← Retour au blog

AI Act et RGPD : comment les deux règlements interagissent

Être conforme au RGPD ne signifie pas être conforme à l'AI Act. Ce guide explique les chevauchements, les divergences et comment gérer les deux obligations ensemble.

19 mai 2026DILAIG

De nombreuses organisations conformes au RGPD depuis des années découvrent aujourd'hui que l'AI Act européen ajoute une couche d'obligations substantiellement nouvelle. Les deux règlements partagent certains principes (transparence, responsabilité, évaluation des risques), mais ils obéissent à des logiques juridiques différentes, couvrent des préjudices différents et exigent une documentation différente.

Ce guide s'adresse aux délégués à la protection des données, aux équipes de conformité et aux juristes qui ont besoin de comprendre précisément où l'AI Act renforce le RGPD, où il introduit de véritables obligations nouvelles, et comment intégrer les deux cadres sans dupliquer inutilement les efforts.

La relation entre les deux règlements

L'AI Act ne remplace pas le RGPD. L'article 2(7) de l'AI Act précise, conformément à ses considérants, que le règlement complète le droit de l'UE existant en matière de protection des données. Le RGPD continue de s'appliquer pleinement partout où des données personnelles sont traitées par un système d'IA. L'AI Act ajoute ensuite une couche distincte d'obligations qui s'appliquent en fonction du niveau de risque du système d'IA lui-même, indépendamment de la question de savoir si des données personnelles sont impliquées.

C'est le point crucial : un système d'IA peut être soumis aux obligations à haut risque de l'AI Act même s'il ne traite aucune donnée personnelle. À l'inverse, un système d'IA qui traite de grands volumes de données personnelles peut se situer en dehors du cadre à haut risque de l'AI Act s'il n'est pas répertorié à l'Annexe III.

Les deux règlements sont complémentaires mais ne sont pas interchangeables. La conformité au RGPD est un plancher, pas un plafond.

Les points de chevauchement entre les deux règlements

Prise de décision automatisée

L'article 22 du RGPD confère aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou similaires significatifs. Ce droit est en vigueur depuis 2018. Il requiert une base juridique, des informations spécifiques à la personne concernée et des possibilités de recours devant une intervention humaine significative.

Les exigences de surveillance humaine de l'AI Act (article 14) renforcent considérablement cette logique. Pour les systèmes d'IA à haut risque, l'article 14 exige que les systèmes soient conçus pour permettre aux personnes physiques de surveiller efficacement le système pendant son fonctionnement : comprendre ses résultats, identifier les anomalies, intervenir ou passer outre. Il ne s'agit pas simplement d'un droit procédural accordé aux individus ; c'est une obligation de conception imposée au fournisseur.

Lorsque votre système d'IA prend ou soutient des décisions ayant des effets juridiques ou similaires significatifs sur les individus, les deux cadres s'appliquent simultanément. Votre travail de conformité à l'article 22 du RGPD éclaire mais ne complète pas votre conformité à l'article 14 de l'AI Act.

Obligations de transparence

Le RGPD exige des organisations qu'elles informent les personnes sur la prise de décision automatisée via les avis de confidentialité (articles 13 et 14 du RGPD) et, dans le contexte de l'article 22, qu'elles fournissent des informations significatives sur la logique impliquée.

L'AI Act y ajoute deux dimensions. L'article 13 exige que les fournisseurs de systèmes d'IA à haut risque s'assurent que les systèmes sont conçus pour permettre aux déployeurs de fournir des informations transparentes aux personnes concernées. L'article 50 va plus loin : les déployeurs de certains systèmes d'IA à haut risque qui interagissent directement avec des personnes physiques doivent informer ces personnes qu'elles interagissent avec un système d'IA.

Les avis de confidentialité du RGPD et les avis de transparence de l'AI Act ont des destinataires différents, des déclencheurs différents et des exigences de contenu différentes. Vous avez besoin des deux, et un avis de confidentialité ne se substitue pas à un avis de transparence de l'AI Act.

Données d'entraînement et base juridique

Les obligations de gouvernance des données de l'AI Act en vertu de l'article 10 exigent que les jeux de données d'entraînement, de validation et de test soient pertinents, représentatifs, exempts d'erreurs et complets pour la finalité prévue. Ils doivent également être collectés et traités conformément au droit applicable, ce qui inclut le RGPD lorsque des données personnelles sont impliquées.

Cela signifie que pour tout système d'IA entraîné sur des données personnelles, vous avez besoin d'une base juridique valide au titre du RGPD pour ce traitement dans le contexte de l'entraînement (souvent l'intérêt légitime ou, pour les catégories spéciales, le consentement explicite), et vous devez respecter le principe de limitation des finalités. Utiliser des données personnelles collectées à une fin pour entraîner un système d'IA à une fin différente constitue une violation potentielle des deux régimes simultanément.

Vos registres des activités de traitement au titre du RGPD doivent donc inclure le traitement des données d'entraînement, et votre documentation technique de l'AI Act (Annexe IV, section 3) doit faire référence croisée à ces registres RGPD.

Les points de divergence entre les deux règlements

Des cadres de risques différents

Le cadre de risques du RGPD est centré sur les risques pour les droits et libertés des personnes physiques découlant du traitement des données. Le cadre de risques de l'AI Act est plus large : il couvre les risques liés aux systèmes d'IA indépendamment de la question de savoir si des données personnelles sont impliquées, et il catégorise les systèmes par cas d'usage (Annexe III) plutôt que par la nature des données traitées.

Un système d'IA à haut risque au titre de l'AI Act (par exemple, un outil de recrutement assisté par IA) peut ne pas impliquer un niveau de risque en matière de données déclenchant une AIPD au titre du RGPD. À l'inverse, une activité de traitement nécessitant une AIPD au titre du RGPD peut n'impliquer aucun système d'IA à haut risque au titre de l'AI Act.

Les catégories ne se correspondent pas de manière simple. Vous ne pouvez pas utiliser votre registre d'AIPD comme substitut à votre inventaire de systèmes d'IA à haut risque de l'AI Act, ou vice versa.

AIDF vs AIPD : des noms similaires, des obligations différentes

C'est l'un des domaines de chevauchement entre les deux cadres les plus souvent mal compris.

Une analyse d'impact relative à la protection des données (AIPD) au titre de l'article 35 du RGPD est requise lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, notamment pour le profilage systématique, le traitement à grande échelle de données de catégories spéciales ou la surveillance systématique d'espaces publics. Elle se concentre spécifiquement sur les risques liés à la vie privée et à la protection des données.

Une analyse d'impact sur les droits fondamentaux (AIDF) au titre de l'article 27 de l'AI Act n'est requise que pour un sous-ensemble défini de déployeurs et non pour tous les déployeurs de systèmes d'IA à haut risque. Plus précisément, elle s'applique à :

  1. Les organismes publics déployant des systèmes d'IA à haut risque
  2. Les entités privées fournissant des services publics (telles que les banques accordant des crédits dans le cadre d'un mandat public, ou les services d'utilité publique)
  3. Les fournisseurs et déployeurs couverts par les points 5(b) et 5(c) de l'Annexe III, qui concernent les systèmes d'IA utilisés pour la notation de crédit et l'accès à des services privés essentiels

L'AIDF est plus large dans sa portée que l'AIPD : elle examine les impacts sur tous les droits fondamentaux et non seulement la vie privée. Elle doit évaluer les impacts sur la dignité humaine, la non-discrimination, l'égalité, la liberté d'expression, le droit à un recours effectif et d'autres droits de la Charte. Mais elle est aussi plus ciblée dans les personnes qui doivent la mener.

Principales différences en un coup d'œil :

Dimension AIPD (RGPD art. 35) AIDF (AI Act art. 27)
Base légale RGPD AI Act
Qui doit la conduire Responsables du traitement en cas de risque élevé pour les données Organismes publics, prestataires de services publics/privés, certains déployeurs Annexe III
Portée du préjudice Vie privée et droits sur les données Tous les droits fondamentaux
Déclencheur Nature du traitement Nature du déployeur et du cas d'usage
Requise pour tous les systèmes d'IA à haut risque Non Non : sous-ensemble seulement

Si vous devez conduire à la fois une AIPD et une AIDF pour le même système, l'approche la plus efficace est de les mener conjointement. Une AIPD conduite dans le cadre du processus de conformité à l'AI Act peut alimenter directement la section protection des données de l'AIDF. Les résultats sont des documents distincts, mais l'analyse factuelle se recoupe substantiellement.

Être conforme au RGPD ne signifie pas être conforme à l'AI Act

Ce point ne peut être trop souligné. L'AI Act crée des obligations indépendantes (évaluations de la conformité, marquage CE, documentation technique Annexe IV, enregistrement dans la base de données UE, surveillance post-commercialisation) qui n'ont pas d'équivalent dans le RGPD. Une organisation qui a fortement investi dans la conformité au RGPD dispose de bases utiles pour la conformité à l'AI Act, mais elle n'a pas franchi la ligne d'arrivée.

Plus précisément, la conformité au RGPD ne fournit pas :

  • Une évaluation de la conformité démontrant que votre système d'IA satisfait aux exigences essentielles des articles 8 à 15
  • Un marquage CE autorisant la mise sur le marché
  • Une documentation technique couvrant l'architecture du système, la méthodologie des données d'entraînement et les résultats des tests
  • L'enregistrement dans la base de données IA de l'UE (article 71)
  • Un plan de surveillance post-commercialisation (article 72)

Ces obligations sont entièrement spécifiques à l'AI Act.

Une stratégie d'intégration pratique

Plutôt que de gérer deux programmes de conformité parallèles, l'approche la plus efficace consiste à les intégrer aux points où les cadres se recoupent réellement.

  1. Cartographiez vos systèmes d'IA par rapport au registre des activités de traitement du RGPD et à l'Annexe III de l'AI Act. Identifiez les systèmes qui sont à haut risque sous l'un, l'autre, ou les deux cadres.
  2. Lorsqu'un système est à haut risque sous les deux cadres, menez l'AIPD et l'AIDF conjointement. Utilisez l'analyse des risques liés à la vie privée de l'AIPD pour alimenter la section protection des données de l'AIDF. Évitez de faire le travail factuel deux fois.
  3. Alignez vos avis de transparence. Rédigez l'avis de transparence de l'AI Act (article 50) en même temps que l'avis de confidentialité du RGPD. Ils servent des finalités juridiques différentes mais partagent un contenu factuel se recoupant sur la logique et les effets du système.
  4. Faites des références croisées dans votre documentation. Votre documentation technique Annexe IV (section 3 sur les données d'entraînement) doit faire référence à votre base juridique au titre du RGPD pour le traitement des données d'entraînement. Les régulateurs du Bureau de l'IA et des autorités de protection des données peuvent tous deux demander l'accès à ces registres.
  5. Attribuez la responsabilité. Dans de nombreuses organisations, le DPD est bien placé pour coordonner la conformité à l'AI Act pour les systèmes d'IA à haut risque qui traitent des données personnelles. Cependant, la conformité à l'AI Act implique également des équipes techniques et des responsables produit qui ne font généralement pas partie des programmes RGPD. Établissez une responsabilité claire sur les deux fronts.

Comment DilAIg vous aide

DilAIg génère les quatre documents obligatoires pour la conformité des systèmes d'IA à haut risque, dont l'AIDF, à partir d'un seul audit en 50 questions. L'audit recueille les informations factuelles qui alimentent à la fois votre documentation AI Act et vos obligations de référence croisée au titre du RGPD, de sorte que vous ne répondez pas aux mêmes questions deux fois dans des outils séparés.

Commencez votre audit de conformité pour générer votre AIDF, votre documentation technique, votre déclaration de conformité UE et votre notice de transparence →

Contactez l'équipe DilAIg pour les questions sur l'intégration RGPD et AI Act →

FAQ : AI Act et RGPD

L'AI Act remplace-t-il le RGPD pour les systèmes d'IA ?

Non. L'AI Act est complémentaire au RGPD et non un remplacement. Les deux s'appliquent simultanément partout où un système d'IA traite des données personnelles. L'article 2(7) de l'AI Act le confirme.

L'AIDF est-elle la même chose qu'une AIPD ?

Non. Une AIPD (article 35 du RGPD) se concentre sur les risques pour la vie privée et les droits sur les données. Une AIDF (article 27 de l'AI Act) couvre tous les droits fondamentaux et n'est requise que pour un sous-ensemble spécifique de déployeurs : les organismes publics, les entités privées fournissant des services publics, et certains déployeurs de l'Annexe III. Leur portée et leurs déclencheurs sont différents.

Tous les déployeurs de systèmes d'IA à haut risque doivent-ils conduire une AIDF ?

Non. L'article 27 limite l'obligation d'AIDF aux organismes publics, aux entités privées fournissant des services publics, et aux déployeurs couverts par les points 5(b) et 5(c) de l'Annexe III. La plupart des déployeurs du secteur privé de systèmes d'IA à haut risque dans d'autres catégories de l'Annexe III ne sont pas tenus de conduire une AIDF.

Notre DPD peut-il piloter la conformité à l'AI Act ?

L'expertise du DPD en matière de risques liés à la protection des données est très pertinente, notamment pour les systèmes d'IA qui traitent des données personnelles. Cependant, la conformité à l'AI Act couvre des obligations techniques (architecture du système, évaluations de la conformité, marquage CE) qui nécessitent généralement des contributions allant au-delà du périmètre traditionnel du DPD. Le DPD est un coordinateur naturel, mais la conformité à l'AI Act requiert une responsabilité transversale.

Que se passe-t-il lorsque les obligations du RGPD et de l'AI Act entrent en conflit ?

Dans la plupart des cas, ils n'entrent pas en conflit : ils opèrent sur des dimensions différentes de la même activité. Lorsqu'un véritable conflit survient, le principe lex specialis s'applique, mais le Bureau européen de l'IA et les autorités de protection des données devraient coordonner l'application pour éviter des exigences contradictoires.

Principaux points à retenir

  • L'AI Act complète le RGPD et ne le remplace pas (article 2(7))
  • L'article 22 du RGPD et l'article 14 de l'AI Act traitent tous deux de la prise de décision automatisée, mais l'article 14 impose des obligations de conception aux fournisseurs et non seulement des droits individuels
  • Une AIDF (article 27) n'est pas requise pour tous les déployeurs à haut risque : seulement les organismes publics, les entités privées fournissant des services publics, et certains déployeurs de l'Annexe III
  • Une AIPD et une AIDF ont des portées différentes : l'AIPD se concentre sur les risques liés à la vie privée ; l'AIDF couvre tous les droits fondamentaux
  • Les données d'entraînement traitées au titre de l'article 10 de l'AI Act doivent également respecter la base juridique du RGPD et le principe de limitation des finalités
  • Être conforme au RGPD ne satisfait pas aux exigences d'évaluation de la conformité, de marquage CE, de documentation technique ou d'enregistrement dans la base de données de l'AI Act
  • Menez les AIPD et les AIDF conjointement lorsque les deux s'appliquent, et faites des références croisées entre la documentation Annexe IV et vos registres de traitement RGPD

Pour aller plus loin

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit