Le RGPD et l’IA Act peuvent s’appliquer au même système dès qu’il traite des données personnelles. L’article détaille les niveaux de risque, les obligations de documentation et les erreurs fréquentes.
En 2026, deux règlements européens s'appliquent simultanément à tout déploiement d'IA en entreprise : le RGPD, en vigueur depuis 2018, et l'IA Act, entré en application par étapes depuis août 2024. Voici ce que ça signifie concrètement pour vous.
Ce que le règlement IA Act introduit de neuf
Le règlement (UE) 2024/1689 — dit IA Act — est entré en vigueur le 1er août 2024. Il s'applique à toute organisation qui développe, importe ou utilise des systèmes d'IA sur le marché européen. Pas uniquement les éditeurs de logiciels : les entreprises utilisatrices sont aussi dans le périmètre.
Son architecture repose sur une classification par niveau de risque :
- Risque inacceptable : pratiques interdites. Exemples : notation sociale des citoyens par l'État, manipulation psychologique exploitant des vulnérabilités, identification biométrique en temps réel dans les espaces publics (avec des exceptions encadrées strictement).
- Risque élevé : obligations lourdes de conformité. Sont concernés notamment les systèmes de tri de CV, d'évaluation de candidats, de scoring de crédit, d'accès à des services essentiels, ou d'aide à la décision dans le domaine de la justice ou de l'éducation.
- Risque limité : obligations de transparence. Vous devez informer l'utilisateur qu'il interagit avec une IA — chatbot, deepfake, voix synthétique.
- Risque minimal : pas d'obligation spécifique. La majorité des filtres anti-spam ou des systèmes de recommandation de contenu.
Si vous utilisez un outil de présélection de CV, un chatbot de relation client automatisé, ou un système de scoring commercial, vous êtes probablement en risque élevé ou limité. Vérifiez avant de déployer.
Le calendrier d'application que beaucoup ont raté
L'IA Act ne s'applique pas d'un seul bloc. Les échéances se succèdent, et certaines sont déjà passées :
- Février 2025 : les pratiques interdites sont pleinement applicables. Toute organisation utilisant un système entrant dans cette liste est exposée à des sanctions dès maintenant.
- Août 2025 : obligations spécifiques pour les fournisseurs de modèles d'IA à usage général (GPAI), les grands modèles de langage en particulier — transparence sur les données d'entraînement, respect du droit d'auteur.
- Août 2026 : les obligations sur les systèmes IA à risque élevé deviennent contraignantes, avec obligation d'enregistrement dans la base de données européenne.
En juin 2026, vous êtes dans la fenêtre active : les premières sanctions sur les pratiques interdites sont possibles, et les obligations risque élevé arrivent à terme dans deux mois. Le moment d'agir, c'est maintenant.
Quand RGPD et IA Act s'appliquent en même temps
Le RGPD ne disparaît pas avec l'IA Act. Les deux règlements coexistent, et la quasi-totalité des déploiements d'IA traitent des données personnelles — donc les deux s'appliquent simultanément. C'est le point que beaucoup de directions juridiques n'ont pas encore intégré.
Ce que ça change concrètement :
- Base légale pour les données d'entraînement : si vous entraînez ou affinez un modèle sur des données clients ou collaborateurs, vous avez besoin d'une base légale au sens du RGPD (consentement, intérêt légitime, exécution d'un contrat). L'intérêt légitime n'est pas automatiquement valable — une balance des intérêts documentée est nécessaire.
- Décisions automatisées (article 22 du RGPD) : toute décision prise uniquement par traitement automatisé, ayant un effet significatif sur une personne, lui donne le droit de demander une intervention humaine et de contester le résultat. Refus de crédit automatique, rejet de candidature par algorithme — ce droit est déjà opposable.
- Double évaluation pour les systèmes à risque élevé : vous devrez souvent mener à la fois une Analyse d'Impact relative à la Protection des Données (AIPD) au titre du RGPD et une évaluation de conformité au titre de l'IA Act. Ce ne sont pas les mêmes périmètres, mais les deux sont obligatoires.
- Droits des personnes sur les données d'entraînement : droit d'accès, rectification, effacement — ces droits RGPD s'appliquent aussi aux données utilisées pour former ou alimenter un système d'IA. La CNIL a déjà examiné plusieurs fournisseurs sur ce point.
Les erreurs qu'on voit régulièrement dans les entreprises
Sans liste exhaustive, voici les problèmes qui reviennent le plus souvent chez les organisations qui déploient des outils d'IA sans avoir fait le travail de mise en conformité :
- Utiliser un LLM (ChatGPT, Gemini, Claude) pour traiter des données clients sans vérifier la localisation des données ni les conditions contractuelles du fournisseur.
- Faire du scoring automatique de leads ou de candidats sans documenter la base légale, sans informer les personnes, et sans prévoir de recours humain.
- Ne pas mettre à jour les mentions d'information et politiques de confidentialité pour y intégrer les nouveaux traitements IA.
- Confondre "le fournisseur est conforme" avec "mon usage est conforme" : la conformité de Microsoft ou d'OpenAI ne couvre pas votre déploiement spécifique ni vos propres traitements de données.
- Supposer que les décisions "assistées" par IA échappent à l'article 22 du RGPD. Si l'humain valide sans analyser réellement, la décision reste de facto automatisée aux yeux de la réglementation.
Ce que la CNIL suit de près en 2026
La CNIL a ouvert des procédures d'investigation sur des fournisseurs de modèles génératifs depuis 2023, portant sur la collecte de données d'entraînement et le respect des droits des personnes. Elle a également publié plusieurs recommandations sur l'usage de l'IA en entreprise.
Ses axes de contrôle prioritaires en 2026 portent sur :
- La légalité du traitement des données personnelles dans les systèmes d'IA — notamment la question de la base légale pour l'entraînement des modèles.
- L'obligation d'information des personnes : elles doivent savoir qu'elles interagissent avec une IA, et comprendre comment leurs données sont utilisées.
- Le respect des droits d'accès et d'effacement appliqués aux données intégrées dans des modèles.
Ces contrôles touchent directement les entreprises françaises qui utilisent des outils IA sur des données professionnelles ou clients, même via des fournisseurs tiers.
Se former pour appliquer le cadre RGPD IA concrètement
Lire le texte réglementaire, c'est une étape. Savoir comment l'appliquer à votre secteur, vos outils, vos processus RH ou commerciaux — c'est ce qui manque dans la plupart des équipes. Les profils concernés sont larges : juristes, DRH, responsables IT, chefs de projet digital, commerciaux qui utilisent des outils IA au quotidien.
Chez BGB Formation, nos formations IA abordent le cadre réglementaire RGPD et IA Act appliqué à des cas concrets : quels outils utiliser sans risque, comment documenter les traitements, comment identifier les vraies lignes rouges dans votre contexte. Programmes certifiés Qualiopi, finançables CPF.
Contactez-nous pour un programme adapté à votre secteur ou votre équipe.
À lire aussi :