entreprise doit réaliser une évaluation d'impact conjointe AIPD/FRIA, incluant une analyse spécifique des risques de discrimination (genre, âge, origine). La documentation technique doit décrire les critères de scoring, les données utilisées et les performances du système ventilées par groupes démographiques. Le contrôle humain doit être effectif : un recruteur humain doit examiner chaque présélection et pouvoir s'écarter de la recommandation algorithmique. Les candidats doivent être informés de l'utilisation d'un système d'IA dans le processus de recrutement et disposer du droit de contester la décision.
Points d'attention spécifiques : Le chatbot ne doit pas utiliser la photo des candidats pour son analyse (risque de traitement biométrique et de discrimination). Les CV analysés ne doivent pas être utilisés pour entraîner ou améliorer le modèle sans base légale distincte et information des candidats. Le système doit être capable de fournir une explication individualisée du score attribué à chaque candidat. Un audit de biais doit être réalisé avant le déploiement et répété régulièrement.
Cas 2 : Système de scoring client pour l'octroi de crédit
Une banque en ligne utilise un modèle de machine learning pour évaluer la solvabilité des demandeurs de crédit à la consommation. Le modèle analyse les données financières du client (revenus, charges, historique bancaire), les données sociodémographiques (âge, situation professionnelle, code postal) et les données comportementales (navigation sur le site, interactions avec le service client) pour générer un score de risque.
Classification AI Act : Système d'IA à haut risque au titre de l'Annexe III, point 5.b (évaluation de la solvabilité des personnes physiques, à l'exception de la détection de fraudes financières).
Obligations RGPD : L'article 22 du RGPD s'applique pleinement : le score de crédit constitue une décision automatisée produisant des effets juridiques (octroi ou refus du crédit). La base légale est l'exécution du contrat (mesures précontractuelles à la demande du client) ou l'obligation légale (exigences prudentielles de vérification de solvabilité). Une AIPD est obligatoire. Les droits de l'article 22.3 doivent être garantis : intervention humaine, expression du point de vue et contestation.
Exigences cumulées : La banque doit s'assurer que le modèle ne produit pas de discriminations indirectes fondées sur des critères protégés. L'utilisation du code postal comme variable prédictive est particulièrement sensible car elle peut servir de proxy pour l'origine ethnique ou le niveau socioéconomique. La documentation technique AI Act doit inclure les résultats des tests d'équité (fairness metrics) ventilés par groupe démographique. Le système de contrôle humain doit prévoir un réexamen systématique des dossiers refusés par le modèle, avec possibilité de dérogation argumentée. L'explicabilité doit permettre au client de comprendre les raisons principales de l'acceptation ou du refus, sans pour autant révéler les seuils de décision (qui constitueraient un risque de sécurité et de contournement).
Points d'attention spécifiques : Les données comportementales (navigation, interactions) doivent faire l'objet d'une analyse de nécessité rigoureuse — elles ne sont pas intrinsèquement nécessaires à l'évaluation de solvabilité et leur utilisation pourrait être considérée comme disproportionnée. La conservation des données doit être alignée avec les exigences réglementaires bancaires (qui imposent souvent des durées plus longues que ce que préconiserait le RGPD seul) et les exigences de traçabilité de l'AI Act. En cas de refus algorithmique suivi d'une acceptation humaine, l'écart doit être documenté et analysé comme signal de biais potentiel du modèle.
Cas 3 : Vidéosurveillance IA dans un centre commercial
Un centre commercial déploie un système de vidéosurveillance augmenté par l'IA pour la détection de comportements suspects (vol à l'étalage, intrusion dans les zones réservées) et le comptage anonymisé de la fréquentation. Le système utilise la reconnaissance de formes et l'analyse comportementale, mais pas la reconnaissance faciale.
Classification AI Act : La classification dépend des fonctionnalités exactes du système. Si le système se limite à la détection de comportements anormaux sans identification des individus, il peut être classé comme système à risque limité. En revanche, si le système intègre des fonctionnalités de catégorisation biométrique (estimation de l'âge, du genre ou de l'état émotionnel des personnes filmées), il relève de la catégorie « haut risque » (Annexe III, point 1) ou des interdictions (article 5) selon les cas. La reconnaissance des émotions est soumise à des obligations de transparence spécifiques (article 50.3) et est interdite sur le lieu de travail et dans les établissements d'éducation (article 5.1.f).
Obligations RGPD : La vidéosurveillance constitue un traitement de données personnelles (les images des personnes filmées sont des données personnelles) soumis au RGPD. La base légale est typiquement l'intérêt légitime (sécurité des personnes et des biens). Une AIPD est obligatoire (surveillance systématique à grande échelle d'une zone accessible au public). L'information des personnes doit être assurée par des panneaux visibles à l'entrée du centre commercial et par une politique de confidentialité détaillée. Les durées de conservation doivent être limitées (généralement 30 jours maximum, sauf incident de sécurité).
Exigences cumulées : La détection de comportements « suspects » par l'IA soulève des questions de proportionnalité et de discrimination. Le système doit être conçu pour éviter les faux positifs discriminatoires (ciblage disproportionné de certains groupes). La documentation technique doit détailler les critères de détection et les taux de faux positifs/négatifs. Le contrôle humain doit être assuré par des opérateurs formés qui vérifient chaque alerte avant intervention. Le comptage de fréquentation doit être réalisé de manière à ne pas permettre l'identification des individus (anonymisation par agrégation).
Points d'attention spécifiques : L'ajout progressif de fonctionnalités (passage du comptage à la détection comportementale, puis à l'analyse émotionnelle) est un phénomène courant qui peut faire basculer le système d'une catégorie de risque à une autre. Chaque évolution fonctionnelle doit être réévaluée au regard des deux réglementations. L'utilisation de données biométriques (même sans identification) est soumise à des restrictions cumulées RGPD (article 9) et AI Act (articles 5 et 6). Le recours à des prestataires de vidéosurveillance IA doit être encadré par des contrats de sous-traitance RGPD et des clauses spécifiques AI Act.
Checklist de double conformité RGPD / AI Act
La checklist suivante synthétise les actions de conformité requises pour chaque système d'IA traitant des données personnelles. Elle est organisée par thématique et distingue les exigences propres à chaque réglementation et les exigences communes.
| Action | RGPD | AI Act | Statut |
|---|---|---|---|
| 1. Gouvernance et organisation | |||
| Désigner un DPO (si obligatoire) | Oui (art. 37) | — | ☐ |
| Désigner un responsable IA / point de contact | — | Oui | ☐ |
| Former les équipes (AI literacy) | Sensibilisation | Oui (art. 4) | ☐ |
| Définir les rôles (responsable/sous-traitant/fournisseur/déployeur) | Oui (art. 26-28) | Oui (art. 2-3) | ☐ |
| 2. Inventaire et classification | |||
| Inventorier tous les systèmes d'IA | — | Oui | ☐ |
| Inscrire les traitements au registre | Oui (art. 30) | — | ☐ |
| Classifier le niveau de risque AI Act | — | Oui (art. 6) | ☐ |
| Identifier les bases légales | Oui (art. 6, 9) | — | ☐ |
| Croiser systèmes IA et traitements de données | Oui | Oui | ☐ |
| 3. Évaluation des risques | |||
| Réaliser l'AIPD | Oui (art. 35) | — | ☐ |
| Réaliser la FRIA (droits fondamentaux) | — | Oui (art. 27) | ☐ |
| Analyser les biais algorithmiques | Recommandé | Oui (art. 10) | ☐ |
| Évaluer la robustesse et la cybersécurité | Oui (art. 32) | Oui (art. 15) | ☐ |
| 4. Transparence et droits | |||
| Informer les personnes concernées | Oui (art. 13-14) | Oui (art. 50) | ☐ |
| Mettre en place le droit d'accès | Oui (art. 15) | — | ☐ |
| Mettre en place le droit à l'explication | Oui (art. 22) | Oui (art. 86) | ☐ |
| Mettre en place le droit de contestation | Oui (art. 22.3) | Oui (art. 14) | ☐ |
| Préparer la documentation technique | — | Oui (art. 11) | ☐ |
| 5. Données | |||
| Appliquer le principe de minimisation | Oui (art. 5.1.c) | — | ☐ |
| Assurer la qualité et la représentativité des données | Exactitude (art. 5.1.d) | Oui (art. 10) | ☐ |
| Documenter les arbitrages minimisation/qualité | Oui | Oui | ☐ |
| Encadrer les transferts internationaux | Oui (art. 44-49) | — | ☐ |
| 6. Contrôle et monitoring | |||
| Implémenter le contrôle humain | Intervention humaine (art. 22) | Oui (art. 14) | ☐ |
| Mettre en place le logging/journalisation | Traçabilité | Oui (art. 12) | ☐ |
| Planifier les audits réguliers | Oui | Oui | ☐ |
| Mettre en place la gestion des incidents | Oui (art. 33-34) | Oui | ☐ |
| Enregistrer le système dans la base de données UE | — | Oui (art. 49) | ☐ |
Le rôle du DPO dans la conformité AI Act
Le Délégué à la Protection des Données occupe une position stratégique dans la mise en œuvre de la double conformité RGPD intelligence artificielle. Si l'AI Act ne lui attribue pas formellement de rôle, l'imbrication étroite entre protection des données et gouvernance de l'IA fait du DPO un acteur incontournable de la conformité AI Act. Cette section explore les dimensions concrètes de cette implication.
Extension naturelle du mandat du DPO
Le DPO est déjà chargé de veiller à la conformité RGPD des traitements utilisant l'IA. À ce titre, il intervient dans l'évaluation des bases légales des traitements IA, la réalisation des AIPD pour les systèmes d'IA à risque élevé, le conseil sur les mesures de protection des données à intégrer dès la conception (privacy by design), et la gestion des demandes de droits des personnes affectées par des décisions algorithmiques. L'entrée en application de l'AI Act étend mécaniquement son périmètre d'intervention, car chaque obligation AI Act relative aux données (article 10), à la transparence (article 13) ou aux droits des personnes (article 86) a une dimension « données personnelles » qui relève de sa compétence.
Le DPO comme coordinateur de la conformité IA
Dans les organisations où il n'existe pas de « Chief AI Officer » ou de fonction dédiée à la gouvernance de l'IA, le DPO est souvent le mieux positionné pour assumer un rôle de coordination. Sa connaissance des processus de conformité, sa position d'indépendance (garantie par l'article 38 du RGPD) et son accès direct à la direction générale en font un pilier naturel de la gouvernance IA.
Toutefois, ce rôle élargi pose des questions de compétences et de ressources. Le DPO traditionnel, formé au droit des données personnelles, ne dispose pas nécessairement des compétences techniques nécessaires pour évaluer la robustesse d'un algorithme, analyser des métriques de biais ou comprendre les implications techniques des exigences de l'AI Act. Un investissement significatif en formation continue est nécessaire, de même qu'un renforcement des équipes par des profils techniques (data scientists, ingénieurs IA) capables de dialoguer avec les équipes de développement.
La question de l'indépendance
L'article 38.3 du RGPD garantit l'indépendance du DPO en interdisant au responsable de traitement de lui donner des instructions sur l'exercice de ses missions. Cette indépendance est un atout précieux dans le contexte de l'AI Act, car elle permet au DPO d'évaluer objectivement la conformité des systèmes d'IA sans pression commerciale. Toutefois, si le DPO assume simultanément un rôle opérationnel dans la gouvernance de l'IA (par exemple, la validation des déploiements de systèmes d'IA), un risque de conflit d'intérêts peut apparaître. La séparation entre le rôle de conseil/contrôle (fonction DPO) et le rôle opérationnel (fonction responsable IA) doit être clairement définie et documentée.
Collaboration avec les équipes techniques
La conformité AI Act exige une collaboration étroite entre le DPO et les équipes techniques (data science, ingénierie logicielle, sécurité informatique). Cette collaboration se manifeste à plusieurs niveaux. En phase de conception, le DPO participe aux revues de design pour s'assurer que les principes de protection des données sont intégrés dès l'architecture du système (privacy by design et AI by design). En phase de développement, il contribue à la définition des exigences de qualité des données, de traçabilité et d'explicabilité. En phase de déploiement, il valide la documentation technique et les mécanismes de gestion des droits. En phase d'exploitation, il participe au monitoring des incidents et à l'amélioration continue.
L'instauration de processus formels de collaboration — comités de gouvernance IA, revues de conformité conjointes, procédures d'escalade — est essentielle pour éviter les silos et garantir une approche cohérente de la conformité. Le DPO doit être systématiquement consulté avant tout déploiement d'un nouveau système d'IA traitant des données personnelles, comme le préconise l'approche de conformité RGPD appliquée aux modèles d'IA.
FAQ : conformité RGPD et AI Act
L'AI Act remplace-t-il le RGPD pour les systèmes d'intelligence artificielle ?
Non, l'AI Act ne remplace pas le RGPD. Les deux réglementations s'appliquent de manière cumulative et complémentaire. L'article 2.7 de l'AI Act précise explicitement que le règlement s'applique « sans préjudice » du RGPD, de la directive e-Privacy et des autres textes européens de protection des données. Concrètement, un système d'IA traitant des données personnelles doit respecter simultanément les exigences du RGPD (bases légales, droits des personnes, principes de traitement) et celles de l'AI Act (classification des risques, obligations techniques, documentation). En cas de conflit entre les deux textes, le RGPD prévaut pour les questions relatives à la protection des données personnelles, sauf disposition spécifique contraire de l'AI Act (comme l'article 10.5 sur le traitement de données sensibles pour la détection de biais).
Mon entreprise utilise ChatGPT en interne : quelles obligations cumulées ?
L'utilisation de ChatGPT (ou de tout autre service d'IA générative) en contexte professionnel implique des obligations au titre des deux réglementations. Au titre du RGPD : identification de la base légale pour les traitements de données dans les prompts, information des personnes dont les données sont saisies, contrat de sous-traitance avec OpenAI, vérification de la conformité des transferts vers les États-Unis (certification DPF d'OpenAI), et mise en place d'une politique d'usage interdisant la saisie de données sensibles. Au titre de l'AI Act : ChatGPT est un modèle d'IA à usage général (GPAI) soumis aux obligations de transparence depuis août 2025. En tant que déployeur, votre entreprise doit s'assurer de la conformité du fournisseur et mettre en œuvre les obligations de transparence vis-à-vis des utilisateurs (informer qu'ils interagissent avec un système d'IA). Si ChatGPT est utilisé dans un contexte classé « haut risque » (recrutement, scoring), les obligations renforcées du chapitre III s'appliquent en sus.
Faut-il réaliser deux évaluations d'impact distinctes (AIPD et FRIA) ?
Non, l'article 27.4 de l'AI Act prévoit explicitement que l'évaluation d'impact sur les droits fondamentaux (FRIA) peut être intégrée à l'AIPD du RGPD. Une évaluation d'impact unique est recommandée, à condition qu'elle couvre l'ensemble des dimensions requises par les deux textes. L'AIPD se concentre sur les risques pour les droits et libertés liés au traitement de données personnelles, tandis que la FRIA couvre un spectre plus large de droits fondamentaux et des dimensions techniques (robustesse, biais, cybersécurité). En pratique, l'approche intégrée consiste à utiliser la méthodologie AIPD de la CNIL comme base et à l'enrichir avec les dimensions spécifiques de l'AI Act : analyse des biais, évaluation de la robustesse technique, documentation des mesures de contrôle humain et analyse de l'impact environnemental.
Un système d'IA à « risque minimal » au sens de l'AI Act est-il exempté du RGPD ?
Absolument pas. La classification AI Act ne modifie en rien les obligations RGPD. Un système d'IA classé « risque minimal » (par exemple, un filtre anti-spam ou un système de recommandation) est exempté des obligations spécifiques de l'AI Act, mais reste pleinement soumis au RGPD s'il traite des données personnelles. Inversement, un système d'IA classé « haut risque » qui ne traite pas de données personnelles (par exemple, un système de maintenance prédictive industrielle utilisant uniquement des données de capteurs) est soumis aux obligations AI Act mais pas au RGPD. Les deux réglementations sont indépendantes dans leurs critères d'application et complémentaires dans leurs obligations.
Comment gérer le droit à l'effacement pour un modèle d'IA déjà entraîné ?
Le droit à l'effacement (article 17 RGPD) soulève des difficultés techniques spécifiques pour les modèles d'IA. Lorsque des données personnelles ont été utilisées pour l'entraînement d'un modèle, les paramètres du modèle intègrent une forme agrégée et non réversible de ces données. Le « désapprentissage » (machine unlearning) est techniquement possible dans certains cas mais reste coûteux et imparfait. L'approche pragmatique recommandée consiste à supprimer les données personnelles des jeux de données d'entraînement stockés (base de données, fichiers), à documenter l'impossibilité technique de les extraire des paramètres du modèle, à mettre en œuvre des mesures compensatoires (filtrage des outputs pour éviter la restitution de données personnelles), et à informer la personne des mesures effectivement prises. L'AI Act n'aggrave pas cette difficulté mais impose de conserver la documentation technique (qui peut contenir des références aux données d'entraînement) pendant dix ans.
Quelle est la sanction maximale en cas de violation simultanée du RGPD et de l'AI Act ?
L'article 99.5 de l'AI Act prévoit un mécanisme de coordination des sanctions pour éviter les doubles peines disproportionnées. Le montant cumulé des amendes prononcées au titre des deux règlements ne peut dépasser le plafond le plus élevé applicable. En théorie, le plafond maximal est celui de l'AI Act pour les violations des interdictions : 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Pour les violations des obligations techniques (systèmes à haut risque), le plafond combiné serait de 20 millions d'euros ou 4 % du chiffre d'affaires mondial (plafond RGPD, supérieur au plafond AI Act de 15 millions/3 %). Au-delà des amendes, les deux réglementations prévoient des mesures correctrices pouvant avoir un impact opérationnel majeur : interdiction de traitement (RGPD) et retrait du marché (AI Act).
Les PME sont-elles soumises aux mêmes obligations que les grandes entreprises ?
Le RGPD s'applique de manière uniforme quelle que soit la taille de l'organisation, avec quelques aménagements pratiques (registre simplifié pour les organisations de moins de 250 salariés, dans certaines conditions). L'AI Act prévoit des dispositions spécifiques pour les PME et les startups : bacs à sable réglementaires (article 57) permettant de tester des systèmes d'IA innovants dans un cadre supervisé, plafonds d'amendes adaptés (montant fixe ou pourcentage du chiffre d'affaires, le plus bas étant retenu), accès prioritaire aux bacs à sable pour les petites entreprises, et simplification des procédures de conformité lorsque cela est proportionné. Toutefois, les obligations substantielles relatives aux systèmes à haut risque s'appliquent intégralement, quelle que soit la taille du fournisseur ou du déployeur. Une PME qui développe un système de scoring crédit est soumise aux mêmes exigences techniques qu'une grande banque.
Comment articuler le rôle du DPO et celui du responsable IA dans l'organisation ?
Trois modèles d'organisation sont possibles. Le modèle « DPO élargi » convient aux PME et aux organisations ayant un usage limité de l'IA : le DPO assume la responsabilité de la conformité AI Act en complément de ses missions RGPD, avec un renforcement de ses compétences techniques et de ses ressources. Le modèle « coordination formalisée » est adapté aux grandes organisations : un responsable IA dédié est nommé, avec un protocole de collaboration formalisé avec le DPO (comité de gouvernance commun, processus de consultation systématique, partage de documentation). Le modèle « équipe intégrée » convient aux organisations fortement exposées aux risques IA : une équipe pluridisciplinaire « données et IA » regroupe les compétences juridiques, techniques et éthiques, sous la supervision d'un responsable unique rattaché à la direction générale. Dans tous les cas, il est essentiel de préserver l'indépendance du DPO garantie par l'article 38 du RGPD et d'éviter les conflits d'intérêts entre les fonctions de conseil/contrôle et les fonctions opérationnelles.
Conclusion
La conformité RGPD AI Act n'est pas un simple exercice de conformité additive — c'est une transformation profonde de la gouvernance du numérique en entreprise. Les organisations qui réussiront cette transition seront celles qui auront compris que le RGPD et l'AI Act forment un écosystème réglementaire cohérent dont les principes fondamentaux convergent : transparence, responsabilité, protection des droits fondamentaux et gouvernance rigoureuse des technologies.
L'approche la plus efficace consiste à construire un programme de conformité intégré qui mutualise les efforts plutôt que de les dupliquer. L'évaluation d'impact conjointe AIPD/FRIA, le référentiel documentaire unifié, la gouvernance coordonnée entre DPO et responsable IA, et les processus opérationnels communs (gestion des droits, monitoring, gestion des incidents) permettent de rationaliser les coûts tout en élevant le niveau global de conformité.
L'échéance du 2 août 2026 pour les systèmes à haut risque impose un calendrier de mise en conformité serré. Les organisations qui n'ont pas encore engagé leur démarche doivent prioriser trois actions immédiates : l'inventaire exhaustif de leurs systèmes d'IA, la classification des risques AI Act pour chaque système, et la réalisation des évaluations d'impact conjointes pour les systèmes à haut risque. Ces trois chantiers fondamentaux conditionnent l'ensemble de la stratégie de conformité.
Au-delà de la conformité réglementaire, la double conformité RGPD intelligence artificielle représente une opportunité stratégique. Les organisations qui démontrent une maîtrise rigoureuse de la gouvernance de leurs systèmes d'IA construisent un avantage concurrentiel durable fondé sur la confiance. Dans un contexte où les consommateurs et les partenaires commerciaux sont de plus en plus sensibles aux enjeux éthiques et réglementaires de l'IA, la conformité devient un différenciateur de marché. Appuyée sur un cadre structurant comme celui de l'AI Act 2026 et articulée avec les principes éprouvés du RGPD, cette démarche intégrée de conformité prépare les entreprises européennes à exploiter le potentiel transformateur de l'intelligence artificielle dans un cadre de confiance qui bénéficie à toutes les parties prenantes.
Le chantier est vaste, les délais sont serrés, mais les outils méthodologiques et technologiques existent. L'enjeu n'est plus de savoir si la double conformité est nécessaire — elle l'est, et le régime de sanctions le confirme —, mais de déterminer comment la mettre en œuvre de manière pragmatique, proportionnée et durable. Les dix étapes du framework proposé dans cet article constituent une feuille de route opérationnelle qui peut être adaptée à la taille, au secteur et à la maturité de chaque organisation. La conformité n'est pas une destination mais un voyage continu, et ce voyage commence maintenant.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
ISO 42001 : Guide Complet du Système de Management de l'Intelligence Artificielle
Guide complet ISO 42001 : architecture du SMIA, 38 contrôles Annexe A, évaluation d'impact IA, roadmap d'implémentation 12 mois, comparaison AI Act. Modèles gratuits inclus.
SOA ISO 27001 : Statement of Applicability Complet
Feuille de Route ISO 27001 : Certification en 12 Étapes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire