AI Act et RGPD tableau comparatif des obligations croisées.
L'AI Act et le RGPD coexistent sans préjudice l'un de l'autre. Comment articuler leurs exigences pour éviter les doublons et exploiter les synergies ? Tableau de correspondance détaillé et analyse des points de convergence.
Deux règlements, une application simultanée
L'AI Act et le RGPD forment un cadre réglementaire intégré pour l'IA en Europe.
L'article 2(7) de l'AI Act précise que le règlement s'applique sans préjudice du RGPD. Cette formulation indique une coexistence sans hiérarchie. Les deux textes s'appliquent simultanément dès qu'un système d'IA traite des données personnelles, ce qui concerne la majorité des cas d'usage.
Le considérant 10 de l'AI Act souligne la nécessité d'une coopération entre les autorités de surveillance de l'IA et les autorités de protection des données. Cette coordination vise à éviter les contradictions et à optimiser les contrôles. En France, la CNIL a été désignée autorité nationale compétente pour l'AI Act en février 2026, renforçant cette synergie institutionnelle.
Les entreprises doivent donc adopter une approche unifiée de la conformité. Une documentation séparée pour chaque règlement entraînerait des redondances coûteuses. À l'inverse, une intégration intelligente permet de mutualiser les efforts et de réduire les risques de non-conformité.
Tableau comparatif des obligations croisées
Points de convergence et divergences entre l'AI Act et le RGPD, structurés par thème.
| Thème | AI Act (Règlement UE 2024/1689) | RGPD (Règlement UE 2016/679) | Points de convergence |
|---|---|---|---|
| Champ d'application | S'applique aux systèmes d'IA mis sur le marché ou mis en service dans l'UE, quel que soit le lieu d'établissement du fournisseur (Art. 2). | S'applique au traitement de données personnelles effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant dans l'UE (Art. 3). | Cumul des champs d'application pour les systèmes IA traitant des données personnelles. Une même activité peut relever des deux règlements. |
| Rôles et responsabilités |
Fournisseur : conçoit ou développe le système IA (Art. 3(3)). Déployeur : utilise le système IA sous son autorité (Art. 3(4)). Importateur/distributeur : met le système IA à disposition dans l'UE (Art. 3(5-6)). |
Responsable de traitement : détermine les finalités et moyens du traitement (Art. 4(7)). Sous-traitant : traite les données pour le compte du responsable (Art. 4(8)). |
Un fournisseur IA peut être responsable de traitement RGPD. Un déployeur peut être responsable ou sous-traitant selon son rôle dans le traitement des données. |
| Gestion des risques |
FRIA (Fiche de Renseignement sur l'Impact Algorithmique) obligatoire pour les systèmes à haut risque (Art. 27). Évalue les risques pour la santé, la sécurité et les droits fondamentaux. Doit être mise à jour tout au long du cycle de vie du système. |
AIPD (Analyse d'Impact relative à la Protection des Données) obligatoire pour les traitements susceptibles d'engendrer un risque élevé (Art. 35). Évalue les risques pour les droits et libertés des personnes concernées. Doit être réalisée avant le traitement et mise à jour si nécessaire. |
Les deux évaluations peuvent être combinées pour les systèmes IA à haut risque traitant des données personnelles. La FRIA peut intégrer les éléments de l'AIPD et vice versa. |
| Transparence |
Obligation de transparence renforcée pour les systèmes IA (Art. 50). Watermarking obligatoire pour les contenus générés ou manipulés par IA (Art. 50(2)). Information des utilisateurs sur l'interaction avec une IA (Art. 50(1)). |
Droit à l'information des personnes concernées (Art. 13-14). Obligation de transparence sur les logiques de traitement automatisé (Art. 13(2)(f)). |
Les obligations de transparence se complètent. Les informations requises par l'AI Act peuvent être intégrées aux mentions d'information RGPD pour éviter les redondances. |
| Droits des personnes |
Droit à une explication pour les décisions prises par des systèmes IA à haut risque (Art. 68). Droit de contester les décisions automatisées (Art. 68(3)). |
Droit d'accès (Art. 15), de rectification (Art. 16), d'effacement (Art. 17). Droit à la limitation du traitement (Art. 18). Droit à la portabilité (Art. 20). Droit de ne pas faire l'objet d'une décision individuelle automatisée (Art. 22). |
Les droits des personnes se renforcent mutuellement. Le droit à l'explication AI Act complète le droit à l'information RGPD pour les décisions automatisées. |
| Documentation et registres |
Registre des systèmes IA obligatoire pour les fournisseurs et déployeurs de systèmes à haut risque (Art. 49). Documentation technique détaillée pour les systèmes à haut risque (Annexe IV). |
Registre des activités de traitement obligatoire pour les responsables et sous-traitants (Art. 30). Documentation des violations de données (Art. 33(5)). |
Les registres peuvent être fusionnés pour les systèmes IA traitant des données personnelles. La documentation technique AI Act peut enrichir le registre RGPD. |
| Incidents et violations |
Notification des incidents graves aux autorités compétentes dans les 15 jours (Art. 73). Définition large : tout dysfonctionnement ayant un impact sur la santé, la sécurité ou les droits fondamentaux. |
Notification des violations de données personnelles à l'autorité de protection des données dans les 72 heures (Art. 33). Notification aux personnes concernées si risque élevé (Art. 34). |
Un même incident peut relever des deux obligations. La notification AI Act peut couvrir la notification RGPD si elle inclut les éléments requis par le RGPD. |
| Sanctions |
Jusqu'à 35M€ ou 7% du CA mondial pour les pratiques interdites (Art. 99(3)). Jusqu'à 15M€ ou 3% du CA mondial pour les autres infractions (Art. 99(4)). |
Jusqu'à 20M€ ou 4% du CA mondial pour les violations graves (Art. 83(5)). Jusqu'à 10M€ ou 2% du CA mondial pour les autres infractions (Art. 83(4)). | Les sanctions peuvent se cumuler pour un même manquement. Les plafonds s'additionnent en cas de violation simultanée des deux règlements. |
"La convergence entre l'AI Act et le RGPD n'est pas une coïncidence, mais une volonté politique. Les deux règlements partagent une philosophie commune : encadrer les technologies pour préserver les droits fondamentaux." - Paul Nemitz, Conseiller principal à la Commission européenne
Synergies documentaires à exploiter
Comment mutualiser les efforts de conformité entre l'AI Act et le RGPD.
Les entreprises peuvent optimiser leur conformité en identifiant les points de convergence documentaires. Quatre synergies majeures émergent :
Gouvernance des données
L'article 10 de l'AI Act impose des exigences strictes sur la qualité des données utilisées pour entraîner les systèmes IA. Ces exigences recoupent celles du RGPD sur la minimisation des données (Art. 5(1)(c)) et la protection des données dès la conception (Art. 25). Une documentation unifiée peut couvrir les deux aspects.
Évaluations des risques
La FRIA (AI Act) et l'AIPD (RGPD) partagent une méthodologie similaire. Les deux évaluations peuvent être fusionnées pour les systèmes IA à haut risque traitant des données personnelles. Cette approche réduit la charge administrative tout en garantissant une couverture complète des risques.
Registres des activités
Le registre des systèmes IA (Art. 49 AI Act) et le registre des activités de traitement (Art. 30 RGPD) peuvent être combinés. Les informations spécifiques à l'IA, comme la classification du système ou les mesures de transparence, peuvent être ajoutées aux entrées existantes du registre RGPD.
Transparence et information
Les obligations de transparence de l'AI Act (Art. 50) peuvent être intégrées aux mentions d'information RGPD (Art. 13-14). Par exemple, l'information sur l'utilisation d'un système IA peut figurer dans la même notice que les informations sur le traitement des données personnelles.
Ces synergies permettent de rationaliser la conformité. Une approche intégrée réduit les coûts et limite les risques de contradictions entre les deux cadres réglementaires.
Obligations techniques propres à l'AI Act
Certaines exigences de l'AI Act n'ont pas d'équivalent dans le RGPD.
L'AI Act introduit des obligations techniques spécifiques qui vont au-delà des exigences du RGPD. Ces mesures visent à garantir la robustesse, la transparence et la supervision humaine des systèmes IA.
Supervision humaine
Les systèmes IA à haut risque doivent être conçus pour permettre une supervision humaine effective (Art. 14). Cette obligation inclut des interfaces adaptées et des mécanismes de désactivation. Le RGPD ne prévoit pas de mesures équivalentes.
Robustesse et cybersécurité
Les systèmes IA doivent être résilients face aux attaques et aux erreurs (Art. 15). L'AI Act impose des tests de résistance et des mesures de cybersécurité spécifiques, distinctes des exigences générales de sécurité du RGPD (Art. 32).
Précision et exactitude
Les systèmes IA doivent atteindre un niveau approprié de précision, robustesse et cybersécurité (Art. 15(1)). Cette obligation technique n'a pas d'équivalent direct dans le RGPD, qui se concentre sur la protection des données plutôt que sur la performance des systèmes.
Journalisation automatique
Les systèmes IA à haut risque doivent intégrer des fonctionnalités de journalisation automatique pour garantir la traçabilité des opérations (Art. 12). Ces journaux doivent être conservés pendant une durée adaptée au contexte d'utilisation. Le RGPD ne prévoit pas de telles exigences techniques.
Watermarking des contenus IA
L'article 50(2) de l'AI Act impose un marquage clair des contenus générés ou manipulés par IA. Cette obligation vise à lutter contre la désinformation et à garantir la transparence. Le RGPD ne traite pas de cette problématique.
Ces spécificités techniques nécessitent une attention particulière. Les entreprises doivent les intégrer dans leurs processus de développement et de déploiement, en complément des mesures de protection des données.
Rôle des autorités de contrôle en France
La CNIL supervise à la fois l'AI Act et le RGPD, facilitant la coordination.
En France, la CNIL a été désignée autorité nationale compétente pour l'application de l'AI Act par décret en février 2026. Cette désignation s'inscrit dans une logique de cohérence, la CNIL étant déjà l'autorité de référence pour le RGPD. Elle coordonne ses actions avec l'ARCOM et la DGCCRF pour couvrir l'ensemble des aspects du règlement.
La CNIL a publié en mars 2026 des lignes directrices sur l'articulation entre l'AI Act et le RGPD. Ces orientations clarifient les attentes en matière de conformité intégrée. Elles soulignent notamment :
- La possibilité de fusionner les évaluations des risques (FRIA et AIPD).
- L'intégration des obligations de transparence AI Act dans les mentions d'information RGPD.
- La coordination des notifications d'incidents entre les deux cadres réglementaires.
Les entreprises peuvent s'appuyer sur ces lignes directrices pour structurer leur conformité. La CNIL propose également des outils et des modèles pour faciliter la mise en œuvre des obligations croisées. Ces ressources sont disponibles sur son site dédié à l'IA : www.cnil.fr/fr/intelligence-artificielle.
La coordination entre autorités européennes est également renforcée. L'AI Office, créé en 2025, travaille en étroite collaboration avec le Comité européen de la protection des données (CEPD) pour harmoniser les interprétations et les pratiques de contrôle.
Identifiez vos obligations croisées
Notre diagnostic gratuit analyse vos systèmes IA et vos traitements de données pour cartographier vos obligations AI Act et RGPD. Résultats en 3 minutes.
Questions fréquentes
Réponses aux interrogations les plus courantes sur l'articulation entre l'AI Act et le RGPD.
Non. Le RGPD ne s'applique qu'au traitement de données personnelles. Un système IA qui n'utilise pas de données personnelles (par exemple, un système de maintenance prédictive sur des machines industrielles) n'est pas concerné par le RGPD. En revanche, l'AI Act peut s'appliquer si le système est mis sur le marché ou mis en service dans l'UE, selon sa classification (haut risque ou non).
Pas nécessairement. La FRIA (AI Act) et l'AIPD (RGPD) peuvent être fusionnées pour les systèmes IA à haut risque traitant des données personnelles. Les deux évaluations partagent une méthodologie similaire et peuvent être documentées dans un seul document, à condition de couvrir l'ensemble des exigences des deux règlements. La CNIL recommande cette approche intégrée dans ses lignes directrices de 2026.
L'AI Act ne prévoit pas de rôle équivalent à celui du DPO. Cependant, le DPO peut jouer un rôle clé dans la conformité AI Act, notamment pour les aspects liés à la protection des données. Ses missions peuvent être élargies pour inclure la supervision des obligations AI Act, en particulier pour les systèmes traitant des données personnelles. Cette approche est encouragée par la CNIL pour garantir une cohérence globale.
Un même incident peut relever des deux obligations de notification. La notification AI Act doit être envoyée à l'autorité compétente (la CNIL en France) dans les 15 jours. Si l'incident implique une violation de données personnelles, une notification RGPD doit également être effectuée dans les 72 heures. Pour éviter les redondances, la notification AI Act peut inclure les éléments requis par le RGPD, à condition de respecter le délai de 72 heures pour ces derniers.
Oui. Les sanctions prévues par l'AI Act et le RGPD peuvent se cumuler pour un même manquement. Par exemple, une violation des obligations de transparence pour un système IA à haut risque traitant des données personnelles pourrait entraîner des sanctions sous les deux règlements. Les plafonds de sanction s'additionnent : jusqu'à 55M€ ou 11% du CA mondial en cas de cumul des sanctions maximales pour les pratiques interdites.