IA Act + RGPD : le double régime réglementaire qui va écraser les entreprises françaises non préparées
IA Act + RGPD : le double régime réglementaire qui va écraser les entreprises françaises non préparées
La plupart des DPO que je croise en ce moment me posent la même question, formulée de dix manières différentes : « On est conformes RGPD, donc on est couverts pour l'IA Act, non ? » Non. Pas du tout. Et le fait que cette question revienne avec une telle régularité en avril 2026 — alors que le règlement délégué sur les modèles GPAI date de mars, que le décret d'application français est publié, et que la CNIL a déjà infligé 550 000 euros de sanctions liées à l'IA en quatre mois — révèle un aveuglement collectif assez spectaculaire.
Le problème est structurel. L'IA Act et le RGPD ne sont pas deux textes qui se chevauchent proprement. Ce sont deux architectures juridiques distinctes, avec des logiques différentes, des autorités de contrôle différentes, et des obligations qui parfois se contredisent dans leur mise en oeuvre pratique. Les traiter comme un ensemble cohérent est une erreur de raisonnement. Les traiter séparément en est une autre.
Bienvenue dans le double régime.
Deux textes, deux philosophies, un seul sujet de données
Le RGPD part des données personnelles. Toute sa logique s'articule autour de la personne concernée : consentement, finalité, minimisation, droits d'accès et d'effacement. Le responsable de traitement est au centre. L'IA Act, lui, part du système. Sa logique s'organise par niveau de risque : inacceptable, élevé, limité, minimal. Le fournisseur et le déployeur remplacent le responsable de traitement et le sous-traitant, mais les rôles ne se superposent pas exactement.
L'avis du CEPD de février 2026 sur l'articulation IA Act / RGPD — un texte que trop peu de professionnels ont lu en détail — tente de clarifier cette frontière. Il y parvient partiellement, en précisant notamment que les obligations de transparence de l'IA Act (article 52) s'ajoutent à celles du RGPD (articles 13 et 14), sans s'y substituer. Autrement dit : informer l'utilisateur qu'il interagit avec une IA ne vous dispense pas de l'informer sur le traitement de ses données personnelles. Deux obligations. Deux textes. Deux contrôles potentiels.
Ce qui frappe dans cet avis, c'est ce qu'il ne résout pas. La question de la base légale pour l'entraînement des modèles fondation reste ouverte. L'intérêt légitime ? Le CEPD ne ferme pas la porte, mais il ne l'ouvre pas non plus franchement. Le consentement ? Impraticable à l'échelle d'un corpus d'entraînement. On reste dans un flou juridique que les autorités nationales vont devoir interpréter chacune de leur côté.
Le décret français de mars 2026 : une autorité nationale, zéro clarté opérationnelle
Le décret n° 2026-XXX publié au Journal Officiel le 20 mars 2026 désigne enfin l'autorité nationale de surveillance pour l'IA Act en France. On attendait cette désignation depuis des mois. Elle est arrivée. Et elle pose autant de questions qu'elle en résout.
Le choix institutionnel — que je ne détaillerai pas ici pour ne pas m'égarer dans le droit administratif pur — crée une situation où deux régulateurs distincts peuvent contrôler un même déploiement d'IA. La CNIL pour les aspects données personnelles. L'autorité IA Act pour les aspects système. Imaginez un chatbot qui collecte des données de santé pour du triage médical. La CNIL peut le sanctionner au titre du RGPD (absence d'AIPD, base légale insuffisante). L'autorité IA Act peut le sanctionner au titre du risque élevé (documentation technique insuffisante, absence d'enregistrement dans la base européenne). Deux procédures parallèles. Deux amendes potentielles. Aucun guichet unique.
L'arrêté du 28 février 2026 sur les modalités de déclaration des systèmes d'IA à risque élevé ajoute une couche bureaucratique supplémentaire. Les entreprises doivent désormais enregistrer leurs systèmes dans la base de données européenne, fournir une documentation technique conforme à l'Annexe IV de l'IA Act, et maintenir cette documentation à jour. Qui fait ça aujourd'hui ? Soyons honnêtes : presque personne.
Les modèles GPAI : le piège dans le piège
Le règlement délégué de la Commission européenne, publié le 10 mars 2026, détaille les obligations spécifiques pour les fournisseurs de modèles d'IA à usage général (GPAI). C'est ici que les choses deviennent véritablement intéressantes — et dangereuses — pour l'écosystème français.
Un modèle GPAI, c'est un GPT-4, un Claude, un Mistral, un LLaMA. Mais c'est aussi, par extension, tout modèle fondation que votre entreprise fine-tune pour un usage métier. Et c'est là que le bât blesse. Vous prenez un modèle open source, vous le fine-tunez sur vos données clients, vous le déployez dans un chatbot service client. Vous êtes devenu à la fois déployeur au sens de l'IA Act et responsable de traitement au sens du RGPD. Deux casquettes. Deux jeux d'obligations. Aucune jurisprudence pour trancher les zones grises.
Le règlement délégué impose aux fournisseurs GPAI :
- Une documentation technique exhaustive sur les capacités et limitations du modèle
- Une politique de respect du droit d'auteur (Copyright Policy) — un sujet à lui seul explosif
- Un résumé suffisamment détaillé des données d'entraînement pour être « significatif »
Pour les modèles GPAI à risque systémique, les exigences montent encore : évaluation contradictoire (red-teaming), plan de cybersécurité, reporting des incidents graves. Très bien. Mais qui décide qu'un modèle fine-tuné en interne franchit le seuil du risque systémique ? Les lignes directrices de l'AI Office du 1er avril 2026 tentent de préciser les critères, mais laissent une marge d'interprétation suffisante pour que chaque autorité nationale applique ses propres standards.
172 textes réglementaires : le mur de la complexité
Notre veille recense à ce jour 172 textes réglementaires pertinents pour la conformité IA en Europe, répartis entre 64 publications CNIL, 91 avis CEPD/EDPB, 9 textes Legifrance et 8 textes EUR-Lex. Ce chiffre, en soi, raconte une histoire. Il dit que l'environnement réglementaire n'est pas juste contraignant — il est illisible pour une PME qui n'a pas de juriste spécialisé en interne.
J'ai fait l'exercice la semaine dernière. Prendre un cas concret — une startup française de 25 personnes qui déploie un chatbot de support client basé sur un LLM fine-tuné — et lister exhaustivement les textes applicables. Résultat : 23 textes directement pertinents. Pas 3. Pas 5. Vingt-trois. Entre le RGPD, la loi Informatique et Libertés consolidée, le décret d'application de 2019, la loi SREN de 2024, l'IA Act lui-même, le règlement délégué GPAI, l'arrêté de déclaration, les lignes directrices AI Office, l'avis CEPD, les recommandations CNIL sur les systèmes d'IA, et les fiches pratiques associées — on obtient un millefeuille réglementaire dont chaque couche peut générer une sanction indépendante.
C'est intenable. Et c'est pourtant la réalité réglementaire de toute entreprise française qui déploie de l'IA en avril 2026.
Le tableau des obligations croisées que votre DPO devrait avoir sur son bureau
| Obligation | Base RGPD | Base IA Act | Qui contrôle | Sanction max |
|---|---|---|---|---|
| Information de l'utilisateur sur le traitement de données | Art. 13-14 RGPD | — | CNIL | 20 M€ ou 4 % CA |
| Information que l'utilisateur interagit avec une IA | — | Art. 52 IA Act | Autorité IA | 15 M€ ou 3 % CA |
| Analyse d'impact (AIPD) | Art. 35 RGPD | — | CNIL | 10 M€ ou 2 % CA |
| Évaluation de conformité système à risque élevé | — | Art. 43 IA Act | Autorité IA | 15 M€ ou 3 % CA |
| Registre des traitements | Art. 30 RGPD | — | CNIL | 10 M€ ou 2 % CA |
| Enregistrement base de données EU | — | Art. 49 IA Act | Autorité IA | 15 M€ ou 3 % CA |
| Droit d'opposition au profilage automatisé | Art. 22 RGPD | — | CNIL | 20 M€ ou 4 % CA |
| Documentation technique du modèle GPAI | — | Art. 53 IA Act | AI Office | 15 M€ ou 3 % CA |
Huit lignes. Huit obligations distinctes. Deux régulateurs. Et aucune de ces obligations n'absorbe l'autre. Un chatbot mal configuré peut théoriquement cumuler des sanctions RGPD et IA Act sur le même déploiement, pour des manquements différents constatés par des autorités différentes. Le plafond théorique combiné dépasse les 35 millions d'euros. Théorique, certes. Mais la CNIL a déjà montré qu'elle n'hésitait pas à frapper.
550 000 euros en quatre mois : le signal qu'il fallait lire
Depuis décembre 2025, la CNIL a prononcé quatre sanctions spécifiquement liées à l'IA, totalisant 550 000 euros. Ce montant paraît modeste comparé aux 5 millions infligés à France Travail en janvier 2026 pour violation de données. Mais c'est précisément cette modestie apparente qui devrait inquiéter.
Ces quatre sanctions — reconnaissance faciale (50 000 €), chatbot sans transparence (150 000 €), profilage discriminatoire en recrutement (250 000 €), scoring crédit sans AIPD (100 000 €) — frappent des entreprises de tailles variées sur des manquements basiques. Pas d'oubli exotique. Des fondamentaux non respectés. L'absence de base légale. L'absence d'information. L'absence d'évaluation d'impact. C'est du RGPD 101, appliqué à des systèmes d'IA.
La montée en puissance est prévisible. Quand les obligations IA Act s'appliqueront pleinement — et le calendrier d'application progressive avance inexorablement — les montants vont changer d'échelle. La CNIL a sanctionné des manquements RGPD sur des systèmes IA. L'autorité IA Act sanctionnera des manquements IA Act sur ces mêmes systèmes. Le cumul n'est pas une hypothèse d'école. C'est le design du système.
Le cas français vs le reste de l'Europe : une singularité sous-estimée
La France n'est pas l'Allemagne. Elle n'est pas l'Irlande non plus. La CNIL a une culture de la sanction que la plupart des DPA européennes n'ont pas, en tout cas pas à ce niveau d'intensité sur les sujets IA. Quand on regarde le bilan 2025 publié en février 2026, le volume global de sanctions CNIL dépasse largement la moyenne européenne par tête. Ce n'est pas un hasard si les quatre sanctions IA sont toutes françaises. L'Espagne, l'Italie, les Pays-Bas n'ont pour l'instant sanctionné aucun système d'IA en tant que tel.
Cela signifie concrètement que les entreprises françaises font face à un risque d'enforcement supérieur à celui de leurs concurrentes européennes — tout en étant soumises aux mêmes obligations. Le marché unique, en théorie. En pratique, un DPO à Paris a plus de chances de recevoir une notification de contrôle qu'un DPO à Lisbonne. Paradoxe ? Non. C'est la réalité de la mise en oeuvre fragmentée d'un règlement européen par 27 autorités nationales aux moyens et aux priorités différentes.
Le rapport annuel 2025 du CEPD confirme d'ailleurs cette hétérogénéité. Certaines autorités nationales n'ont même pas encore publié de guidance sur l'IA. La France, elle, accumule les fiches pratiques, les webinaires (celui sur l'intérêt légitime et le webscraping pour l'IA est particulièrement révélateur), et surtout les contrôles. Être une entreprise française qui déploie de l'IA, c'est jouer sur le terrain le plus sévèrement arbitré d'Europe.
La fausse bonne idée du « on verra quand ça sera appliqué »
J'entends souvent cet argument, surtout dans les startups : « L'IA Act n'est pas encore pleinement applicable, on a le temps. » C'est techniquement vrai pour certaines dispositions. C'est opérationnellement suicidaire.
D'abord parce que le RGPD, lui, est pleinement applicable depuis huit ans. Et que la CNIL l'utilise déjà pour sanctionner des déploiements d'IA, comme le montrent les quatre décisions récentes. Attendre que l'IA Act soit « pleinement en vigueur » pour commencer sa mise en conformité, c'est ignorer que la moitié du régime juridique applicable — celle du RGPD — tourne déjà à plein régime.
Ensuite parce que les lignes directrices de l'AI Office sur les systèmes à risque élevé, publiées le 1er avril 2026, précisent les exigences de documentation et de classification qui s'appliqueront. Les entreprises qui commencent maintenant ont un avantage structurel : elles auront le temps de documenter, de tester, d'ajuster. Celles qui attendent devront tout faire dans l'urgence, avec le risque de bâcler et de se retrouver en infraction dès le jour J.
Et puis il y a une raison plus pragmatique. Le projet PANAME de la CNIL — un outil d'audit RGPD des modèles d'IA — est en phase de test. Quand il sera déployé, les contrôles deviendront plus fréquents, plus techniques, plus ciblés. La CNIL n'aura plus besoin d'un signalement pour aller vérifier si votre modèle respecte les droits des personnes. Elle aura un outil automatisé pour le faire. La fenêtre de tolérance se referme.
Ce que je recommanderais à un DPO lucide
Arrêtons de faire comme si le double régime était gérable avec les outils d'hier. Un registre des traitements RGPD classique ne couvre pas la documentation technique IA Act. Une politique de confidentialité ne remplace pas l'obligation de transparence algorithmique. Ce sont des chantiers distincts qui doivent être menés en parallèle.
Trois chantiers prioritaires, dans cet ordre.
Premier chantier : cartographier chaque système d'IA déployé et déterminer sa classification IA Act. Risque élevé ou pas ? GPAI ou pas ? Cette classification détermine 80 % des obligations applicables. La cartographie de départ conditionne tout le reste, et pourtant la majorité des entreprises françaises ne l'ont pas faite. Le détail des failles CNIL sanctionnées dans le domaine du profilage automatisé par IA illustre bien les risques concrets d'un déploiement non évalué.
Deuxième chantier : produire la documentation croisée. Un document unique qui couvre à la fois l'AIPD RGPD et l'évaluation de conformité IA Act pour chaque système à risque élevé. Deux exercices parallèles qui partagent 60 % de leur contenu factuel (description du système, données traitées, mesures de mitigation). Les faire séparément est un gaspillage. Les fusionner intelligemment est un gain de temps considérable. Pour les chatbots spécifiquement, la fiche de transparence est un point de départ utile — mais elle ne suffit pas.
Troisième chantier : mettre en place une gouvernance IA qui intègre le DPO, le responsable technique, et le responsable conformité IA Act (un rôle nouveau que beaucoup d'entreprises n'ont pas encore créé). Les questions qui remontent du terrain — « est-ce qu'on peut utiliser ce dataset pour fine-tuner ? », « est-ce qu'on doit notifier la CNIL ? », « est-ce que notre chatbot est un système à risque élevé ? » — ne trouvent pas de réponse dans un organigramme qui sépare IT, juridique et conformité en silos étanches. La FAQ sur les obligations croisées IA Act / RGPD donne un premier cadre de réponse pour les questions les plus fréquentes.
Le fond du problème
Le vrai risque n'est pas l'amende. Enfin, pas uniquement. Le vrai risque, c'est l'injonction. La CNIL peut ordonner l'arrêt d'un traitement. L'autorité IA Act peut ordonner le retrait d'un système du marché. Pour une entreprise dont le produit repose sur un modèle d'IA, une injonction de retrait équivaut à une fermeture. Et contrairement à une amende, une injonction ne se règle pas en signant un chèque.
Le double régime IA Act / RGPD n'est pas un doublon bureaucratique. C'est une tenaille. D'un côté, la protection des données personnelles. De l'autre, la sécurité et la fiabilité des systèmes d'IA. Les deux mâchoires se resserrent simultanément. Les entreprises qui l'ont compris travaillent déjà sur leur conformité croisée. Les autres découvriront le problème quand elles recevront un courrier recommandé.
Pas deux.
Un seul suffit.
Vous déployez un chatbot ou un système d'IA et vous voulez savoir où vous en êtes ? Notre checklist conformité IA Act + template DPA est gratuite et couvre les deux régimes en un seul document.