AI Act vs RGPD : comparatif complet des obligations pour les entreprises

Depuis l'entrée en vigueur du RGPD en 2018, les organisations européennes ont appris à encadrer le traitement des données personnelles. Avec l'AI Act (Règlement UE 2024/1689), un nouveau cadre réglementaire s'impose - mais il ne remplace pas le RGPD. Il s'y superpose.

Pour les équipes juridiques et conformité, cette superposition crée une confusion légitime : dois-je conduire deux évaluations d'impact ? Dois-je nommer deux responsables distincts ? Mes registres RGPD couvrent-ils aussi l'AI Act ? Ce guide répond à ces questions avec un comparatif structuré des deux règlements.

L'essentiel en un coup d'œil

Avant d'entrer dans les détails, voici les différences fondamentales entre les deux règlements :

• Objet du RGPD : protéger les droits fondamentaux des individus en matière de traitement de leurs données personnelles
• Objet de l'AI Act : encadrer le développement et l'utilisation des systèmes d'intelligence artificielle selon une approche fondée sur le risque
• Déclencheur du RGPD : le traitement de données à caractère personnel d'individus dans l'UE
• Déclencheur de l'AI Act : le développement, la mise sur le marché ou l'utilisation d'un système d'IA dans l'UE
• Entrée en vigueur du RGPD : mai 2018
• Entrée en vigueur de l'AI Act : août 2024 (application progressive jusqu'en 2027)

Un système d'IA peut très bien ne pas traiter de données personnelles - et donc relever uniquement de l'AI Act. Inversement, un traitement de données personnelles sans composante IA relève uniquement du RGPD. Mais dans la pratique, la grande majorité des systèmes IA en entreprise traitent des données personnelles : ils sont soumis aux deux règlements simultanément.

Les acteurs concernés : qui fait quoi ?

Les deux règlements utilisent des terminologies différentes pour désigner les acteurs :

Côté RGPD

• Responsable de traitement : détermine les finalités et moyens du traitement des données personnelles
• Sous-traitant : traite les données pour le compte du responsable, encadré par un contrat (DPA)
• Délégué à la protection des données (DPO) : obligatoire dans certains cas, conseille et contrôle la conformité

Côté AI Act

• Fournisseur (provider) : développe et met sur le marché un système d'IA
• Déployeur (deployer) : utilise un système d'IA dans un cadre professionnel
• Importateur / Distributeur : intervient dans la chaîne d'approvisionnement du système

Un même acteur peut cumuler plusieurs rôles. Une entreprise qui développe un logiciel RH intégrant de l'IA est à la fois fournisseur AI Act, responsable de traitement RGPD - et potentiellement sous-traitant RGPD si elle traite les données de salariés pour le compte de ses clients.

Tableau comparatif des obligations principales

Documentation et registres

• RGPD (Art. 30) : registre des activités de traitement, tenu par le responsable et le sous-traitant. Doit mentionner la finalité, les catégories de données, les destinataires, les durées de conservation.
• AI Act (Art. 11 + Annexe IV) : documentation technique pour les fournisseurs de systèmes à haut risque. 9 sections couvrant l'architecture, les données d'entraînement, la gestion des risques, les métriques de performance, le monitoring post-marché.
• Chevauchement : un système IA traitant des données personnelles doit figurer dans les deux registres. La documentation AI Act peut intégrer les éléments RGPD pour éviter les doublons.

Évaluations d'impact

• RGPD (Art. 35) - AIPD : obligatoire quand un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Déclenché notamment par le profilage, la surveillance systématique ou le traitement de données sensibles.
• AI Act (Art. 27) - FRIA : obligatoire pour les organismes publics, opérateurs de services essentiels et établissements d'enseignement qui déploient des systèmes IA à haut risque. Couvre l'ensemble des droits fondamentaux, pas seulement les données personnelles.
• Chevauchement : les deux évaluations peuvent être conduites conjointement. Leur contenu se recoupera sur la protection des données et la non-discrimination. Le règlement AI Act encourage explicitement cette coordination.

Transparence et information des personnes

• RGPD (Art. 13/14) : informer les personnes sur le traitement de leurs données - responsable, finalité, base légale, durée, droits. Information lors de la collecte ou dans un délai raisonnable.
• AI Act (Art. 50) : informer les personnes qu'elles interagissent avec une IA (chatbots), que le contenu est généré par IA (deepfakes), ou qu'elles sont soumises à un système de reconnaissance émotionnelle.
• Chevauchement : pour un système d'IA traitant des données personnelles, les deux obligations de transparence doivent être respectées. Elles peuvent être intégrées dans un même document d'information à condition de couvrir les exigences des deux règlements.

Gouvernance des données

• RGPD (Art. 5/6/9) : les données doivent être collectées pour des finalités déterminées, sur une base légale identifiée, en quantité minimale nécessaire. Les données sensibles nécessitent des garanties renforcées.
• AI Act (Art. 10) : les données d'entraînement, de validation et de test des systèmes à haut risque doivent être pertinentes, représentatives, exemptes d'erreurs et complètes. Des procédures de détection et correction des biais sont requises.
• Chevauchement majeur : si le jeu de données d'entraînement contient des données personnelles, les deux règlements s'appliquent simultanément. La base légale RGPD doit être identifiée pour l'entraînement, et les exigences qualité de l'AI Act doivent être respectées.

Point d'attention : le Digital Omnibus propose d'autoriser le traitement de données sensibles pour détecter et corriger les biais dans les systèmes IA, sous conditions strictes. C'est une nouveauté qui crée un pont explicite entre les deux règlements.

Droits des personnes

• RGPD : droit d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition. Droit à ne pas faire l'objet d'une décision automatisée sans intervention humaine (Art. 22).
• AI Act : droit à l'information sur l'usage d'un système IA (Art. 50), droit à la supervision humaine des décisions influencées par un système à haut risque (Art. 14/26), droit à une explication des décisions automatisées dans certains contextes.
• Articulation : le droit à ne pas faire l'objet d'une décision automatisée (RGPD Art. 22) et les obligations de supervision humaine de l'AI Act (Art. 14) se renforcent mutuellement. Une organisation ne peut pas invoquer l'AI Act pour contourner l'Art. 22 du RGPD.

Sanctions

• RGPD : jusqu'à 10 millions € ou 2 % du CA mondial pour les violations des obligations organisationnelles ; jusqu'à 20 millions € ou 4 % du CA mondial pour les violations des droits fondamentaux.
• AI Act : jusqu'à 35 millions € ou 7 % du CA mondial pour les pratiques interdites (Art. 5) ; jusqu'à 15 millions € ou 3 % pour les violations des obligations haut risque ; jusqu'à 7,5 millions € ou 1 % pour les informations inexactes.
• Cumul possible : une même violation peut entraîner des sanctions au titre des deux règlements. Un système IA qui traite des données personnelles illégalement tout en violant les obligations AI Act est passible de sanctions des deux côtés.

Les autorités compétentes en France

Les deux règlements ne sont pas supervisés par les mêmes autorités :

• RGPD : la CNIL est l'autorité de contrôle nationale. Elle dispose des pouvoirs d'enquête, de mise en demeure et de sanction.
• AI Act : la DGCCRF est le point de contact unique national. La CNIL intervient également pour les aspects données personnelles des systèmes IA à haut risque. L'ANSSI pour la cybersécurité, la HAS pour la santé, l'ARCOM pour les contenus numériques.
• Coordination : la CNIL a compétence pour les deux règlements dès lors qu'un système IA traite des données personnelles. Elle est donc un interlocuteur central pour la conformité croisée.

Comment gérer les deux conformités sans doublon

La bonne nouvelle : les deux conformités peuvent être structurées ensemble pour éviter les redondances. Voici une approche pratique :

1. Cartographier d'abord : pour chaque système ou outil IA utilisé, déterminez s'il traite des données personnelles. Si oui, les deux règlements s'appliquent. Si non, seul l'AI Act s'applique.
2. Fusionner les registres quand c'est possible : votre registre RGPD peut intégrer une colonne "classification AI Act" pour les traitements impliquant de l'IA. Évitez deux registres séparés pour les mêmes systèmes.
3. Conduire une évaluation d'impact unique : si vous devez réaliser une AIPD (RGPD) et une FRIA (AI Act) pour le même système, conduisez-les conjointement. Les sections se recoupent sur les données, la non-discrimination et les droits fondamentaux.
4. Unifier les mentions d'information : votre politique de confidentialité peut intégrer les informations requises par l'Art. 50 de l'AI Act (usage d'IA, chatbots, deepfakes) sans créer un document séparé.
5. Coordonner DPO et responsable conformité IA : l'AI Act ne prévoit pas d'équivalent au DPO, mais la CNIL a vocation à jouer un rôle central sur les systèmes IA traitant des données personnelles. Le DPO est un interlocuteur naturel pour la coordination.

Le diagnostic gratuit AiActo vous aide à classifier vos systèmes IA et à identifier les obligations AI Act applicables - en complément de votre conformité RGPD existante, pas en remplacement.

Questions fréquentes

L'AI Act remplace-t-il le RGPD pour les systèmes d'IA ?

Non. Les deux règlements coexistent et s'appliquent de façon complémentaire. L'AI Act encadre les systèmes d'IA selon leur niveau de risque. Le RGPD protège les données personnelles. Si un système d'IA traite des données personnelles - ce qui est fréquent - les deux s'appliquent simultanément. L'AI Act ne contient aucune disposition qui dispense d'appliquer le RGPD.

Faut-il deux évaluations d'impact distinctes - une AIPD et une FRIA ?

Pas nécessairement. Si les deux sont requises pour le même système, elles peuvent être conduites conjointement dans un seul document, à condition que le contenu couvre les exigences de chaque règlement. La FRIA a un périmètre plus large (tous les droits fondamentaux) ; l'AIPD se concentre sur les données personnelles. L'intersection est significative, notamment sur la non-discrimination et la vie privée.

Mon DPO doit-il aussi s'occuper de la conformité AI Act ?

L'AI Act ne crée pas d'obligation de nommer un équivalent au DPO. Mais le DPO a légitimement vocation à intervenir sur les systèmes IA dès qu'ils traitent des données personnelles - ce qui est la majorité des cas en entreprise. Certaines organisations créent un rôle de "Responsable conformité IA" en binôme avec le DPO. L'important est de clarifier qui pilote quoi avant août 2026.

La base légale RGPD couvre-t-elle aussi l'entraînement des modèles IA ?

Non automatiquement. L'utilisation de données personnelles pour entraîner un modèle IA est un traitement distinct qui nécessite sa propre base légale RGPD. Le Digital Omnibus propose d'intégrer l'intérêt légitime comme base légale possible pour l'entraînement, sous conditions. Mais en l'état actuel du droit, une base légale spécifique doit être identifiée pour chaque traitement d'entraînement.

Les sanctions RGPD et AI Act peuvent-elles se cumuler ?

Oui. Une même violation peut être sanctionnée au titre des deux règlements par des autorités différentes. Un système IA qui collecte des données personnelles sans base légale valide (violation RGPD) et qui ne respecte pas les obligations de transparence de l'Article 50 (violation AI Act) est passible de sanctions des deux côtés. Les plafonds de sanction de chaque règlement s'appliquent indépendamment.

AI Act et RGPD ne sont pas des rivaux - ils sont complémentaires. L'un régule ce qu'on fait avec les données, l'autre régule ce qu'on fait avec les systèmes intelligents qui les traitent. Pour les organisations, la clé est d'éviter de traiter ces deux conformités en silos séparés : une cartographie commune, des évaluations coordonnées et une gouvernance unifiée sont plus efficaces que deux programmes parallèles. Consultez notre glossaire AI Act pour maîtriser les définitions clés du règlement.