AI Act et RGPD : le plan de double conformite que chaque DPO doit avoir en 2026
Le Reglement (UE) 2024/1689, dit AI Act, s applique en parallele du RGPD depuis le 2 fevrier 2025 pour les obligations de formation IA (Article 4) et depuis le 2 aout 2025 pour les fournisseurs de modeles GPAI. Les deux textes sont cumulatifs : un systeme IA traitant des donnees personnelles doit respecter le RGPD ET l AI Act simultanement. Les sanctions peuvent se cumuler - jusqu a 35 millions d euros ou 7 % du chiffre d affaires mondial pour l AI Act, 20 millions ou 4 % pour le RGPD. Les DPO sont en premiere ligne pour piloter cette double conformite.
La question revient dans chaque formation qu on anime : on a deja le RGPD, c est quoi l AI Act en plus ? La reponse courte : beaucoup de choses. La reponse utile : voici exactement ce qui change pour vous, en tant que DPO ou responsable conformite, et comment l organiser.
Deux textes qui s appliquent au meme systeme IA
Prenons un cas concret que beaucoup de DPO ont deja sur leur bureau : un systeme de scoring automatique de CV utilise par les RH. Ce systeme traite des donnees personnelles de candidats - RGPD. Il prend des decisions qui affectent l acces a l emploi - AI Act, Annexe III, categorie haut risque.
Les deux textes s appliquent en meme temps. Le RGPD regit la facon dont les donnees sont collectees, stockees, traitees. L AI Act regit la gouvernance du systeme IA lui-meme : documentation technique, supervision humaine, information des personnes concernees, gestion des risques. Ce n est pas l un ou l autre - c est les deux.
Le Reglement (UE) 2024/1689 ne remplace aucune obligation RGPD existante. Le considerant 9 de l AI Act le dit explicitement : il s applique sans prejudice des dispositions du reglement (UE) 2016/679. En clair : vous ne pouvez pas invoquer l AI Act pour vous exonerer d une obligation RGPD.
L AI Act couvre aussi des systemes IA qui ne traitent aucune donnee personnelle. Un systeme de detection de defauts industriels par vision artificielle, un outil de simulation financiere, une IA de maintenance predictive - aucune donnee personnelle, mais l AI Act peut s appliquer. Le perimetre DPO ne suffit pas a cartographier le perimetre AI Act.
Ce que l Article 22 RGPD et l Article 14 AI Act ont en commun - et ce qui les distingue
C est la zone de superposition la plus frequente et la plus delicate pour les DPO.
L Article 22 du RGPD interdit les decisions basees exclusivement sur un traitement automatise qui produit des effets juridiques significatifs ou affecte de maniere significative une personne. Exemples : refus de credit automatique, rejet de candidature sans intervention humaine, calcul automatique de loyer.
L Article 14 de l AI Act impose, pour les systemes haut risque (Annexe III), une supervision humaine effective. Pas seulement un bouton valider que personne n utilise vraiment - une revue reelle, par une personne formee, qui comprend ce que le systeme fait et ses limites.
La difference fondamentale : l Article 22 RGPD est un droit de la personne concernee (elle peut s y opposer). L Article 14 AI Act est une obligation organisationnelle du deployer (vous devez le mettre en place, meme si la personne ne s oppose pas). Les deux s appliquent simultanement quand le systeme traite des donnees personnelles dans les domaines de l Annexe III.
En pratique : votre clause RGPD droit a l intervention humaine ne suffit pas a remplir l obligation AI Act. Il faut documenter la supervision humaine, former les operateurs et tenir un registre.
Obligations cumulees : ce que chaque texte exige sur les memes sujets
| Sujet | RGPD | AI Act |
|---|---|---|
| Information des personnes | Articles 13-14 : informations sur le traitement automatise | Article 13 haut risque : information sur les capacites et limites du systeme ; Article 50 risque limite : declaration que l utilisateur interagit avec une IA |
| Intervention humaine | Article 22 : droit a ne pas faire l objet d une decision purement automatisee | Article 14 : obligation de supervision humaine effective sur les systemes haut risque |
| Registre et documentation | Article 30 : registre des activites de traitement | Article 11 : documentation technique ; Article 18 : journaux de fonctionnement haut risque |
| Analyse de risque | Article 35 : AIPD pour les traitements a risque eleve | Article 9 : systeme de gestion des risques pour les systemes haut risque |
| Sous-traitants et fournisseurs | Article 28 : contrat DPA avec les sous-traitants | Articles 25-27 : obligations entre fournisseurs et deployers ; Article 25 : due diligence |
| Formation des equipes | Obligation generale de sensibilisation Article 39 | Article 4 : obligation specifique de formation IA (AI Literacy), en vigueur depuis fevrier 2025 |
| Exercice des droits | Articles 15-22 : acces, rectification, effacement, portabilite | Article 68 : droit de reclamation aupres des autorites de surveillance IA |
Ce tableau illustre une realite pratique : sur chaque sujet, les deux textes s appliquent avec des exigences distinctes. Il ne s agit pas de faire l un puis l autre - il faut integrer les deux dans les memes processus.
Vous etes DPO et vous gerez la conformite AI Act ?
Notre formation conformite AI Act en deux jours est specifiquement concue pour les DPO, juristes et responsables conformite. Programme, livrables, financement OPCO.
Demander un devis formationLe role du DPO face a l AI Act : ce qui change concretement
L AI Act ne designe pas le DPO comme responsable de la conformite IA. Il impose des obligations a l operateur - terme qui designe l ensemble deployer + fournisseur selon les cas. En pratique, dans la plupart des organisations, c est le DPO qui se retrouve en charge, par defaut ou par delegation.
Ce que ca change dans votre quotidien :
- La cartographie RGPD (registre Article 30) ne couvre pas tous les systemes IA a risque. Un systeme IA sans donnees personnelles peut etre haut risque AI Act. Vous devez etendre votre perimetre de cartographie.
- Les AIPD que vous avez deja pour les traitements IA doivent etre completees par une analyse de risque AI Act (Article 9). Ce sont deux exercices distincts avec des criteres differents.
- Les contrats DPA que vous gerez doivent etre completes par des clauses AI Act pour les fournisseurs de systemes IA : responsabilites, documentation technique, acces aux journaux.
- Votre programme de sensibilisation RGPD ne suffit pas pour l Article 4. La formation AI Literacy a un contenu specifique : fonctionnement des IA, biais algorithmiques, niveaux de risque, bonnes pratiques d usage. C est une nouvelle formation, pas une mise a jour de la sensibilisation RGPD.
La question qu on nous pose souvent en formation : est-ce que le DPO doit devenir expert en IA ? Non. Mais il doit comprendre les systemes IA de son organisation suffisamment pour evaluer les risques, piloter les fournisseurs et documenter la conformite. C est un nouveau domaine de competence, pas une nouvelle profession.
Plan d action double conformite : les 6 etapes prioritaires
D apres notre experience des audits et des accompagnements, voici la sequence qui fonctionne.
Etape 1 - Cartographier tous les usages IA. Aller au-dela du registre RGPD. Interroger les metiers, les achats, les DSI. Un usage IA non cartographie est un risque non maitrise. Inclure les usages informels (ChatGPT personnel, Copilot non supervise). La methode questionnaire metier avec 5 questions simples permet de couvrir 80 % des usages en 2 semaines.
Etape 2 - Classifier chaque systeme IA par niveau de risque AI Act. Risque inacceptable (interdit), haut risque Annexe III, risque limite (transparence Article 50), risque minimal. Pour chaque systeme haut risque : verifier si l Annexe III s applique, si des donnees personnelles sont impliquees, et si une AIPD est deja existante ou necessaire.
Etape 3 - Auditer les obligations cumulees sur les systemes haut risque. Pour chaque systeme Annexe III avec donnees personnelles : verifier Article 22 RGPD, Article 14 AI Act (supervision humaine), Article 13 AI Act (information), documentation technique et journaux de fonctionnement.
Etape 4 - Mettre a jour les contrats fournisseurs. Ajouter les clauses AI Act dans les contrats avec les editeurs de logiciels IA. Minimum : acces a la documentation technique, garantie de conformite Article 9 et 11, modalites d information en cas d incident. Le fournisseur CE doit fournir la declaration de conformite AI Act.
Etape 5 - Lancer la formation AI Literacy (Article 4). Obligation en vigueur depuis le 2 fevrier 2025. Documenter les formations effectuees, les profils formes, le niveau de contenu. Pas de format impose - le reglement dit niveau suffisant de maitrise en fonction du role. Un DPO ou un juriste a besoin d un niveau plus technique qu un collaborateur utilisateur. Voir notre page sur la formation AI Literacy.
Etape 6 - Documenter et reporter en interne. Creer un registre AI Act distinct du registre RGPD (ou une extension structuree). Presenter le bilan a la direction : quels systemes, quel niveau de risque, quel ecart avec les obligations, quel plan correctif, quel budget estime.
Les etapes 1 et 2 (cartographie + classification) se font en 2 a 4 semaines avec une methode structuree. La plupart des organisations ont moins de 10 systemes IA reellement haut risque. Concentrer les efforts la ou le risque est reel. Notre guide audit AI Act detaille la methode en 5 etapes.
Ce que l Article 4 AI Act exige au-dela de la formation RGPD existante
L Article 4 du Reglement (UE) 2024/1689 impose a tout deployer de systeme IA de garantir un niveau suffisant de maitrise de l intelligence artificielle pour les personnes qui utilisent ou exploitent des systemes d IA. Cette obligation est distincte, specifique, et en vigueur depuis le 2 fevrier 2025.
Ce que la formation AI Literacy doit couvrir - et que la formation RGPD ne couvre pas :
- Fonctionnement technique minimal des principaux types de systemes IA (apprentissage automatique, LLM, vision par ordinateur) - pas de mathematiques, mais une comprehension conceptuelle
- Notion de biais algorithmique et consequences pratiques pour les usages metier
- Niveaux de risque AI Act : comment identifier si un outil entre dans une categorie reglementee
- Bonnes pratiques d usage : validation des sorties, limites de l IA generative, hallucinations, donnees confidentielles
- Obligations specifiques au role : un DPO ou un responsable RH qui utilise un ATS IA a des obligations plus specifiques qu un collaborateur utilisant ChatGPT en interne
La formation RGPD couvre la protection des donnees, pas ces sujets. Former vos equipes au RGPD ne remplit pas l obligation Article 4. Ce sont deux programmes distincts.
Pour les DPO et responsables conformite, notre formation conformite AI Act de deux jours integre les deux dimensions : RGPD + AI Act en articulation. Programme, livrables et financement disponibles sur la page formation.
Questions frequentes sur la double conformite AI Act - RGPD
Le DPO est-il competent pour piloter la conformite AI Act ?
Oui, dans la plupart des organisations. Le DPO a deja les reflexes conformite, connait les processus de traitement de donnees et interagit avec les metiers. Mais l AI Act couvre aussi des systemes sans donnees personnelles : il peut avoir besoin d un appui technique ou juridique complementaire. Voir notre page sur les obligations AI Act.
RGPD et AI Act peuvent-ils s appliquer simultanement a un meme systeme IA ?
Oui. Un systeme IA qui traite des donnees personnelles est soumis aux deux textes en meme temps. Le RGPD couvre la protection des donnees, l AI Act couvre la gouvernance du systeme IA lui-meme. Les deux regimes sont cumulatifs, pas alternatifs. Consultez notre page AI Act vs RGPD pour le detail des differences.
L Article 22 RGPD est-il remplace par l AI Act ?
Non. L Article 22 RGPD reste pleinement en vigueur. Il interdit les decisions automatisees produisant des effets juridiques significatifs sans intervention humaine. L AI Act ajoute des obligations supplementaires pour les systemes haut risque, notamment la supervision humaine de l Article 14. Les deux coexistent.
Faut-il une formation distincte AI Act pour les equipes deja formees RGPD ?
Oui. La formation RGPD ne couvre pas l AI Act. L Article 4 du Reglement UE 2024/1689 impose une formation IA specifique pour les personnes qui utilisent ou deploient des systemes d IA. Le contenu, les notions et les obligations sont distincts du RGPD. Voir notre page formation.
Quelles sanctions l AI Act prevoit-il par rapport au RGPD ?
L AI Act prevoit des sanctions jusqu a 35 millions d euros ou 7 % du chiffre d affaires mondial pour les pratiques interdites (contre 20 millions ou 4 % pour le RGPD). Pour les systemes haut risque, la sanction est de 15 millions ou 3 %. Les deux amendes peuvent se cumuler si les deux textes sont violes. Detail sur notre page sanctions AI Act.
Vous pilotez la conformite AI Act dans votre organisation ?
Formation conformite AI Act en deux jours pour DPO, juristes et responsables conformite. Programme complet : RGPD + AI Act en articulation, niveaux de risque, documentation, plan d action. Financement OPCO possible.
Demander un devis gratuit