Cabinet stratégie IA · France
CONFORMITÉ 10 min de lecture

AI Act vs RGPD
ce qui change vraiment pour votre stack IA

L'AI Act est nouveau. Le RGPD existe depuis 2018. Les deux s'appliquent à votre stack IA simultanément, parfois ils se complètent, parfois ils se chevauchent. Voici comment ça s'articule en pratique pour une PME.

Le malentendu fondateur

"On est déjà en règle RGPD, donc on est tranquille pour l'AI Act, non ?" Cette phrase est le malentendu numéro 1 que je rencontre en audit. Réponse courte : non. Le RGPD et l'AI Act sont deux régulations distinctes qui se cumulent. Être conforme à l'une ne donne aucune garantie sur l'autre.

Le RGPD existe depuis mai 2018. Il régule la collecte, le traitement, la conservation et l'usage des données à caractère personnel. L'AI Act, applicable depuis août 2026 pour les obligations de transparence (art. 50) et août 2027 pour le haut risque (Annex III), régule la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle, indépendamment du fait qu'ils traitent ou non des données personnelles.

Deux périmètres différents

Pour bien comprendre l'articulation, il faut visualiser les deux périmètres comme deux cercles qui se chevauchent partiellement.

  • Périmètre RGPD : tout traitement de données personnelles, qu'il soit fait par un humain (Excel, fiche papier) ou par une machine (logiciel CRM, base SQL, IA). Si vous traitez le nom et l'email d'un client dans un fichier Excel, vous êtes RGPD. L'IA n'a rien à voir.
  • Périmètre AI Act : tout système IA mis sur le marché ou utilisé dans l'UE, qu'il traite ou non des données personnelles. Si vous utilisez Claude pour générer un texte fictif sans aucune donnée client, vous êtes AI Act (article 50, mention IA obligatoire). Le RGPD n'a rien à voir.

L'intersection des deux, c'est la zone qui concentre le plus de PME : un système IA qui traite des données personnelles. Exemples :

  • Tri de CV par IA (RGPD : données candidats / AI Act : système haut risque RH).
  • Chatbot client qui collecte des emails (RGPD : données client / AI Act : transparence art. 50).
  • Scoring d'éligibilité crédit (RGPD : décision automatisée art. 22 / AI Act : haut risque Annex III).

Qui prime en cas de conflit ?

Personne. Le législateur européen a explicitement écrit que l'AI Act complète le RGPD sans le remplacer (considérant 9 du règlement AI Act). Concrètement, en cas de doute sur une obligation, vous appliquez la règle la plus stricte des deux.

Exemple : pour un tri de CV par IA, le RGPD article 22 vous oblige à proposer une revue 100% humaine sur demande du candidat. L'AI Act article 14 vous oblige à mettre en place une supervision humaine effective (validation systématique avant décision). Vous appliquez les deux : supervision humaine systématique et droit de revue 100% humaine sur demande.

Le "quoi" vs le "comment"

La meilleure manière mentale d'articuler les deux régulations :

  • Le RGPD répond au "quoi" : quelles données traitez-vous ? Sur quelle base légale ? Combien de temps conservées ? Pour quelles finalités ? Vers quels sous-traitants ? Avec quels droits utilisateur (accès, rectification, suppression, opposition, portabilité) ?
  • L'AI Act répond au "comment" : quel système IA est utilisé ? Quelle classification de risque ? Quelle transparence affichée à l'utilisateur ? Quelle supervision humaine ? Quelle traçabilité des décisions ? Quels garde-fous en cas de dérive ?

Cette grille de lecture permet de structurer un audit conformité sans avoir à choisir l'un ou l'autre.

Deux registres, mais croisés

Côté documentation, l'erreur la plus fréquente est de tenir un seul registre fourre-tout. Les deux régulations exigent des registres formellement séparés :

  • Registre RGPD article 30 : tient la liste des traitements de données personnelles. Champs typiques : finalité, catégories de données, catégories de personnes concernées, destinataires, durée de conservation, mesures de sécurité.
  • Registre AI Act article 50 (et obligations Annex III) : tient la liste des systèmes IA utilisés. Champs typiques : finalité, fournisseur du système, classification de risque, mesures de transparence, supervision humaine, journalisation des décisions.

Pour les systèmes qui croisent les deux régulations (la majorité), vous tenez les deux registres avec une référence croisée. Exemple : dans le registre RGPD, le traitement "Tri CV automatisé" pointe vers le système AI Act "Système IA tri CV cabinet recrutement Acme". Et inversement.

Les 5 erreurs les plus fréquentes

  1. Penser que la conformité RGPD suffit. Faux. Vous êtes conforme RGPD, vous pouvez quand même prendre une amende AI Act parce que vous n'avez pas affiché la mention IA sur votre chatbot.
  2. Penser que l'AI Act ne s'applique pas si pas de données personnelles. Faux. Un générateur d'images IA pour créer des illustrations marketing tombe sous l'art. 50 (mention IA obligatoire) même sans aucune donnée personnelle.
  3. Confondre DPIA (RGPD) et évaluation de conformité (AI Act). La DPIA évalue les risques pour les personnes concernées par le traitement. L'évaluation AI Act évalue les risques propres au système IA (biais, dérive, hallucinations, manipulation). Les deux peuvent s'imbriquer mais ne se substituent pas.
  4. Avoir un seul DPO qui gère les deux. Le DPO (RGPD) est obligatoire dans certains cas, qualifié juridique. L'AI Act ne crée pas un "AIO" obligatoire mais demande des compétences techniques. Une seule personne pour les deux est possible mais rare en pratique.
  5. Penser que les deux registres peuvent être fusionnés. Pour des raisons d'audit (CNIL vs autorité IA), il vaut mieux les garder formellement séparés même si on les tient dans le même outil.

Stratégie de mise en conformité unifiée pour PME

En pratique, voici comment je recommande de procéder pour une PME qui démarre à zéro :

  1. Inventaire technique : lister tous les systèmes IA utilisés (chatbots, outils SaaS avec IA intégrée, n8n avec nodes IA, scripts internes).
  2. Inventaire des données : pour chaque système IA identifié, lister les données (personnelles ou non) qui y transitent.
  3. Classification AI Act : risque inacceptable / haut / limité / minimal pour chaque système.
  4. Évaluation RGPD parallèle : si le système traite des données personnelles, ajouter au registre RGPD avec base légale, durée, etc.
  5. Mesures techniques croisées : pour chaque système, lister les mesures qui répondent aux deux régulations (anonymisation = RGPD, supervision humaine = AI Act, par exemple).
  6. Documents prêts à publier : politique de confidentialité (RGPD), page de transparence IA (AI Act art. 50), mentions sur les chatbots et contenus générés.
  7. Plan d'évolution : pour les non-conformités détectées, plan d'action priorisé avec budget et délai.

Le coût d'une conformité unifiée

Pour une PME française de 15 à 50 personnes utilisant l'IA (ChatGPT, Copilot, n8n, agents) sans système haut risque, je vois en moyenne :

  • Audit initial unifié RGPD + AI Act : 4 000 à 8 000 € HT.
  • Mise en conformité technique (mentions, registres, journalisation) : 3 000 à 8 000 € HT.
  • Maintien annuel : 1 500 à 4 000 € HT (mise à jour registres + nouveaux systèmes).

Pour une PME avec système haut risque (RH, scoring, biométrie), compter 50% à 100% de plus selon la complexité. Le poste le plus lourd est la DPIA croisée (RGPD + AI Act art. 27 pour le déployeur).

Pour aller plus loin : hub conformité AI Act + RGPD et 3 forfaits d'audit publics.

QUESTIONS FRÉQUENTES

Questions fréquentes.

Si je suis déjà conforme RGPD, quel travail supplémentaire pour l'AI Act ?

Comptez 30 à 60% du travail RGPD initial supplémentaire pour l'AI Act, selon votre stack. La bonne nouvelle : beaucoup d'éléments RGPD (registre des traitements, DPA fournisseurs, politique de confidentialité) sont réutilisables. Vous ajoutez : un registre des systèmes IA (art. 50), des mentions IA sur vos chatbots et contenus générés, une page de transparence publique, et la documentation supervision humaine pour les systèmes haut risque.

Le DPO peut-il prendre en charge la conformité AI Act ?

Oui en principe, mais deux conditions. 1) Il doit avoir des compétences techniques minimum (comprendre ce qu'est un LLM, un agent, une classification Annex III). Beaucoup de DPO juridiques pures n'ont pas ça en 2026. 2) Il doit avoir le temps : la conformité AI Act ajoute une charge non négligeable (audit annuel, mise à jour registre, formation équipes). Pour les PME, un binôme DPO + référent technique IA fonctionne mieux.

Mes fournisseurs IA (Anthropic, OpenAI, Mistral) sont-ils 'conformes' AI Act ? Suffisant pour moi ?

Les fournisseurs ont leurs propres obligations en tant que providers (transparence sur les modèles, documentation technique, opt-out d'entraînement). Mais en tant que deployer, vous avez vos propres obligations indépendantes. Vous restez responsable pour : registre, mentions IA, supervision humaine, information utilisateurs, journalisation. Le fait que Anthropic soit conforme ne vous exonère de rien.

Qui sanctionne si je manque à l'AI Act ? CNIL ou autre ?

En France, l'autorité compétente pour l'AI Act n'est pas encore définitivement désignée (mi-2026). Plusieurs candidates : CNIL, ARCEP, ANSSI, ou une nouvelle autorité dédiée. Pour les sanctions transversales données personnelles + IA (ex : tri CV), la CNIL reste compétente sur le volet RGPD. La coordination entre autorités sera précisée par décret. En attendant : documenter la conformité auprès de la CNIL est le plus prudent.

Peut-on être conforme AI Act sans être conforme RGPD ?

Théoriquement oui, si votre système IA ne traite aucune donnée personnelle (ex : générateur d'images pour de la fiction pure, optimisation logistique sans données personnes). Mais en pratique pour une PME, c'est très rare : presque tous les usages IA business croisent des données personnelles à un moment. Donc dans 95% des cas, vous devez être conforme aux deux.

Quel ordre de priorité : RGPD d'abord puis AI Act, ou les deux en même temps ?

Si vous êtes déjà bien avancé RGPD, traitez l'AI Act en complément. Si vous démarrez à zéro sur les deux, faites-les en même temps avec un audit unifié : c'est 30 à 50% moins cher que deux audits séparés et ça évite les contradictions documentaires. C'est précisément ce que fait notre audit conformité IA Act + RGPD.

🛠️ Outils gratuits pour passer à l'action

Avant d'attaquer un audit payant, évaluez-vous gratuitement avec ces outils interactifs sans email-gate.

AI ACT · 5 MIN

Calculateur risque AI Act

10 questions, score sur 100 + classification (minimal / limité / haut risque). Sans email.

 CHECKLIST · 15 MIN

Checklist IA Act 35 points

Cases à cocher persistantes : auto-évaluation, registre, transparence, sous-traitants. Imprimable.

 TEMPLATE

Template registre AI Act

Mini-éditeur interactif, 13 champs par système. Export JSON, Markdown, PDF.

📚 POUR APPROFONDIR · COURS GRATUIT · 8 chapitres

IA Act 2026 pour TPE-PME

4 classes de risque, calendrier, registre, sanctions, bonnes pratiques. Conformité opérationnelle.

Suivre le cours →
POUR ALLER PLUS LOIN

Conformité IA Act + RGPD : nos ressources dédiées

⭐ COMMENCER ICI · GRATUIT

Calculateur risque AI Act

10 questions, 5 min. Score sur 100 + classification (minimal / limité / haut). Sans email.

GRATUIT · 5 MIN

Audit-flash RGPD

25 questions, score sur 100, plan d'action priorisé selon votre niveau actuel. Sans email.

HUB COMPLET

Hub conformité IA Act + RGPD

Articles, méthodologie, ressources gratuites (registre, checklist), 3 forfaits d'audit.

AUDIT PROFESSIONNEL

Audit conformité IA Act

3 forfaits publics : 1 500 € (1j), 6 000 € (4j), 10 500 € (7j). Inventaire + classification + plan d'action.

CHECKLIST 35 POINTS

IA Act pour TPE-PME

35 cases à cocher persistantes. Auto-évaluation, registre, transparence. Imprimable. Sans email.

FORMATION 1 JOUR

Formation IA Act 2026

1 jour pour comprendre le cadre, classifier vos systèmes, monter votre conformité en interne.
PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier vos priorités IA Act et RGPD pour votre PME.

Réserver l'audit