IAActs

RGPD vs IA Act : qui sanctionne quoi en matière d'IA en France ? Comparatif des obligations, des amendes et des angles morts

Publié le 2026-05-02 | Mots-clés :

RGPD vs IA Act : qui sanctionne quoi en matière d'IA en France ?

Un DPO d'une ETI lyonnaise m'a envoyé un message la semaine dernière. Deux phrases, pas de formule de politesse : « Mon CEO veut savoir si on est conforme IA Act. Je ne sais même pas si c'est mon périmètre. » La question résume un flou que partagent des milliers de responsables conformité en France début mai 2026.

Deux textes coexistent désormais. Le RGPD, en vigueur depuis 2018, continue de frapper — la CNIL a déjà prononcé 550 000 € d'amendes liées à l'IA depuis janvier 2026. Le règlement européen sur l'IA (IA Act), applicable progressivement depuis février 2025, impose de nouvelles couches d'obligations. Mais les frontières entre les deux restent poreuses, et l'avis du CEPD du 15 février 2026 n'a pas tout clarifié.

Ce comparatif pose les deux cadres côte à côte. Sans prétendre que l'un remplace l'autre — ce serait faux — mais pour identifier concrètement ce qui relève de chacun.

Périmètre : ce que chaque texte couvre (et ne couvre pas)

Le RGPD protège les données personnelles. Point. Tout traitement impliquant des données identifiantes ou identifiables tombe sous son emprise, que le traitement utilise de l'IA ou un tableur Excel. Le texte ne mentionne d'ailleurs le terme « intelligence artificielle » nulle part.

L'IA Act, lui, régule les systèmes d'IA en tant que produits ou composants. Sa logique est différente : il classe les systèmes par niveau de risque (inacceptable, élevé, limité, minimal) et impose des obligations graduées. Un système d'IA qui ne traite aucune donnée personnelle — de la maintenance prédictive sur des capteurs industriels, par exemple — tombe quand même sous l'IA Act.

La zone de recouvrement existe, évidemment. Un chatbot RH qui pré-filtre des CV traite des données personnelles et constitue un système d'IA à risque élevé au sens de l'annexe III. Double régime. C'est là que ça se complique.

Le tableau : RGPD vs IA Act, comparatif structuré

Critère RGPD IA Act
Entrée en vigueur effective 25 mai 2018 Progressive : interdictions depuis fév. 2025, obligations risque élevé mi-2026
Autorité de contrôle en France CNIL Autorité nationale désignée (décret mars 2026), coordination CNIL
Objet de la régulation Données personnelles Systèmes d'intelligence artificielle
Approche Par les droits des personnes Par le risque du système
Sanctions maximales 20 M€ ou 4 % du CA mondial 35 M€ ou 7 % du CA mondial
Sanctions IA prononcées en France (2026) 550 000 € (4 décisions CNIL) 0 € (aucune décision à ce jour)
Obligation de transparence IA Art. 13-14 : information sur la logique du traitement Art. 52 : obligation d'informer l'utilisateur qu'il interagit avec une IA
Évaluation d'impact AIPD (art. 35 RGPD) Évaluation de conformité (art. 43 IA Act) pour systèmes à risque élevé
Base légale requise Oui (6 bases, art. 6) Non — approche par conformité technique et documentation
Registre Registre des traitements (art. 30) Base de données européenne des systèmes à risque élevé (art. 71)

Ce tableau est une simplification. Certaines nuances mériteraient un article à elles seules — l'articulation entre l'AIPD RGPD et l'évaluation de conformité IA Act, par exemple, fait encore débat parmi les juristes. L'avis CEPD du 15 février 2026 suggère une approche intégrée, sans la rendre obligatoire.

Les sanctions 2026 : le RGPD frappe, l'IA Act attend

Regardons les chiffres. Notre veille couvre 136 textes et décisions issus de 4 sources (CNIL, EUR-Lex, Legifrance, avis CEPD). Sur les sanctions spécifiquement liées à l'IA en France depuis début 2026, le score est sans appel.

RGPD : 4 décisions, 550 000 €.

Le détail :

  • 250 000 € — profilage automatisé discriminatoire dans un processus de recrutement (janvier 2026). Grief principal : absence de garanties au sens de l'article 22 RGPD.
  • 150 000 € — chatbot déployé sans information claire sur l'usage d'IA (février 2026). La CNIL a retenu le défaut d'information au titre des articles 13 et 14, pas une violation de l'IA Act.
  • 100 000 € — scoring crédit par IA sans évaluation d'impact (décembre 2025, décision publiée en 2026). AIPD absente, article 35 RGPD.
  • 50 000 € — reconnaissance faciale sans base légale (mars 2026). Article 6 RGPD, traitement sans consentement ni intérêt légitime démontré.

IA Act : 0 décision, 0 €.

Rien. Ce n'est pas une surprise. L'autorité nationale de surveillance de l'IA Act n'a été formellement désignée que par le décret de mars 2026. Les obligations sur les systèmes à risque élevé ne s'appliquent pleinement qu'à partir de mi-2026. Et les lignes directrices de l'AI Office publiées le 1er avril 2026 sur la classification des systèmes à risque élevé montrent que la doctrine est encore en construction.

Résultat paradoxal : en mai 2026, la quasi-totalité du risque juridique IA en France vient du RGPD. Pas de l'IA Act.

Transparence : deux obligations, deux logiques

L'obligation de transparence illustre bien la différence d'approche.

Côté RGPD, l'article 13 impose d'informer la personne concernée sur « l'existence d'une prise de décision automatisée, y compris un profilage [...] et des informations utiles concernant la logique sous-jacente ». C'est une obligation d'information sur le traitement. La sanction de 150 000 € pour le chatbot non identifié comme IA a été prononcée sur cette base, pas sur l'IA Act.

Côté IA Act, l'article 52 impose que « les personnes physiques soient informées qu'elles interagissent avec un système d'IA ». C'est une obligation d'information sur la nature du système. Plus ciblée. Mais pas encore sanctionnée.

Un chatbot client classique doit donc satisfaire les deux : informer sur le traitement des données (RGPD) et signaler qu'il s'agit d'une IA (IA Act). Deux bandeaux ? Un seul bien rédigé ? Le CEPD recommande une approche intégrée dans son avis de février 2026, mais les modalités pratiques restent à la discrétion de chaque responsable de traitement.

L'évaluation d'impact : doublon ou complémentarité ?

La question revient systématiquement dans les conférences compliance. J'y étais à une en mars, à Paris — trois intervenants, trois réponses différentes sur ce point précis.

L'AIPD RGPD (article 35) s'applique dès qu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le critère est centré sur l'impact individuel. La CNIL a sanctionné l'absence d'AIPD dans le cas du scoring crédit (100 000 €).

L'évaluation de conformité IA Act (article 43) s'applique aux systèmes d'IA à risque élevé listés en annexe III. Le critère est la catégorie du système, pas l'impact mesuré. L'arrêté du 28 février 2026 précise les modalités de déclaration dans la base européenne.

Les deux exercices partagent des éléments — description du système, mesures de mitigation, gouvernance — mais leurs finalités divergent. L'AIPD protège les droits des personnes. L'évaluation IA Act vérifie la conformité technique du produit.

Le règlement délégué du 10 mars 2026 sur les modèles GPAI ajoute encore une couche pour les fournisseurs de modèles fondation. On parle de trois niveaux d'évaluation potentiels pour un même système. Pas vraiment de la simplification administrative.

Qui est responsable ? Déployeur, fournisseur, sous-traitant

Autre point de friction. Le RGPD raisonne en « responsable de traitement » et « sous-traitant ». L'IA Act distingue « fournisseur » et « déployeur ».

Ces catégories ne se superposent pas toujours. Une entreprise qui achète un modèle d'IA pré-entraîné et le déploie dans un chatbot client est : - Responsable de traitement au sens du RGPD (elle détermine les finalités du traitement des données) - Déployeur au sens de l'IA Act (elle met le système en service)

Mais le fournisseur du modèle peut aussi être sous-traitant RGPD et fournisseur IA Act, avec des obligations distinctes dans chaque cadre. Le contrat de sous-traitance RGPD (article 28) ne couvre pas les obligations IA Act du fournisseur. Il faudra un contrat additionnel, ou des clauses supplémentaires.

C'est un angle mort contractuel que beaucoup de PME n'ont pas encore identifié.

Trois cas concrets : quel texte s'applique ?

Cas 1 : chatbot de service client

Un chatbot répond aux questions des clients d'un e-commerce. Il traite des données personnelles (nom, historique d'achats). C'est un système d'IA à risque limité au sens de l'IA Act.

  • RGPD : information articles 13-14, base légale (intérêt légitime ou contrat), registre des traitements. AIPD recommandée si profilage.
  • IA Act : obligation de transparence article 52 (signaler que c'est une IA). Pas d'évaluation de conformité obligatoire (risque limité).

Risque dominant aujourd'hui : RGPD. La sanction de 150 000 € le prouve.

Cas 2 : IA de scoring RH

Un outil d'IA pré-trie les CV pour un poste. Il classe les candidats par score d'adéquation.

  • RGPD : décision automatisée article 22 (droit à une intervention humaine), AIPD obligatoire, information renforcée.
  • IA Act : système à risque élevé (annexe III, emploi et gestion de la main-d'œuvre). Évaluation de conformité, enregistrement base européenne, documentation technique complète.

Risque dominant : les deux, simultanément. La sanction de 250 000 € pour profilage discriminatoire montre que le RGPD mord déjà. L'IA Act mordra ensuite.

Cas 3 : maintenance prédictive industrielle

Un modèle analyse les vibrations de machines pour anticiper les pannes. Aucune donnée personnelle traitée.

  • RGPD : hors périmètre.
  • IA Act : potentiellement système à risque limité ou minimal, selon la criticité. Obligations légères.

Risque dominant : quasi nul sur le plan réglementaire données/IA. Ce cas rappelle que tous les systèmes d'IA ne génèrent pas de la panique juridique.

Ce que ça change pour un DPO en mai 2026

Le DPO lyonnais avait raison de poser sa question. La réponse courte : oui, c'est son périmètre, au moins partiellement. Le CEPD a publié 55 avis et documents de cadrage répertoriés dans notre base, dont plusieurs traitent explicitement de l'articulation RGPD/IA Act. Les lignes directrices de l'AI Office du 1er avril 2026 sur les systèmes à risque élevé ajoutent 9 textes européens supplémentaires au corpus.

Mais le DPO ne peut pas porter les obligations IA Act seul. L'évaluation de conformité technique relève aussi de l'ingénierie, de la qualité produit, parfois de la direction juridique.

La vraie difficulté n'est pas de comprendre chaque texte isolément. C'est de coordonner les deux. Et pour l'instant, aucune décision IA Act ne donne de signal prix sur ce que coûte la non-conformité de ce côté-là. Le RGPD reste le seul levier financier concret.

Ça changera. Probablement d'ici la fin 2026.

Pour aller plus loin

Si votre organisation déploie un chatbot, notre guide en 7 étapes pour la conformité RGPD et IA Act détaille le parcours pratique. Pour une vision plus large de la double conformité, l'analyse de l'avis CEPD et des 136 textes à suivre couvre les chevauchements entre les deux cadres. Et le récit de Marc, CTO de startup confronté aux obligations GPAI, illustre ce que signifie concrètement l'empilement réglementaire au quotidien.

Notre checklist de conformité IA Act et le template DPA sont disponibles gratuitement sur le site — ils couvrent les deux cadres et intègrent les mises à jour du règlement délégué GPAI du 10 mars 2026.