AI Act vs RGPD : deux reglementations complementaires, pas contradictoires
L AI Act ne remplace pas le RGPD. Les deux textes coexistent et s appliquent souvent simultanement. Comprendre leur articulation est essentiel pour batir une conformite globale et eviter les chevauchements.
Tableau comparatif
| Critere | RGPD | AI Act |
|---|---|---|
| Annee d adoption | 2016 | 2024 |
| Reference | Reglement UE 2016/679 | Reglement UE 2024/1689 |
| Objet | Protection des donnees personnelles | Regulation des systemes d IA |
| Approche | Risque-based sur la donnee | Risque-based sur le systeme |
| Champ d application | Tout traitement de donnees personnelles | Tout systeme d IA mis sur le marche UE |
| Acteurs | Responsable de traitement, sous-traitant | Fournisseur, deployeur, importateur, distributeur |
| Sanctions max | 20 millions d euros ou 4 pourcent du CA | 35 millions d euros ou 7 pourcent du CA |
| Autorite France | CNIL | CNIL, DGCCRF, Arcom (selon sujet) |
| Application | Depuis 2018 | Progressive 2024-2027 |
Quand les deux s appliquent simultanement
La majorite des cas reels combinent RGPD et AI Act :
- Un chatbot qui collecte des donnees clients : RGPD (donnees personnelles) + AI Act (transparence Article 50 + AI Literacy).
- Un ATS qui score des CV : RGPD (donnees candidats) + AI Act (haut risque Annexe III + supervision humaine).
- Un systeme de scoring credit : RGPD (donnees clients) + AI Act (haut risque) + Article 22 RGPD (decision automatisee).
- ChatGPT en interne : RGPD (donnees envoyees au modele) + AI Act (Article 4 formation).
Le DPO : un nouveau role pour l AI Act
Le Data Protection Officer instaure par le RGPD est naturellement candidat au pilotage de la conformite AI Act. Plusieurs raisons :
- Connaissance approfondie de la reglementation europeenne.
- Habitude de l analyse d impact (DPIA), transferable a l analyse d impact sur les droits fondamentaux.
- Lien etabli avec les directions et les equipes techniques.
- Independance et capacite d alerter la direction.
De nombreuses entreprises font evoluer leur DPO vers un role hybride DPO + responsable conformite IA. Cette double casquette necessite une formation specifique a l AI Act. Voir nos formations AI Act.
Articulation pratique : ne pas dupliquer les efforts
De nombreuses obligations RGPD et AI Act se recoupent. Pour une demarche efficace :
- Mutualiser les analyses d impact : DPIA RGPD et analyse d impact sur les droits fondamentaux peuvent etre conduites conjointement.
- Partager les registres : ajoutez une colonne IA a votre registre RGPD existant.
- Reutiliser la gouvernance : votre comite RGPD peut devenir comite RGPD/IA.
- Capitaliser sur la formation : votre programme de sensibilisation RGPD peut accueillir un module AI Act.
ISO 27001 et ISO 42001 comme socle commun
Deux normes ISO peuvent servir de socle pour une conformite combinee :
- ISO 27001 : systeme de management de la securite de l information. Reference pour la securite des donnees, complementaire au RGPD et aux exigences cyber de l AI Act.
- ISO 42001 : systeme de management de l intelligence artificielle. Premiere norme dediee a la gouvernance IA, parfaitement alignee avec l AI Act.
Ces normes ne sont pas obligatoires mais peuvent etre invoquees comme presomption de conformite.
L Article 22 RGPD reste applicable
L Article 22 du RGPD interdit les decisions entierement automatisees ayant un effet juridique ou significatif sur la personne, sauf consentement explicite, execution d un contrat ou autorisation legale. Cet article reste pleinement applicable et se cumule avec les obligations de l AI Act sur les systemes haut risque.
Pour aller plus loin, consultez le guide complet AI Act, notre page obligations AI Act ou nos formations dediees.