IA Act vs RGPD : qui exige quoi pour votre chatbot IA en 2026 ?
Deux textes, un même chatbot, zéro excuse
Un chatbot d'entreprise déployé en France début 2026 tombe sous deux régimes juridiques distincts. Le RGPD, qu'on connaît depuis 2018. Et l'IA Act, dont les premières obligations s'appliquent progressivement depuis février 2025.
Le problème ? Ces deux textes ne couvrent pas les mêmes choses. Pas les mêmes acteurs, pas les mêmes risques, pas les mêmes sanctions. Et pourtant, un chatbot mal configuré peut violer les deux en même temps.
En février 2026, la CNIL a sanctionné Company Y de 150 000 € pour un chatbot déployé sans information claire sur l'usage d'IA (source : décisions CNIL publiques). Résultat : infraction simultanée au devoir de transparence RGPD et aux nouvelles exigences IA Act. Double peine potentielle.
J'ai passé un bon moment à décortiquer les deux textes côte à côte, en croisant les données des décisions CNIL, du Journal Officiel UE et de Legifrance. Ce qui suit, c'est le résultat de ce travail — un comparatif aussi concret que possible pour les équipes produit, DPO et responsables compliance qui gèrent un chatbot IA aujourd'hui.
Le tableau comparatif : IA Act vs RGPD pour les chatbots
Avant d'entrer dans les détails, voici la vue d'ensemble. Ce tableau résume les grandes différences sur les points qui comptent au quotidien.
| Critère | RGPD | IA Act | Ce que ça change pour vous |
|---|---|---|---|
| Entrée en vigueur | Applicable depuis mai 2018 | Obligations chatbots (art. 50) : fév. 2025 ; risque élevé : août 2026 | Vous êtes déjà en retard sur les deux |
| Qui est visé ? | Le responsable de traitement (celui qui décide des finalités) | Le fournisseur du système IA et le déployeur | Double casquette possible si vous développez et utilisez votre propre chatbot |
| Obligation de transparence | Informer la personne que ses données sont traitées (art. 13-14 RGPD) | Informer que l'utilisateur interagit avec une IA (art. 50 IA Act) | Le RGPD demande "on traite vos données" ; l'IA Act demande "vous parlez à une machine" |
| Évaluation d'impact | AIPD obligatoire si profilage ou traitement à grande échelle (art. 35 RGPD) | Évaluation de conformité obligatoire pour systèmes à risque élevé (art. 43 IA Act) | Deux évaluations potentiellement distinctes à mener |
| Base légale requise | Oui — consentement, intérêt légitime, contrat, etc. (art. 6 RGPD) | Non exigée en tant que telle — mais obligations de documentation | Le RGPD reste le garde-fou pour les données personnelles |
| Sanctions maximales | 20 M€ ou 4 % du CA mondial | 35 M€ ou 7 % du CA mondial | L'IA Act frappe plus fort sur le papier |
| Autorité compétente (France) | CNIL | Autorité nationale (décret mars 2026, coordination CNIL probable) | La CNIL instruit déjà les sanctions IA sous angle RGPD |
| Droit d'opposition | Oui, l'utilisateur peut s'opposer au traitement (art. 21 RGPD) | Pas de droit d'opposition propre, mais obligation de supervision humaine pour risque élevé | L'IA Act mise sur le contrôle en amont, le RGPD sur les droits en aval |
Transparence : la même obligation, deux angles différents
C'est le point qui crée le plus de confusion. Les deux textes exigent de la transparence, mais pas sur la même chose.
Le RGPD veut que l'utilisateur sache ce qu'on fait de ses données. Qui les traite, pourquoi, combien de temps, avec qui elles sont partagées. C'est la mention d'information classique, celle qu'on retrouve dans les politiques de confidentialité (que personne ne lit, mais passons).
L'IA Act, lui, veut que l'utilisateur sache qu'il parle à une IA. Point. L'article 50 est limpide : toute personne interagissant avec un système d'IA doit en être informée, sauf si c'est "évident au vu des circonstances". La marge d'interprétation de ce "évident" promet quelques contentieux intéressants, d'ailleurs.
Le cas Company Y illustre parfaitement le piège. Leur chatbot collectait des données personnelles pour personnaliser les réponses (infraction RGPD : pas d'information adéquate sur le traitement). Et il ne mentionnait nulle part être un système automatisé (infraction IA Act : pas de mention de l'IA). Deux manquements, une seule interface. Les 150 000 € d'amende CNIL ne couvraient que le volet RGPD — le volet IA Act n'était pas encore pleinement applicable à la date des faits.
Aujourd'hui ? Les deux s'appliquent.
Évaluations d'impact : la double peine administrative
Parlons paperasse. Un sujet moins glamour mais qui coûte cher en temps.
Le RGPD impose une Analyse d'Impact relative à la Protection des Données (AIPD) quand le traitement présente un risque élevé pour les droits des personnes. Un chatbot qui profile ses utilisateurs, qui traite des données sensibles ou qui opère à grande échelle ? AIPD obligatoire.
L'IA Act, de son côté, impose une évaluation de conformité (art. 43) pour les systèmes à risque élevé. Les lignes directrices de l'AI Office publiées le 1er avril 2026 précisent justement les critères de classification : un chatbot utilisé dans le recrutement, le crédit ou la santé tombe quasi-automatiquement dans la catégorie "risque élevé" (source : Journal Officiel UE, lignes directrices systèmes IA risque élevé, avril 2026).
Ce sont deux exercices différents. L'AIPD regarde les données personnelles et les droits des personnes. L'évaluation IA Act regarde le système dans son ensemble — sa robustesse, sa documentation technique, sa gouvernance.
Pour une PME qui opère un chatbot RH interne, ça peut représenter deux processus distincts, avec des livrables différents, des interlocuteurs différents, et des calendriers différents. Le CEPD a publié un avis en février 2026 pour clarifier l'articulation entre les deux (source : avis CEPD, 15 février 2026), mais soyons honnêtes : le document crée presque autant de questions qu'il n'en résout.
Les sanctions : l'IA Act dépasse le RGPD (sur le papier)
Le RGPD, c'est 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Huit ans après, on sait que la CNIL utilise cette fourchette — mais rarement au maximum.
L'IA Act monte à 35 millions d'euros ou 7 % du CA mondial pour les infractions les plus graves (pratiques interdites, art. 5). Pour les chatbots, le plafond se situe plutôt à 15 M€ ou 3 % du CA (obligations de transparence, art. 50).
En pratique, ce qui compte, c'est la tendance. Les données CNIL montrent 550 000 € d'amendes cumulées sur les quatre sanctions IA du T1 2026 — de Company W (100 000 € en décembre 2025 pour un scoring crédit sans évaluation d'impact) à Company Z (250 000 € en janvier 2026 pour profilage discriminatoire en recrutement). Les montants restent modestes comparés aux plafonds théoriques, mais la fréquence s'accélère.
Quatre amendes en quatre mois. La CNIL a sanctionné davantage en IA sur ce trimestre que sur l'ensemble de 2024-2025.
Ce que ça change concrètement : 3 scénarios de chatbot
Passons de la théorie à votre cas concret.
Chatbot de service client (e-commerce) Risque IA Act : limité. Risque RGPD : modéré. Vous devez informer que c'est une IA (IA Act, art. 50) et que les conversations sont traitées (RGPD, art. 13). Pas d'AIPD obligatoire sauf traitement à grande échelle. Une bannière claire au lancement du chat suffit pour les deux obligations.
Chatbot RH interne (pré-screening de candidatures) Risque IA Act : élevé. Risque RGPD : élevé. Double évaluation d'impact obligatoire. Documentation technique complète côté IA Act. Le décret français de mars 2026 impose en plus la déclaration dans la base européenne pour les systèmes à risque élevé (source : Legifrance, décret n° 2026-XXX). L'arrêté du 28 février 2026 détaille la procédure d'enregistrement. C'est le scénario le plus lourd — et celui où la sanction cumulative RGPD + IA Act peut devenir sérieusement douloureuse.
Chatbot santé (aide au diagnostic) Risque IA Act : très élevé (catégorie explicite dans l'annexe III). Risque RGPD : très élevé (données de santé = catégorie spéciale). Ici, on parle de certification tierce partie potentielle côté IA Act, plus AIPD renforcée côté RGPD. Peu de PME peuvent absorber ce niveau de compliance seules.
Le vrai piège : la coordination entre les deux régimes
Un point que je n'avais pas anticipé en commençant ce comparatif — et qui change la donne pour les organisations de taille moyenne.
L'IA Act et le RGPD n'ont pas été conçus ensemble. Le RGPD date de 2016. L'IA Act de 2024. Les articulations entre les deux sont parfois floues, parfois contradictoires. Exemple : le RGPD impose la minimisation des données (ne collecter que le strict nécessaire). L'IA Act impose une documentation exhaustive du fonctionnement du système, y compris des données d'entraînement. Deux injonctions qui, dans certains cas, tirent dans des directions opposées.
Le décret français de mars 2026 désigne l'autorité nationale de surveillance IA, avec une coordination probable avec la CNIL. "Probable" — pas "définie". Le flou institutionnel est réel, et les entreprises qui attendent une clarification avant d'agir prennent un risque mesuré mais croissant.
Verdict : ni l'un ni l'autre ne suffit seul
Comparer l'IA Act et le RGPD comme si l'un pouvait remplacer l'autre, c'est manquer l'essentiel. Les deux textes sont complémentaires, pas alternatifs. Le RGPD protège les données des personnes. L'IA Act encadre le système qui traite ces données. Ignorer l'un des deux, c'est laisser un flanc ouvert.
Mon conseil (gratuit) : commencez par un audit croisé. Prenez votre chatbot, mappez ses traitements de données (périmètre RGPD) et ses caractéristiques techniques (périmètre IA Act). Identifiez les zones de chevauchement — transparence, évaluation d'impact, supervision humaine. C'est là que les économies de temps se font.
Pour les équipes qui veulent structurer cette démarche, notre checklist conformité IA Act + template DPA couvre les deux angles et permet de ne rien oublier.
Vous pouvez aussi consulter notre analyse chiffrée de l'accélération réglementaire au T1 2026 pour comprendre la dynamique de sanctions en cours, ou notre retour terrain sur les sanctions CNIL IA pour le point de vue d'un DPO confronté à ces textes au quotidien.