RGPD vs IA Act : lequel mord vraiment quand votre IA dérape en France ?
RGPD vs IA Act : lequel mord vraiment quand votre IA dérape en France ?
Un DPO m'a posé la question il y a trois semaines, entre deux cafés dans un open space de la Défense. Son CTO venait de lui envoyer un lien vers le décret d'application de l'IA Act publié le 20 mars 2026, en lui demandant : « Ça change quoi pour nous concrètement, par rapport au RGPD ? ». La réponse que j'ai donnée ce jour-là — « c'est compliqué » — était honnête mais insuffisante.
Alors j'ai fait le travail. J'ai croisé nos 136 textes réglementaires issus de quatre sources (CNIL, EUR-Lex, Legifrance, CEPD), les 4 décisions de sanction CNIL liées à l'IA depuis janvier 2026, et l'avis du CEPD de février 2026 sur l'articulation entre les deux régimes. Le résultat est un comparatif que j'aurais aimé avoir sous la main ce jour-là.
Spoiler : les deux mordent. Mais pas aux mêmes endroits.
Le cadre — deux textes, deux logiques, un même système IA
Le RGPD encadre les données personnelles. L'IA Act encadre les systèmes d'IA. Cette distinction, qui a l'air simple, devient un casse-tête dès qu'un chatbot collecte l'adresse e-mail d'un utilisateur tout en étant classé « risque limité » au sens de l'IA Act.
Le RGPD est en vigueur depuis mai 2018. Huit ans de jurisprudence. La CNIL a construit un appareil d'enforcement éprouvé : 64 documents de référence rien que dans notre base de veille. L'IA Act, lui, entre en application par paliers depuis février 2025. Le décret français de mars 2026 vient tout juste de désigner l'autorité nationale de surveillance. On est encore dans le flou opérationnel.
Malgré ça, le CEPD a publié un avis le 15 février 2026 pour clarifier comment ces deux régimes s'articulent. La réponse officielle : ils sont complémentaires, pas alternatifs. Traduction : vous devez vous conformer aux deux. Simultanément.
Le tableau qui tranche
Voici la comparaison structurée, critère par critère, basée sur les textes en vigueur et les décisions CNIL de 2026.
| Critère | RGPD | IA Act |
|---|---|---|
| Objet réglementé | Données personnelles (collecte, traitement, stockage) | Système d'IA en tant que produit/service |
| Entrée en vigueur effective | Mai 2018 (8 ans de recul) | Paliers 2025-2027 (décret FR : mars 2026) |
| Amende maximale théorique | 20 M€ ou 4 % du CA mondial | 35 M€ ou 7 % du CA mondial |
| Sanctions réelles IA (France, 2026) | 550 000 € en 4 décisions CNIL | 0 € (aucune sanction prononcée à ce jour) |
| Autorité compétente FR | CNIL (opérationnelle, 64 docs de référence) | Autorité désignée par décret du 20/03/2026 (pas encore opérationnelle) |
| Obligation d'AIPD/évaluation | AIPD obligatoire si risque élevé (art. 35 RGPD) | Évaluation de conformité obligatoire pour systèmes à haut risque (annexe III) |
| Transparence | Information des personnes (art. 13-14) | Obligation de signaler que l'utilisateur interagit avec une IA (art. 50) |
| Base de textes suivis | 64 docs CNIL + 9 textes Legifrance | 8 textes EUR-Lex + 55 avis CEPD (dont chevauchements) |
| Profiling/décision automatisée | Art. 22 : droit de ne pas être soumis à une décision automatisée | Classification « haut risque » pour recrutement, crédit, etc. |
Ce tableau raconte une histoire. Le RGPD frappe déjà. L'IA Act va frapper. On en est là.
Là où le RGPD a déjà planté ses crocs
Quatre sanctions CNIL liées à l'IA depuis janvier 2026. Total : 550 000 €. Toutes fondées sur le RGPD, aucune sur l'IA Act.
La plus lourde : 250 000 € contre Company Z, pour profilage discriminatoire dans un processus de recrutement piloté par IA. L'algorithme de tri de CV filtrait les candidatures selon des critères corrélés à l'âge et à l'origine géographique. Pas de DPIA, pas d'information des candidats, pas de mécanisme d'intervention humaine. Triple violation des articles 22, 35 et 13 du RGPD — et l'IA Act n'a même pas eu besoin d'entrer dans le débat.
Deuxième décision marquante : 150 000 € contre Company Y, pour un chatbot déployé sans information claire sur l'usage d'IA. Un manquement à la transparence qui relève à la fois du RGPD (article 13) et de l'IA Act (article 50), mais sanctionné uniquement sur la base RGPD parce que l'IA Act n'était pas encore en application au moment des faits.
Puis Company W : 100 000 € pour scoring crédit sans évaluation d'impact. Et Company X : 50 000 € pour reconnaissance faciale sans base légale.
Le pattern est clair. Le RGPD est l'arme qui tire. Pas l'IA Act. Pas encore.
Là où l'IA Act va changer la donne
Le fait que l'IA Act n'ait produit aucune sanction ne signifie pas qu'il soit inoffensif. C'est un raisonnement dangereux que j'entends chez beaucoup de fondateurs. « On verra quand ça tombera. » On a vu ce que ça donnait avec le RGPD en 2018.
L'IA Act apporte trois obligations que le RGPD ne couvre pas :
1. La classification par niveau de risque. Le RGPD ne classe pas les systèmes. L'IA Act, si. Un chatbot grand public ? Risque limité. Un système de scoring RH ? Haut risque. Reconnaissance faciale en temps réel dans l'espace public ? Interdit. Cette grille change la charge de conformité selon le produit que vous construisez. Le RGPD, lui, applique les mêmes règles à un tableur Excel et à un réseau de neurones — ce qui est à la fois sa force (couverture universelle) et sa faiblesse (inadaptation aux spécificités IA).
2. L'obligation de documentation technique. Les lignes directrices de l'AI Office publiées le 1er avril 2026 précisent les exigences de documentation pour les systèmes à haut risque. On parle de logs de données d'entraînement, de métriques de performance, de tests de biais. Le RGPD exige un registre des traitements (article 30), mais pas la documentation du modèle lui-même. L'écart est significatif.
3. Les obligations GPAI. Le règlement délégué du 10 mars 2026 sur les modèles d'IA à usage général (GPAI) crée un cadre dédié pour les fournisseurs de modèles fondationnels. Si vous utilisez GPT-4 ou Mistral comme brique dans votre produit, vous n'êtes pas exempté — le « deployer » a ses propres obligations de transparence et de gestion des risques. Le RGPD ne distingue pas entre le fournisseur du modèle et celui qui l'intègre.
Le piège du « on est déjà conforme RGPD, donc c'est bon »
C'est le réflexe le plus répandu et le plus dangereux. J'ai audité informellement une dizaine de startups SaaS ces derniers mois. Huit sur dix partaient du principe que leur conformité RGPD couvrait l'IA Act. Faux.
Prenons un cas concret. Un chatbot de service client, conforme RGPD : mention d'information, DPA avec le sous-traitant, registre des traitements à jour. Bien. Maintenant, côté IA Act :
- A-t-il une mention explicite « vous interagissez avec une IA » ? (article 50)
- La documentation technique du modèle est-elle disponible ? (si haut risque)
- Les outputs générés sont-ils marqués comme artificiels ? (si contenu généré)
La conformité RGPD ne répond à aucune de ces questions. Ce sont deux check-lists différentes, pas une qui englobe l'autre.
Et l'inverse est vrai aussi. Un système classé « risque minimal » au sens de l'IA Act n'a quasiment aucune obligation spécifique sous ce régime. Mais s'il traite des données personnelles, le RGPD s'applique intégralement. L'arrêté du 28 février 2026 sur la déclaration des systèmes à risque élevé ne dispense personne d'une AIPD au sens de l'article 35 RGPD.
La zone grise qui va occuper les avocats pendant des années
Il y a un angle mort que personne ne traite franchement : le chevauchement des sanctions. Que se passe-t-il quand un même manquement relève des deux régimes ? Company Y a été sanctionnée 150 000 € pour un défaut de transparence sur son chatbot. Ce manquement viole l'article 13 du RGPD et l'article 50 de l'IA Act. Demain, quand les deux autorités seront opérationnelles, y aura-t-il double sanction ?
Le principe ne bis in idem devrait s'appliquer. Mais les deux textes protègent des intérêts juridiques distincts — les données personnelles d'un côté, la sécurité des produits IA de l'autre. Le CEPD a prudemment recommandé une « coordination entre autorités » dans son avis de février. En clair : ils ne savent pas encore. Et moi non plus, d'ailleurs.
Ce flou a une conséquence pratique immédiate. Votre budget compliance doit intégrer la possibilité d'un cumul de sanctions. Pas parce que c'est certain, mais parce que le contraire n'est garanti par aucun texte actuellement en vigueur. Un montant de 150 000 € RGPD pourrait théoriquement se doubler d'une amende IA Act sur les mêmes faits — et là, votre CFO ne va pas apprécier la surprise.
Je considère personnellement que le cumul pur sera évité pour des raisons politiques. L'UE ne veut pas être perçue comme anti-innovation. Mais « évité politiquement » et « interdit juridiquement » sont deux réalités très différentes. Tant qu'un arrêt de la CJUE ou un texte de coordination formelle n'aura pas tranché, le risque existe.
Ma position : le RGPD reste le risque n°1 en 2026, mais l'inversion arrive
Je vais être direct. Si vous ne devez prioriser qu'un seul chantier de conformité IA aujourd'hui — et c'est souvent la réalité quand les budgets compliance sont serrés — le RGPD est votre risque immédiat. Quatre sanctions en quatre mois, une autorité opérationnelle, un corpus jurisprudentiel mature.
Mais cette hiérarchie va s'inverser. Et probablement plus vite que ce que le marché anticipe.
L'autorité nationale de l'IA Act va devenir opérationnelle d'ici fin 2026. Les amendes plafonnées à 35 M€ ou 7 % du CA mondial dépassent celles du RGPD. Et les obligations de documentation technique vont créer une charge de conformité technique — pas juste juridique — que beaucoup de PME n'ont pas encore budgétée.
Le CEPD l'a dit clairement dans son avis de février : les deux régimes doivent être traités en parallèle, pas en séquence. Attendre 2027 pour commencer l'IA Act, c'est reproduire l'erreur de 2016-2018 avec le RGPD. On connaît la suite.
Ce que ça implique pour votre roadmap conformité
Trois priorités concrètes, dans cet ordre :
Auditez vos systèmes IA sous le prisme RGPD d'abord. Les sanctions tombent maintenant. Si vous avez du profilage, du scoring, ou un chatbot qui collecte des données personnelles, votre AIPD doit exister et être à jour. Company Z a payé 250 000 € pour un profilage sans évaluation d'impact — et ce montant va devenir la norme basse. Notre analyse détaillée des 4 sanctions CNIL IA de 2026 et des tendances de profilage montre que les montants augmentent.
Classifiez vos systèmes selon l'IA Act. Même si l'enforcement n'a pas commencé, la classification détermine vos futures obligations. Un système mal classé aujourd'hui, c'est une non-conformité demain. Si vous ne savez pas par où commencer, notre guide pratique pour rendre un chatbot conforme RGPD et IA Act détaille les étapes.
Documentez le modèle, pas seulement le traitement. Le RGPD vous demande de documenter ce que vous faites avec les données. L'IA Act vous demande de documenter comment le modèle fonctionne. Ce sont deux registres différents. Si vous naviguez dans les 136 textes du mille-feuille réglementaire IA français, cette distinction est le fil conducteur.
Verdict
Le match RGPD vs IA Act n'a pas de gagnant — et c'est bien le problème. Les deux régimes coexistent, se chevauchent partiellement, et imposent chacun des obligations que l'autre ne couvre pas.
Le RGPD est le régime qui sanctionne aujourd'hui. 550 000 € en 2026, 4 décisions, une machine CNIL rodée. L'IA Act est le régime qui va restructurer la conformité IA de fond en comble d'ici 2027, avec des plafonds d'amendes supérieurs et des exigences techniques sans précédent.
Les opposer est une erreur de cadrage. Les traiter séparément, une erreur de méthode. Les ignorer, une erreur budgétaire.
Votre DPO et votre CTO doivent être dans la même pièce. Pas en séquentiel. En parallèle.
Pour démarrer votre mise en conformité, téléchargez notre checklist gratuite conformité IA Act + template DPA — un document de travail, pas un gadget marketing.