Conformité

AI Act et RGPD : articulation pratique en 2026

AI Act et RGPD se cumulent quand un système IA traite des données personnelles. AIPD vs AI Impact Assessment, base légale, transparence, droits — voici l'articulation pratique en 2026.

9 min

L'AI Act (UE 2024/1689) s'applique aux systèmes IA à haut risque depuis le 2 août 2026. Le RGPD (UE 2016/679) s'applique depuis 2018 aux traitements de données personnelles. Quand un système IA traite des données personnelles, les deux règlements se cumulent.

Voici l'articulation pratique en 2026 pour les SaaS IA-natives européens.

Le principe de cumul

L'AI Act n'abroge pas le RGPD. Le considérant 9 de l'AI Act le dit explicitement : "le présent règlement ne devrait pas affecter les dispositions relatives à la responsabilité des fournisseurs et des utilisateurs de systèmes IA prévues dans la directive (UE) 2024/2853 ni les règles de protection des données à caractère personnel."

Du coup, si votre système IA traite des données personnelles (ce qui est le cas dans 90% des cas en B2B), vous appliquez les deux. RGPD garde sa primauté sur le traitement des données personnelles.

Recouvrements et différences

RGPD couvre le traitement de données personnelles (toutes finalités confondues, IA ou pas). Concepts : finalité, base légale, minimisation, droits des personnes, AIPD.

AI Act couvre les systèmes d'IA mis sur le marché ou utilisés dans l'UE (toutes données confondues, personnelles ou non). Concepts : classification de risque, documentation Annexe IV, surveillance humaine, robustesse.

| Aspect | RGPD | AI Act | |---|---|---| | Périmètre | Données personnelles | Systèmes IA | | Document obligatoire | AIPD (Article 35) si risque élevé | Documentation Annexe IV (haut risque) | | Évaluation | Impact sur les droits et libertés | Risque sur les droits fondamentaux | | Transparence | Information des personnes | Information IA (Article 13 AI Act) | | Surveillance | DPO (si applicable) | Surveillance humaine (Article 14) | | Autorité française | CNIL | CNIL + DGCCRF + Arcom selon usage |

Les 4 zones où les deux se télescopent

1. AIPD vs AI Impact Assessment

L'AIPD RGPD (Article 35) évalue l'impact sur les droits et libertés des personnes lié au traitement de données personnelles. L'AI Act demande une évaluation de risque (Article 9) pour les systèmes haut risque.

En pratique : les deux peuvent être faites dans un document unique mais avec deux sections distinctes. La CNIL a publié des recommandations sur l'articulation. Le AI Impact Assessment couvre des aspects que l'AIPD ne touche pas (équité, sûreté technique, robustesse adversariale).

2. Base légale du traitement

Le RGPD impose une base légale (Article 6 : consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêt légitime). L'AI Act ne change pas cette obligation.

Pour un système IA en production qui traite des données personnelles, identifier la base légale RGPD reste obligatoire. L'AI Act ajoute des contraintes spécifiques (Article 10 sur la gouvernance des données d'entraînement) mais ne remplace pas la base légale.

3. Information des personnes

Le RGPD impose Articles 13-14 (information au moment de la collecte). L'AI Act impose Article 13 (transparence sur la nature IA, capacités, limites).

En pratique : la mention RGPD doit être complétée par une mention AI Act distincte. "Vos données seront traitées par un système d'IA pour [finalité]. Capacités, limites et possibilité d'intervention humaine : [lien vers documentation]."

4. Droits des personnes

Le RGPD donne des droits étendus (accès, rectification, effacement, portabilité, opposition, refus du profilage automatisé Article 22). L'AI Act ne donne pas de droits supplémentaires aux personnes mais renforce certains aspects (transparence, surveillance humaine pour les décisions à effet juridique).

L'Article 22 RGPD (refus de la décision automatisée) reste applicable et est renforcé en pratique par l'exigence AI Act de surveillance humaine.

Cas concrets

Cas 1 : SaaS de scoring crédit IA

  • AI Act haut risque (Annexe III §5).
  • RGPD : traitement profilage Article 22 + base légale solide + information.
  • AIPD obligatoire RGPD + AI Impact Assessment AI Act (peuvent être combinés).
  • Surveillance humaine obligatoire (Article 14 AI Act).
  • Documentation Annexe IV AI Act + registre Article 30 RGPD.
  • Coût conformité combinée : 80-150 K€ initial + maintenance.

Cas 2 : SaaS de RH avec aide à l'évaluation IA

  • AI Act haut risque (Annexe III §4).
  • RGPD : traitement RH avec base légale contrat de travail + intérêt légitime employeur.
  • AIPD + AI IA cumulés.
  • Information renforcée des candidats sur la nature IA.
  • Article 22 RGPD : la décision finale ne peut être 100% automatisée.

Cas 3 : SaaS B2B IA-générative pour rédaction marketing

  • AI Act minimum risque ou risque limité (pas haut risque).
  • RGPD : si traitement de données personnelles client, base légale + information.
  • Pas d'AIPD obligatoire sauf cas particulier.
  • Documentation AI Act allégée.
  • Beaucoup plus simple que les cas 1 et 2.

Les 5 documents critiques en 2026

Pour un SaaS IA-native B2B en 2026, ces 5 documents sont attendus en DDQ :

  1. Politique de confidentialité (RGPD Articles 13-14) à jour avec mention IA.
  2. Registre Article 30 RGPD avec section dédiée aux traitements IA.
  3. AIPD pour les traitements à risque + AI Impact Assessment pour les systèmes IA haut risque.
  4. Documentation technique Annexe IV AI Act si système haut risque.
  5. Procédure de surveillance humaine documentée et opérationnelle.

Si vous avez ces 5 documents à jour, vous résistez à 90% des audits enterprise sur le volet IA + données personnelles.

Questions fréquentes

L'AI Act remplace-t-il le RGPD ?

Non. L'AI Act et le RGPD se cumulent. Le considérant 9 de l'AI Act le précise explicitement. Si votre système IA traite des données personnelles (90% des cas en B2B), vous appliquez les deux. RGPD garde sa primauté sur le traitement des données personnelles.

Faut-il faire AIPD ET AI Impact Assessment ?

Si système IA haut risque + traitement de données personnelles : oui, les deux. Ils peuvent être combinés dans un document unique avec sections distinctes. L'AI Impact Assessment couvre des aspects que l'AIPD ne touche pas : équité, sûreté technique, robustesse adversariale. La CNIL a publié des recommandations sur l'articulation.

Comment informer les utilisateurs d'un système IA ?

Deux mentions distinctes : (1) RGPD Articles 13-14 sur le traitement des données personnelles (finalité, base légale, durées, droits) ; (2) AI Act Article 13 sur la nature IA (capacités, limites, possibilité d'intervention humaine, performance). Pas de fusion possible — les deux sont complémentaires.

L'Article 22 RGPD s'applique-t-il aux décisions IA haut risque ?

Oui. Article 22 RGPD (refus de la décision automatisée) reste applicable. La surveillance humaine obligatoire de l'AI Act (Article 14) le renforce en pratique : pour les décisions à effet juridique sur les personnes, un humain doit pouvoir intervenir avant la décision finale, pas juste la valider après.

Quelle autorité française est compétente ?

RGPD : CNIL exclusivement. AI Act : CNIL (libertés fondamentales, données personnelles), DGCCRF (protection consommateurs), Arcom (audiovisuel, plateformes), ANSSI (cybersécurité du modèle pour GPAI à risque systémique). Coordination interministérielle en place.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ConformitéAI Act haut risque ConformitéRGPD vs ISO 27001 ConformitéISO 42001

À propos de l'auteur

Aroua Biri

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt