RGPD et IA Act : la double conformité, ce casse-tête que personne ne vous explique vraiment
RGPD et IA Act : la double conformité, ce casse-tête que personne ne vous explique vraiment
La scène se répète dans tous les webinaires compliance depuis janvier. Un DPO lève la main et pose la question qui gêne : « Si mon chatbot est déjà conforme au RGPD, est-ce que l'IA Act m'ajoute vraiment des obligations ? » Le speaker hésite, parle de « complémentarité des textes ». Personne ne sort avec une réponse claire.
J'ai passé trois semaines à éplucher les 136 textes réglementaires que nous suivons sur IAActs — décisions CNIL, règlements européens, avis du CEPD, textes Legifrance — pour démêler ce nœud. Le résultat est moins rassurant qu'un simple « oui, c'est complémentaire ». Parfois, les deux cadres se chevauchent. Parfois, ils se contredisent. Et parfois, l'un exige ce que l'autre ignore complètement.
Voici ce que j'ai trouvé.
Deux textes, deux logiques, un même sujet
Le RGPD protège les personnes dont les données sont traitées. L'IA Act régule les systèmes d'IA selon leur niveau de risque. Sur le papier, la distinction est limpide. En pratique, dès qu'un système d'IA traite des données personnelles — et c'est le cas de la quasi-totalité des chatbots, des outils de scoring, des systèmes de recrutement automatisé —, les deux textes s'appliquent simultanément.
Le RGPD date de 2016, pensé pour un monde de bases de données et de fichiers clients. L'IA Act, adopté en 2024 (règlement 2024/1689), a été conçu pour un monde de modèles génératifs et de systèmes autonomes. Dix ans d'écart technologique entre les deux philosophies.
Le RGPD raisonne par finalité de traitement. L'IA Act raisonne par niveau de risque du système. Ces deux grilles ne se superposent pas naturellement, et c'est là que les problèmes commencent.
L'avis CEPD du 15 février 2026 : enfin des réponses (partielles)
Le Comité Européen de la Protection des Données a publié le 15 février 2026 un avis attendu depuis des mois : « Clarifications sur l'articulation entre IA Act et RGPD pour les traitements de données personnelles ». Un document de 47 pages, dense, technique, que j'ai lu trois fois.
Les points-clés :
Le RGPD prime pour tout ce qui touche aux données personnelles. L'IA Act ne crée pas de nouvelle base légale pour traiter des données. Si votre système d'IA collecte, stocke ou utilise des données personnelles, vous devez d'abord respecter le RGPD (base légale, minimisation, droits des personnes). L'IA Act s'empile par-dessus.
L'évaluation d'impact IA Act ne remplace pas la DPIA RGPD. Le CEPD insiste : ce sont deux exercices distincts. L'analyse de conformité IA Act (article 9 du règlement) évalue le risque du système. La DPIA (article 35 du RGPD) évalue l'impact sur les droits et libertés des personnes. Les deux sont obligatoires quand un système IA à risque élevé traite des données personnelles. Autrement dit, deux documents, deux méthodologies, potentiellement deux équipes.
La transparence IA Act va plus loin que l'information RGPD. Le RGPD impose d'informer les personnes sur le traitement de leurs données (articles 13-14). L'IA Act impose de révéler qu'un système d'IA est utilisé, même quand il ne traite pas de données personnelles. Pour un chatbot, vous devez donc couvrir les deux : dire que c'est une IA (IA Act, article 50) ET expliquer comment les données sont traitées (RGPD, articles 13-14).
550 000 euros de sanctions CNIL : la preuve que le flou coûte cher
Les chiffres de notre base de données sont nets. Depuis début 2026, la CNIL a prononcé 4 sanctions directement liées à l'IA, pour un total de 550 000 euros :
| Date | Motif | Montant | Texte principal invoqué |
|---|---|---|---|
| Janvier 2026 | Profilage discriminatoire RH | 250 000 € | RGPD (art. 22) |
| Février 2026 | Chatbot sans information IA | 150 000 € | RGPD (art. 13-14) + IA Act (art. 50) |
| Mars 2026 | Reconnaissance faciale sans base légale | 50 000 € | RGPD (art. 6) |
| Décembre 2025 | Scoring crédit sans évaluation d'impact | 100 000 € | RGPD (art. 35) |
Ce qui frappe, c'est la sanction de février. 150 000 euros pour un chatbot. Le motif mentionne explicitement les deux textes : le RGPD pour le défaut d'information sur le traitement des données, et l'IA Act pour l'absence de mention que l'utilisateur interagit avec une IA. C'est la première fois — à ma connaissance — qu'une autorité nationale combine les deux textes dans une même sanction.
La CNIL n'a pas attendu la pleine entrée en vigueur de l'IA Act pour s'en servir. Les obligations de transparence de l'article 50 sont applicables depuis le 2 février 2025. Et la CNIL a visiblement décidé de les faire respecter.
Pour comparaison, France Travail a été sanctionné à hauteur de 5 millions d'euros en janvier 2026 pour violation de données — un ordre de grandeur différent, certes, mais sur du RGPD classique. Les sanctions IA restent modestes pour l'instant. Ça ne durera pas.
Les zones de chevauchement : où les deux textes disent la même chose (ou presque)
Prenons un cas concret. Vous déployez un outil de tri de CV automatisé. C'est un système d'IA à risque élevé au sens de l'IA Act (annexe III, point 4). Il traite des données personnelles (CV, noms, parcours). Voici ce que chaque texte exige :
Sur la transparence : Le RGPD (art. 13-14) vous oblige à informer les candidats que leurs données sont traitées, pour quelle finalité, sur quelle base légale. L'IA Act (art. 13 + art. 26) vous oblige à fournir une documentation technique du système et à informer les utilisateurs qu'une IA intervient dans la décision. Les deux exigences se recouvrent partiellement, mais la documentation technique IA Act est beaucoup plus détaillée que ce que le RGPD demande.
Sur l'intervention humaine : Le RGPD (art. 22) donne aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé. L'IA Act (art. 14) impose une supervision humaine pour les systèmes à risque élevé. Le résultat pratique est similaire — il faut un humain dans la boucle —, mais les conditions diffèrent. Le RGPD parle de décision « produisant des effets juridiques », l'IA Act parle de risque pour la santé, la sécurité ou les droits fondamentaux.
Sur la tenue de registres : Le RGPD (art. 30) impose un registre des traitements. L'IA Act (art. 12) impose des journaux d'activité automatiques (logs). Ce ne sont pas les mêmes registres, mais il y a des informations communes. Le CEPD recommande dans son avis de février d'intégrer les deux dans un seul processus documentaire. Pragmatique.
Là où ça coince : les contradictions silencieuses
Certaines tensions entre les deux textes ne sont pas encore résolues. Le CEPD les mentionne prudemment dans son avis, sans trancher.
La minimisation des données vs. la performance du modèle. Le RGPD exige de ne collecter que les données strictement nécessaires (art. 5.1.c). Mais un système d'IA, pour être performant et non-discriminatoire, a parfois besoin de plus de données, pas moins. Pour détecter un biais racial dans un outil de recrutement, il faut paradoxalement connaître l'origine ethnique des candidats — une donnée sensible au sens du RGPD. Le CEPD reconnaît le problème. Il ne le résout pas.
Le droit à l'effacement vs. la traçabilité IA Act. Une personne peut demander l'effacement de ses données (RGPD, art. 17). Mais l'IA Act exige de conserver les journaux d'activité des systèmes à risque élevé pendant une durée minimale (art. 19). Si ces logs contiennent des données personnelles — et c'est souvent le cas —, que faire ? Effacer pour respecter le RGPD ou conserver pour respecter l'IA Act ?
Le règlement délégué sur les modèles GPAI, publié le 10 mars 2026 par la Commission européenne, ajoute une couche supplémentaire d'obligations pour les fournisseurs de modèles fondation, sans clarifier cette tension. Les fournisseurs de modèles GPAI doivent maintenant documenter les données d'entraînement utilisées — ce qui pose la question du consentement RGPD pour des datasets massifs compilés à partir du web.
Parenthèse. J'ai discuté avec un avocat spécialisé la semaine dernière qui m'a confié qu'il facturait désormais ses audits de conformité IA 40 % plus cher qu'il y a un an. Sa raison : « Avant, je lisais un texte. Maintenant, j'en lis sept et je dois expliquer au client pourquoi ils se contredisent. » Fin de la parenthèse.
Le cas français : une transposition qui ajoute de la complexité
La France n'a pas simplifié les choses. Le décret de mars 2026 a désigné l'autorité nationale de surveillance de l'IA Act. Cette autorité s'ajoute à la CNIL pour la protection des données, à l'ARCOM pour les contenus numériques, et à la DGCCRF pour la protection des consommateurs. Quatre régulateurs potentiellement compétents pour un même chatbot.
L'arrêté du 28 février 2026 sur les modalités de déclaration des systèmes IA à risque élevé crée une procédure d'enregistrement dans la base européenne. C'est une obligation nouvelle, distincte des déclarations CNIL (registre des traitements, notification de violation). Un responsable conformité doit maintenant jongler avec :
- Le registre des traitements RGPD (déclaratif, interne)
- La notification de violation à la CNIL (en cas d'incident)
- L'enregistrement dans la base européenne IA (obligatoire avant mise sur le marché pour les systèmes à risque élevé)
- La documentation technique IA Act (accessible aux autorités sur demande)
Quatre dossiers. Quatre formats. Quatre échéances différentes.
Et je ne compte pas les lignes directrices sur les systèmes à risque élevé publiées le 1er avril 2026 par l'AI Office de la Commission européenne, qui ajoutent 200 pages de précisions sur la classification des systèmes. Ces lignes directrices ne sont pas contraignantes juridiquement, mais elles orientent les futures décisions des autorités nationales. Les ignorer serait imprudent.
La grille de lecture : qui doit faire quoi ?
Après avoir croisé tous ces textes, voici la matrice que j'utilise pour comprendre qui est soumis à quoi. Elle n'est pas officielle — c'est ma synthèse de travail, et elle vaut ce qu'elle vaut.
| Obligation | RGPD seul | IA Act seul | Les deux |
|---|---|---|---|
| Information des personnes | Oui (art. 13-14) | — | — |
| Mention « vous parlez à une IA » | — | Oui (art. 50) | — |
| Évaluation d'impact (DPIA) | Oui si risque élevé (art. 35) | — | — |
| Évaluation de conformité IA | — | Oui si risque élevé (art. 43) | — |
| Registre des traitements | Oui (art. 30) | — | — |
| Logs automatiques | — | Oui si risque élevé (art. 12) | — |
| Supervision humaine | Si décision automatisée (art. 22) | Si risque élevé (art. 14) | Souvent les deux |
| Droit à l'explication | Oui (art. 13-14, 22) | Oui (art. 86) | Les deux |
| Base légale de traitement | Oui (art. 6) | — | — |
| Enregistrement base UE | — | Oui (art. 49) | — |
Ce tableau a ses limites. Un chatbot grand public, par exemple, n'est pas classé « risque élevé » au sens de l'IA Act (sauf s'il est utilisé dans un domaine sensible comme la santé ou la justice). Pour ce chatbot, seuls le RGPD et l'obligation de transparence IA Act (art. 50) s'appliquent. La charge réglementaire reste gérable.
Mais un outil de scoring RH ? Il tombe dans les deux colonnes de droite du tableau. Double évaluation, double documentation, double supervision.
Ce que le CEPD ne dit pas (et qui devrait vous inquiéter)
L'avis du 15 février 2026 fait 47 pages. C'est beaucoup. Mais ce qu'il ne contient pas est révélateur.
Pas un mot sur les données d'entraînement des modèles fondation. Le RGPD exige une base légale pour chaque traitement de données personnelles. Les modèles comme GPT-4 ou Mistral ont été entraînés sur des milliards de pages web contenant des données personnelles. Quelle base légale ? L'intérêt légitime ? Le consentement n'a évidemment pas été recueilli. La CNIL a publié un webinaire sur le webscraping et l'intérêt légitime, mais sans position tranchée. Le CEPD esquive la question dans son avis. C'est un angle mort considérable.
Pas de position claire sur les modèles open source non plus. La CNIL a publié un outil de traçabilité pour les modèles d'IA en source ouverte, ce qui est utile pour savoir d'où vient un modèle. Mais les obligations de conformité d'un modèle open source intégré dans un produit commercial restent floues. Qui est responsable : le créateur du modèle ou l'entreprise qui l'intègre ?
Le projet PANAME de la CNIL — un outil d'audit RGPD des modèles d'IA, actuellement en phase de test — devrait apporter des réponses pratiques. Mais nous n'en sommes qu'aux tests. En attendant, chaque entreprise navigue à vue.
Comment s'y retrouver concrètement
Si vous déployez un système d'IA qui traite des données personnelles en France en 2026, voici les questions à se poser dans l'ordre :
Première question : mon système est-il un « système d'IA » au sens de l'IA Act ? La définition est large (article 3.1 du règlement 2024/1689). Si votre outil utilise du machine learning, du deep learning, ou même certaines approches statistiques avancées, la réponse est probablement oui.
Deuxième question : quel est son niveau de risque IA Act ? L'annexe III liste les systèmes à risque élevé. Les lignes directrices d'avril 2026 de l'AI Office précisent les critères. Si votre système est dans un domaine sensible (RH, crédit, justice, éducation, santé), attendez-vous à être classé haut risque.
Troisième question : quelles données personnelles traite-t-il ? Si la réponse est « aucune » (un système de maintenance prédictive sur des données machines, par exemple), le RGPD ne s'applique pas. Vous n'avez que l'IA Act à gérer. C'est le cas le plus simple — et le plus rare.
Quatrième question : ai-je deux évaluations d'impact distinctes ? Si votre système est à risque élevé ET traite des données personnelles, vous devez réaliser à la fois une DPIA (RGPD) et une évaluation de conformité IA Act. Le CEPD recommande de les conduire en parallèle, avec un socle documentaire commun. C'est la seule façon d'éviter de doubler le travail.
Un mot d'honnêteté. Cette méthodologie est ce que j'ai pu reconstituer à partir des textes disponibles. Mais personne ne l'a encore testée devant un tribunal. Les premières jurisprudences sur l'articulation RGPD / IA Act n'existent pas encore. Nous sommes tous en train de construire l'avion en vol.
Ce qui va changer dans les prochains mois
Le calendrier réglementaire ne ralentit pas. Le 2 août 2026 marque l'entrée en application des obligations pour les systèmes IA à risque élevé. C'est dans trois mois. Pour les entreprises qui n'ont pas commencé leur mise en conformité, ça va être serré.
D'ici là, on peut s'attendre à de nouvelles sanctions CNIL combinant RGPD et IA Act, sur le modèle de celle de février. La CNIL a clairement affiché sa volonté de ne pas séparer les deux cadres dans ses contrôles. L'autorité nationale de surveillance IA, elle, n'a pas encore prononcé sa première décision. Mais son existence même change la donne : un deuxième régulateur peut frapper à votre porte.
Notre veille sur IAActs couvre les 136 textes en provenance de 4 sources (CNIL, EUR-Lex, Legifrance, CEPD) et continuera à suivre chaque évolution. Si vous voulez vérifier où en est votre conformité, notre checklist conformité IA Act + template DPA est gratuite et mise à jour à chaque nouveau texte.
La double conformité RGPD / IA Act n'est pas un exercice théorique. C'est 550 000 euros d'amendes en quatre mois, des dizaines de pages de documentation à produire, et un flou juridique que même le CEPD n'a pas entièrement dissipé. Le seul vrai risque, au fond, c'est de croire que l'un des deux textes suffit.
Pour aller plus loin, consultez notre comparatif des sanctions chatbot vs profilage RH ou notre guide pratique en 7 étapes pour mettre un chatbot en conformité. Le bilan d'avril 2026 résume l'ensemble des textes publiés le mois dernier.