AI Act vs RGPD : différences, points de croisement et implications pour votre organisation

Depuis l'entrée en vigueur du RGPD en mai 2018, les organisations européennes ont appris à structurer leurs pratiques autour de la protection des données personnelles. Avec l'AI Act (Règlement UE 2024/1689), un nouveau cadre réglementaire s'impose à partir de 2025-2026. Mais il ne remplace pas le RGPD — il s'y superpose. Comprendre où finit l'un, où commence l'autre et, surtout, où ils se rejoignent est désormais une compétence de base pour toute organisation qui développe, déploie ou utilise des systèmes d'intelligence artificielle en Europe.

Deux règlements, deux objets fondamentalement différents

La confusion entre RGPD et AI Act est compréhensible : les deux textes sont d'origine européenne, tous deux adoptent une logique de protection des personnes et tous deux imposent des obligations significatives aux organisations. Mais leurs objets de régulation sont distincts.

Le RGPD régit le traitement des données à caractère personnel. Il s'active dès qu'une information permettant d'identifier une personne physique est collectée, stockée, traitée ou transmise — qu'il y ait ou non de l'intelligence artificielle dans la chaîne. Un formulaire papier, une base de données CRM ou un fichier Excel contenant des noms et adresses e-mail sont soumis au RGPD.

L'AI Act régit les systèmes d'intelligence artificielle eux-mêmes — leur conception, leur mise sur le marché, leur déploiement et leur utilisation dans l'Union européenne. Il s'applique à tout système d'IA présent sur le marché européen, qu'il traite des données personnelles ou non. Un algorithme de maintenance prédictive industrielle analysant des données de capteurs anonymisées, ou un système de contrôle qualité par vision par ordinateur, reste pleinement soumis à l'AI Act s'il relève d'une catégorie à haut risque — sans que le RGPD n'ait à s'y appliquer.

La formule est simple : le RGPD régule ce que l'on fait des données ; l'AI Act régule ce que font les systèmes d'IA. Les deux peuvent s'appliquer en même temps — et c'est souvent le cas — mais aucun ne se substitue à l'autre.

Les principales différences structurelles

Champ d'application personnel et territorial

Le RGPD s'applique à toute organisation — publique ou privée, établie dans l'UE ou non — qui traite des données personnelles de résidents européens (principe d'extraterritorialité, Article 3). L'AI Act s'applique à toute organisation qui place un système d'IA sur le marché européen ou l'utilise dans l'UE, quelle que soit sa localisation. Une entreprise américaine qui vend un logiciel d'IA en Europe sera soumise à l'AI Act. Si ce même logiciel traite des données personnelles de résidents européens, elle sera également soumise au RGPD — de manière cumulée.

Rôles et responsabilités

Le RGPD distingue le responsable de traitement (qui détermine les finalités et moyens du traitement) du sous-traitant (qui traite pour le compte du responsable). L'AI Act distingue, lui, le fournisseur (qui développe et met sur le marché le système d'IA) du déployeur (qui l'utilise dans un contexte professionnel).

Ces catégories ne se recoupent pas automatiquement. Un déployeur au sens de l'AI Act peut être responsable de traitement au sens du RGPD, ou simple sous-traitant — cela dépend des flux de données en jeu et des décisions prises sur les finalités. La même organisation peut également cumuler les rôles : une entreprise qui développe un système d'IA et l'utilise en interne est à la fois fournisseur et déployeur AI Act, et probablement responsable de traitement RGPD.

Nature des obligations

Les obligations du RGPD sont centrées sur les données : licéité du traitement (Article 6), minimisation, finalité, droits des personnes concernées (accès, rectification, effacement, portabilité), nomination d'un DPO si requis, notification des violations sous 72 heures. Les obligations de l'AI Act sont centrées sur le système : classification par niveau de risque, gestion des risques (Article 9), documentation technique (Annexe IV), transparence (Article 50), supervision humaine (Article 14), robustesse et cybersécurité (Article 15), marquage CE et enregistrement dans la base de données EU pour les systèmes à haut risque.

Autorités de contrôle

La conformité RGPD est contrôlée par les autorités de protection des données nationales — en France, la CNIL ; en Allemagne, les autorités fédérales et des Länder ; en Espagne, l'AEPD. La conformité AI Act relèvera d'autorités de surveillance IA désignées par chaque État membre, distinctes des autorités de protection des données. En France, ce rôle est en cours d'attribution. Ces deux autorités peuvent agir de façon indépendante, sur des bases légales différentes, et ouvrir des procédures simultanées.

Régime de sanctions

Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel pour les violations les plus graves. L'AI Act prévoit jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les pratiques interdites, 15 millions ou 3 % pour la non-conformité des systèmes à haut risque, et 7,5 millions ou 1 % pour les informations incorrectes. Ces sanctions sont cumulables : un même système d'IA non conforme peut être sanctionné au titre des deux règlements de façon indépendante.

Les zones de croisement : quand les deux s'appliquent simultanément

Si les objets des deux règlements sont distincts, de nombreux systèmes d'IA traitent des données personnelles — et se retrouvent donc soumis aux deux textes en même temps. Voici les principales zones de chevauchement à connaître.

La reconnaissance biométrique

Un système de reconnaissance faciale traite des données biométriques, qui constituent des données sensibles au sens du RGPD (Article 9) dont le traitement est en principe interdit sauf exceptions. Ce même système constitue un système d'IA à haut risque au sens de l'AI Act (Annexe III, point 1 — identification biométrique). Les deux règlements s'appliquent cumulativement, avec des exigences propres à chacun : base légale spécifique et AIPD obligatoire côté RGPD, documentation technique complète, marquage CE et supervision humaine côté AI Act. L'AI Act interdit par ailleurs l'identification biométrique en temps réel dans les espaces publics à des fins répressives, sauf exceptions limitatives (Article 5).

La prise de décision automatisée

L'Article 22 du RGPD encadre les décisions fondées exclusivement sur un traitement automatisé produisant des effets significatifs sur les personnes — refus de crédit, sélection de candidats, fixation d'un tarif d'assurance. Il impose notamment un droit à l'intervention humaine, un droit à l'explication et un droit de contestation. L'Article 14 de l'AI Act renforce ces exigences pour les systèmes à haut risque en imposant une supervision humaine systématique permettant de comprendre, surveiller et si nécessaire neutraliser le système. Les deux logiques se complètent et doivent être satisfaites conjointement — ce qui implique de concevoir dès le départ des systèmes qui permettent réellement l'intervention humaine, pas seulement sur le papier.

Le profilage et la personnalisation

Les systèmes d'IA utilisés pour le profilage comportemental, la personnalisation de contenus ou la notation d'individus activent à la fois les règles du RGPD sur le profilage (Articles 4 et 22) et, selon leur impact potentiel sur les personnes, les obligations de l'AI Act en matière de transparence (Article 50 — divulgation des interactions automatisées) ou de gestion des risques. Les systèmes de notation de solvabilité ou d'évaluation de personnes physiques sont explicitement listés dans l'Annexe III comme systèmes à haut risque.

L'analyse d'impact : un pont naturel entre les deux textes

Le RGPD impose une Analyse d'Impact relative à la Protection des Données (AIPD) pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes (Article 35). L'AI Act impose une évaluation de la conformité pour les systèmes à haut risque — incluant une documentation technique (Annexe IV), un système de gestion des risques (Article 9) et, pour les déployeurs du secteur public, une analyse d'impact sur les droits fondamentaux (Article 27).

Ces démarches sont distinctes dans leur forme et leur finalité, mais portent sur des enjeux connexes. Il est possible — et recommandé — de les conduire de façon coordonnée pour identifier les synergies, réduire la charge documentaire et éviter des contradictions entre les deux évaluations. Certaines organisations commencent à développer des templates de conformité croisés RGPD/AI Act à cet effet.

Le contrat entre responsable de traitement et sous-traitant IA

Lorsqu'une organisation utilise un prestataire IA traitant des données personnelles en son nom, le RGPD impose la conclusion d'un contrat de sous-traitance (Article 28) définissant les obligations du prestataire. L'AI Act impose de son côté des obligations au déployeur sur le contrôle du système. Ces deux dimensions contractuelles doivent être cohérentes — le prestataire IA ne peut pas promettre une supervision humaine dans son contrat AI Act tout en s'exonérant de responsabilité sur les traitements de données dans son DPA (Data Processing Agreement) RGPD.

Vous utilisez ou développez un système d'IA et souhaitez identifier vos obligations croisées AI Act / RGPD ? Le diagnostic gratuit AiActo évalue votre niveau de risque et vos priorités de conformité en moins de 3 minutes.

Une complémentarité à organiser, pas à subir

Loin d'être redondants, AI Act et RGPD s'articulent de façon cohérente dans l'architecture réglementaire européenne. Le RGPD a posé les bases d'une culture de la protection des données. L'AI Act étend cette logique aux systèmes d'IA eux-mêmes, en ajoutant des couches d'exigences spécifiques à leur nature — robustesse, explicabilité, supervision humaine, classification par risque — que le RGPD ne couvrait pas et n'avait pas vocation à couvrir.

Pour les organisations concernées par les deux textes, trois principes structurants permettent d'aborder la double conformité de façon efficace.

1. Cartographier conjointement les traitements de données et les systèmes d'IA — Identifier pour chaque système d'IA s'il traite des données personnelles, sous quel rôle (responsable de traitement, sous-traitant), et quelle classification AI Act lui correspond. Cette cartographie croisée est le point de départ de toute stratégie de conformité cohérente
2. Coordonner les analyses d'impact — Lorsqu'une AIPD est requise par le RGPD et qu'une évaluation de conformité l'est par l'AI Act, mener les deux démarches en parallèle avec les mêmes interlocuteurs permet d'identifier les zones de chevauchement, de mutualiser la documentation et d'obtenir des évaluations cohérentes
3. Aligner la gouvernance — Le DPO (Délégué à la Protection des Données, si requis) et le responsable conformité IA ne peuvent pas travailler en silos. Les décisions de conception d'un système d'IA ont des implications RGPD et AI Act simultanées — la gouvernance doit refléter cette réalité

Des outils comme le module de documentation AiActo permettent de structurer cette démarche en intégrant les exigences des deux règlements dans une logique de conformité unifiée.

Questions fréquentes

Si je suis déjà conforme au RGPD, suis-je automatiquement conforme à l'AI Act ?

Non. La conformité RGPD ne couvre pas les obligations spécifiques de l'AI Act : classification par niveau de risque, documentation technique (Annexe IV), gestion des risques (Article 9), marquage CE, supervision humaine (Article 14), robustesse (Article 15). Les deux conformités sont indépendantes. Certaines démarches peuvent être mutualisées — notamment les analyses d'impact — mais il n'existe pas de raccourci : les deux textes doivent être traités séparément.

L'AI Act s'applique-t-il uniquement si mon système d'IA traite des données personnelles ?

Non. L'AI Act s'applique à tout système d'IA mis sur le marché ou utilisé dans l'UE, qu'il traite des données personnelles ou non. Un système de vision par ordinateur pour le contrôle qualité industriel, qui n'identifie aucune personne, reste soumis à l'AI Act s'il relève d'une catégorie à haut risque. Le traitement de données personnelles est le déclencheur du RGPD — pas de l'AI Act.

Quelles autorités peuvent me sanctionner, et pour quoi ?

La CNIL (ou son équivalent européen) peut sanctionner les manquements au RGPD — jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. L'autorité de surveillance IA peut sanctionner les manquements à l'AI Act — jusqu'à 35 millions ou 7 % du CA pour les pratiques interdites, jusqu'à 15 millions ou 3 % pour les systèmes à haut risque non conformes. Ces sanctions sont indépendantes et peuvent s'appliquer simultanément pour un même système.

L'AIPD RGPD remplace-t-elle l'évaluation de conformité AI Act ?

Non. Ce sont deux démarches distinctes avec des finalités et des contenus différents. L'AIPD (Article 35 RGPD) évalue les risques pour les droits et libertés des personnes liés au traitement de leurs données. L'évaluation de conformité AI Act porte sur la conception, la documentation technique et la robustesse du système d'IA. Elles peuvent néanmoins être menées de façon coordonnée pour identifier des synergies et mutualiser certaines parties de la documentation.

Mon DPO doit-il être impliqué dans la conformité AI Act ?

Il n'existe pas d'obligation légale en ce sens dans l'AI Act, qui ne prévoit pas de rôle équivalent au DPO. En revanche, dès qu'un système d'IA traite des données personnelles, le DPO a légitimement vocation à être consulté sur les implications RGPD — et la cohérence entre les deux conformités justifie une coordination étroite. Certaines organisations commencent à créer des rôles de « Responsable conformité IA » qui travaillent en binôme avec le DPO.

Comment traiter contractuellement les obligations croisées avec un prestataire IA ?

Le contrat avec un prestataire IA qui traite des données personnelles doit satisfaire simultanément aux exigences de l'Article 28 RGPD (contrat de sous-traitance) et aux dispositions AI Act relatives au déployeur. Vérifiez notamment la cohérence entre les obligations de supervision humaine stipulées au titre de l'AI Act et les clauses de responsabilité du DPA RGPD — des contradictions entre les deux documents créent des zones de risque juridique.

AI Act et RGPD forment un cadre réglementaire européen cohérent, dont la maîtrise conjointe est désormais incontournable pour toute organisation qui développe ou utilise de l'IA. Comprendre où s'arrête l'un, où commence l'autre — et surtout où ils se rejoignent — est le point de départ d'une stratégie de conformité réellement efficace. L'échéancier complet de l'AI Act sur AiActo vous aide à planifier vos priorités en fonction des dates clés du règlement.