Introduction
L'entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018 a profondément reconfiguré la gouvernance des données personnelles en Europe. L'adoption du Règlement européen sur l'intelligence artificielle (RIA ou AI Act) marque une étape supplémentaire : encadrer les systèmes d'intelligence artificielle selon une approche fondée sur les risques. La question n'est plus de savoir si ces deux textes coexistent, mais comment ils s'articulent concrètement.
À retenir
Dès lors qu'un système d'IA traite des données à caractère personnel, le RGPD et l'AI Act s'appliquent de manière cumulative. Il ne s'agit pas de choisir entre les deux, mais de les coordonner.
Deux logiques complémentaires
Le RGPD protège les données personnelles, quel que soit l'outil utilisé. Le RIA, quant à lui, encadre les systèmes d'IA qu'ils traitent ou non des données personnelles. En pratique, dès lors qu'un système d'IA traite des données à caractère personnel — recrutement automatisé, scoring de crédit, surveillance biométrique, outils RH prédictifs —, les deux règlements s'appliquent de manière cumulative.
| Texte | Objet | Logique principale |
|---|---|---|
| RGPD | Données personnelles | Licéité, transparence, droits des personnes |
| AI Act | Systèmes d'IA | Approche par le risque, obligations techniques |
Le RGPD encadre la licéité du traitement — base légale, minimisation des données, transparence, droits des personnes —, tandis que le RIA impose des obligations spécifiques selon le niveau de risque identifié : documentation technique, gestion des risques, supervision humaine.
Des tensions apparentes, pas insurmontables
Des tensions peuvent surgir entre les deux textes :
- Le RIA exige l'exactitude et la complétude des données, ce qui peut sembler en contradiction avec le principe de minimisation du RGPD.
- Le RIA autorise le traitement de données sensibles pour corriger des biais algorithmiques, là où le RGPD l'interdit sauf exceptions expressément prévues.
ℹ️ Ces tensions ne sont pas insurmontables
Des synergies existent bel et bien entre les deux régimes. La clé réside dans une lecture coordonnée plutôt qu'opposée des deux textes, en documentant précisément les choix effectués et leurs justifications.
L'approche par les risques : un terrain commun
La conciliation des deux textes repose sur une philosophie partagée : l'approche par les risques. Le RGPD impose une analyse d'impact relative à la protection des données (AIPD) pour les traitements susceptibles d'engendrer un risque élevé. Le RIA exige, pour les systèmes d'IA à haut risque, un dispositif structuré d'évaluation et d'atténuation des risques.
Bonne pratique
Dans les faits, les entreprises devront coordonner ces deux démarches afin d'éviter les redondances : une AIPD rigoureusement conduite pourra alimenter directement la documentation exigée par le RIA.
Transparence et droits des personnes
Le RGPD garantit des droits fondamentaux — accès, rectification, opposition, limitation, effacement — et encadre les décisions automatisées produisant des effets juridiques significatifs (article 22). Le RIA vient renforcer cette logique en imposant des obligations de transparence spécifiques :
- Information des utilisateurs interagissant avec une IA (chatbots, assistants)
- Encadrement strict de la reconnaissance biométrique
- Exigences accrues pour les systèmes à haut risque
🔍 À noter
Le RIA ne se substitue pas au RGPD : il en constitue un prolongement sectoriel. Les obligations RGPD restent pleinement applicables et constituent le socle de toute démarche de conformité IA.
Gouvernance et supervision
Les autorités de protection des données, telles que la CNIL en France, conserveront un rôle central dès lors que des données personnelles sont en jeu. Le RIA met parallèlement en place des autorités de surveillance du marché. La coordination institutionnelle entre ces différents acteurs sera déterminante pour prévenir les conflits d'interprétation.
Vers une conformité intégrée
Pour les organisations, la clé réside dans une approche transversale : cartographie précise des traitements, classification rigoureuse des systèmes d'IA, documentation technique harmonisée et gouvernance coordonnée entre le délégué à la protection des données (DPO), les équipes juridiques et les directions data.
Position de principe
La conciliation RGPD-RIA ne doit pas être perçue comme une contrainte cumulative, mais comme un cadre cohérent au service d'une innovation responsable, respectueuse des droits fondamentaux et de la confiance numérique européenne.
Questions fréquentes sur la conformité RGPD et AI Act
Le RGPD et l'AI Act s'appliquent-ils en même temps ?
Oui, de manière cumulative. Dès lors qu'un système d'IA traite des données personnelles, les deux règlements s'appliquent simultanément. Le RGPD encadre la licéité du traitement, l'AI Act impose des obligations selon le niveau de risque du système.
Quelles tensions existent entre le RGPD et l'AI Act ?
L'AI Act exige l'exactitude et la complétude des données, ce qui peut sembler en contradiction avec le principe de minimisation du RGPD. De même, l'AI Act autorise le traitement de données sensibles pour corriger des biais algorithmiques, là où le RGPD l'encadre strictement. Ces tensions peuvent être gérées par une documentation précise des choix effectués.
Faut-il réaliser une AIPD spécifique pour les systèmes d'IA ?
Une AIPD rigoureusement conduite au titre du RGPD peut alimenter directement la documentation exigée par l'AI Act pour les systèmes à haut risque. Il est recommandé de coordonner ces deux démarches pour éviter les redondances et gagner en efficacité.
Qui supervise la conformité IA : la CNIL ou les autorités de surveillance du marché ?
Les deux. La CNIL conserve un rôle central dès lors que des données personnelles sont en jeu. L'AI Act met parallèlement en place des autorités de surveillance du marché. La coordination entre ces acteurs sera déterminante pour éviter les conflits d'interprétation.
Comment préparer une conformité intégrée RGPD + AI Act ?
La clé réside dans une approche transversale : cartographie précise des traitements, classification des systèmes d'IA selon leur niveau de risque, documentation technique harmonisée et gouvernance coordonnée entre le DPO, les équipes juridiques et les directions data.
Votre organisation utilise des outils d'IA ?
Faites le point sur votre conformité RGPD et AI Act avec un diagnostic personnalisé.
Faire un diagnostic RGPD