Sommaire
1. Le mythe de la couverture RGPD
« On est déjà conforme RGPD, donc on est couvert pour l'IA. »
C'est la phrase que j'entends le plus souvent en pré-diagnostic. Et c'est une erreur qui peut coûter cher.
Le RGPD protège les données personnelles. L'EU AI Act encadre les systèmes d'intelligence artificielle. Ce sont deux périmètres différents, avec des obligations différentes, des documents différents, et des sanctions différentes. Notre guide complet EU AI Act détaille chaque obligation.
Un exemple concret : votre CRM utilise un scoring prédictif pour classer vos prospects. Côté RGPD, vous documentez le traitement des données personnelles. Côté EU AI Act, vous devez documenter le système dans un registre séparé, informer les utilisateurs qu'ils interagissent avec une IA, et former vos équipes à son fonctionnement.
Deux réglementations. Deux registres. Deux logiques. Même outil.
| RGPD | EU AI Act | |
|---|---|---|
| Objet | Données personnelles | Systèmes d'IA |
| Document central | Registre des traitements | Registre des systèmes IA |
| Évaluation des risques | DPIA (impact vie privée) | Classification par risque (4 niveaux) |
| Référent | DPO (optionnel PME) | Responsable conformité IA (recommandé) |
| Formation | Sensibilisation RGPD | Littératie IA — Article 4 (obligatoire depuis février 2025) |
| Transparence | Informer sur le traitement des données | Informer sur l'utilisation de l'IA (Article 50) |
| Sanctions max | 20 M€ ou 4 % du CA | 35 M€ ou 7 % du CA |
La bonne nouvelle : vous n'êtes pas couvert, mais vous avez une longueur d'avance considérable. Sur les 7 piliers du tableau, plus de la moitié se transfère directement ou partiellement. Vous ne partez pas de zéro.
2. Ce qui est réellement nouveau
Votre conformité RGPD vous a donné le réflexe registre, le référent conformité, la culture documentation, et les formations. Tout cela se transfère. Ce que l'EU AI Act ajoute de fondamentalement différent :
La classification par niveau de risque. Le RGPD ne classe pas les traitements par niveau de risque technique du système. L'EU AI Act, si : inacceptable, élevé, limité, minimal. Chaque niveau implique des obligations différentes. C'est un concept entièrement nouveau.
L'obligation de transparence IA (Article 50). Au-delà de la transparence sur les données, vous devez informer les utilisateurs qu'ils interagissent avec une IA. Un chatbot sur votre site ? L'utilisateur doit le savoir. Un contenu généré par IA ? Il doit être identifié.
La supervision humaine obligatoire (Article 14). Pour les systèmes à haut risque, un humain doit pouvoir comprendre, superviser et interrompre les décisions de l'IA. Ce n'est pas une recommandation — c'est une obligation légale.
La documentation Article 6§3. Si votre système IA correspond à un cas d'usage listé à l'Annexe III mais que vous estimez qu'il ne présente pas de risque significatif, vous devez documenter pourquoi par écrit. Cette conclusion documentée est une obligation — même si le résultat est « pas haut risque ».
Note Digital Omnibus : Le Parlement européen a voté un report des obligations haut risque (Annexe III) à décembre 2027. Les obligations ci-dessus — transparence (Article 50), littératie (Article 4), documentation (Article 6§3) — ne sont PAS affectées. Elles restent applicables au 2 août 2026.
3. Le rôle du DPO face à l'EU AI Act (et ses limites)
Si vous avez un DPO — interne ou externalisé — il est votre meilleur atout pour la conformité IA. Mais pas votre solution complète.
Ce que le DPO peut faire seul
- Coordonner l'inventaire IA. Il sait déjà cartographier les traitements de données. Étendre cette cartographie aux systèmes IA est une extension logique.
- Maintenir le registre des systèmes IA. Même discipline que le registre des traitements.
- Piloter la formation littératie IA. Ajouter un module IA à son programme RGPD existant est la démarche la plus efficace.
- Superviser la gouvernance IA. Le DPO a la légitimité transverse pour coordonner la politique d'utilisation de l'IA entre les services.
Ce que le DPO ne peut PAS faire seul
- Classifier les systèmes par niveau de risque EU AI Act. Le RGPD classe par données. L'EU AI Act classe par système. Un DPO qui connaît parfaitement les catégories de données personnelles ne sait pas nécessairement évaluer si un outil de scoring RH relève de l'Annexe III.
- Produire la documentation technique Annexe IV. Pour les systèmes haut risque : architecture, données d'entraînement, métriques de performance, mesures de supervision. Ce n'est pas de la documentation RGPD élargie — c'est un nouveau type de document.
Le DPO a besoin d'un complément. Soit en interne (formation spécifique EU AI Act), soit en externe (accompagnement spécialisé). C'est comme demander à un expert-comptable de réaliser un audit technique industriel — la rigueur et la méthode sont là, mais le domaine technique est différent.
La complémentarité DPO × spécialiste conformité IA est le modèle le plus efficace. Le DPO apporte la coordination et la culture conformité, le spécialiste apporte la lecture technique EU AI Act. Chacun dans son domaine d'excellence.
4. Plan d'action en 5 étapes
Vous êtes conforme RGPD. Voici comment étendre votre conformité à l'EU AI Act, dans l'ordre.
Étape 1 — Étendre votre registre des traitements
Ajoutez une colonne « Système IA utilisé » à votre registre existant. C'est le pont entre vos deux registres. Votre CRM utilise un scoring prédictif ? Notez-le. Vos équipes utilisent ChatGPT ? Notez-le. Vous risquez de découvrir des outils IA que personne n'a validés — c'est le phénomène du Shadow AI, et 49 % des entreprises sont concernées.
Étape 2 — Créer votre registre des systèmes IA
Document séparé. Pour chaque outil IA identifié : nom, fournisseur, cas d'usage, données traitées, niveau de risque estimé, responsable interne. Notre guide pas à pas détaille la méthode complète. Un template Excel gratuit est disponible sur complyla.com.
Étape 3 — Classifier vos systèmes par niveau de risque
Pour chaque système, posez trois questions : l'outil prend-il des décisions affectant des personnes ? Traite-t-il des données biométriques ou sensibles ? Est-il utilisé dans un domaine listé à l'Annexe III (emploi, éducation, crédit, santé, justice) ?
Si oui à l'une : potentiellement haut risque. Documentez cette conclusion par écrit (Article 6§3) — c'est une obligation spécifique lorsque votre système correspond à un cas d'usage Annexe III, même si vous concluez qu'il ne présente pas de risque significatif.
Étape 4 — Former vos équipes (Article 4)
Étendez votre programme RGPD avec un module littératie IA : qu'est-ce qu'un système IA au sens de l'EU AI Act, bonnes pratiques d'utilisation, procédures de signalement. Cette obligation est en vigueur depuis février 2025 — et c'est la plus ignorée.
Étape 5 — Documenter votre politique IA
Rédigez une politique d'utilisation interne : périmètre, outils autorisés et interdits, règles par cas d'usage, responsable désigné, procédure d'incidents, calendrier de revue. C'est le pendant IA de votre politique de confidentialité RGPD. Notre checklist 90 jours détaille le calendrier complet.
5. Questions fréquentes
Mon DPO peut-il gérer la conformité EU AI Act seul ?
Il peut coordonner l'inventaire, maintenir le registre, et piloter la formation. La classification par niveau de risque et la documentation Annexe IV nécessitent un complément technique spécifique.
L'EU AI Act remplace-t-il le RGPD pour les données IA ?
Non. Les deux coexistent. Le RGPD s'applique aux données personnelles, l'EU AI Act aux systèmes. Vous devez être conforme aux deux.
Dois-je faire une DPIA et une évaluation des risques IA pour le même outil ?
Potentiellement oui. La DPIA évalue l'impact vie privée. L'EU AI Act demande une classification par risque du système, et pour les déployeurs de systèmes haut risque, une FRIA (Article 27). Un outil de scoring RH peut nécessiter les deux.
Quelles sanctions si je suis conforme RGPD mais pas EU AI Act ?
Sanctions distinctes et cumulables. Les amendes EU AI Act vont jusqu'à 35 M€ ou 7 % du CA mondial. Être conforme RGPD ne protège pas.
6. Passer à l'action
Vous êtes conforme RGPD. Vous avez les fondations. L'EU AI Act vous demande d'élargir votre périmètre, pas de tout reconstruire.
Évaluez votre conformité EU AI Act
Téléchargez notre guide gratuit (8 pages, template inventaire IA inclus) ou évaluez votre conformité en 5 minutes.
Évaluation gratuite → Guide PDF gratuitVous êtes DPO et vos clients PME vous posent des questions sur l'EU AI Act ? La complémentarité RGPD × conformité IA est un levier naturel pour élargir votre accompagnement. Contactez-nous pour explorer un partenariat.
Jeremy Couchet — Consultant en conformité IA
20 ans d'expérience en conformité réglementaire aéronautique (EASA/FAA). Aujourd'hui, cette rigueur est appliquée à la gouvernance IA des PME européennes.
Ce contenu constitue un guide informatif et ne constitue pas un avis juridique. Pour toute question juridique spécifique relative à l'EU AI Act ou au RGPD, consultez un avocat spécialisé.