RGPD et intelligence artificielle : obligations légales pour les entreprises

RGPD et intelligence artificielle : obligations légales pour les entreprises

Date de publication : 15 février 2026

En 2026, toute entreprise opérant dans l’Union européenne et utilisant des systèmes d’intelligence artificielle (IA) se trouve face à un double cadre impératif : le RGPD (protection des données personnelles) et l’AI Act (Règlement UE 2024/1689) qui organise l’IA par niveaux de risques. L’enjeu n’est pas seulement juridique : c’est un avantage concurrentiel si la conformité est pensée dès la conception.

Ce guide opérationnel vous donne une feuille de route claire pour sécuriser vos projets IA, anticiper les contrôles de la CNIL et limiter les risques financiers et réputationnels, tout en accélérant vos déploiements.

1) Périmètre : quand RGPD et AI Act s’appliquent-ils ?

• RGPD : s’applique à tout traitement de données personnelles (collecte, entraînement, inférence, monitoring) lié à une IA, qu’il soit effectué par vous ou un prestataire. Référez-vous aux recommandations de la CNIL pour les systèmes d’IA et la protection des données (CNIL ; Fiches pratiques IA).
• AI Act : s’applique indépendamment de la présence de données personnelles. Il classe les usages d’IA par niveaux de risque (interdit, haut risque, risque limité, minimal) et impose des obligations graduées, dont marquage CE pour le haut risque. Texte de référence : EUR-Lex – AI Act.

En pratique, de nombreux cas cumulent les deux cadres : un moteur de scoring client, un assistant RH ou un outil de détection de fraude touchent à la fois aux données personnelles (RGPD) et, selon l’usage, au régime « haut risque » de l’AI Act.

2) Obligations clés RGPD lorsqu’une IA traite des données personnelles

2.1 Définir la base légale et la finalité

• Choisissez l’une des bases légales (consentement, contrat, intérêt légitime, obligation légale, etc.) et documentez-la.
• Finalités déterminées, explicites et légitimes ; pas de réutilisation incompatible.

La CNIL rappelle ces fondamentaux et propose des méthodes concrètes pour les projets IA (CNIL – Nouvelles recommandations IA & RGPD).

2.2 Minimisation et privacy by design/by default

• Collectez uniquement les données nécessaires, paramétrez « par défaut » la plus grande confidentialité, pseudonymisez/agrégez quand c’est possible.
• Documentez vos choix techniques (entraîner un modèle sur des jeux de données synthétiques ou anonymisés quand la performance le permet).

Voir les repères opérationnels de la CNIL (CNIL – Intelligence artificielle).

2.3 Transparence et information des personnes

• Fournissez des mentions d’information claires : finalités, base légale, catégories de données, durée de conservation, droits des personnes, logique générale des traitements IA.
• Expliquez de manière compréhensible le rôle de l’IA dans la décision.

2.4 Décisions automatisées et droits des personnes

• En cas de décision entièrement automatisée produisant des effets juridiques ou similaires, offrez : information spécifique, droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision (articulation soulignée par la CNIL : Fiches pratiques IA).

2.5 Sécurité, conservation et traçabilité

• Mesures techniques et organisationnelles adaptées : contrôle d’accès, chiffrement, journalisation, gestion des vulnérabilités, red teaming pour modèles critiques.
• Politique de conservation limitée ; purge et archivage conformes.

2.6 AIPD (DPIA), DPO et registre des traitements

• AIPD obligatoire si risque élevé (p. ex. scoring à grande échelle, surveillance, décision automatisée substantielle) ; impliquer le DPO dès la conception.
• Tenez le registre des traitements et mettez-le à jour avec les flux IA (CNIL et Service Public Pro rappellent ces exigences : Service Public Pro).

2.7 Transferts hors UE

• Encadrez les transferts via clauses contractuelles types et évaluez le niveau de protection du pays destinataire. Pilotez vos sous-traitants avec des clauses spécifiques IA/RGPD.

Pour une approche PME/ETI, voir les synthèses Bpifrance : Bigmedia Bpifrance et Diag Bpifrance.

3) AI Act : classification des risques et obligations

Référence : EUR-Lex – AI Act (Règlement UE 2024/1689).

3.1 Pratiques interdites (risque inacceptable)

• Certains usages sont prohibés (ex. : manipulation exploitant des vulnérabilités, formes de « social scoring » généralistes par autorités publiques, reconnaissance biométrique en temps réel dans l’espace public sauf exceptions strictes). Vérifiez vos cas d’usage en amont.

3.2 Systèmes d’IA à haut risque

Entrent dans des catégories listées par l’AI Act (p. ex. sécurité des produits, emploi/RH, crédit, accès à l’éducation, services essentiels). Obligations clés côté fournisseurs et, en partie, déployeurs :

• Gestion des risques et gouvernance des données (qualité, représentativité, biais, traçabilité des jeux de données).
• Documentation technique détaillée, enregistrements et journaux d’événements.
• Transparence et notices d’utilisation claires.
• Supervision humaine effective ; formations des opérateurs.
• Exigences de robustesse, précision, cybersécurité.
• Marquage CE, système de management de la conformité, surveillance post-commercialisation et remontée d’incidents graves.

3.3 Risque limité : obligations de transparence

• Informer les personnes lorsqu’elles interagissent avec une IA (chatbots).
• Signalement clair des contenus générés/synthétiques (ex. deepfakes).

3.4 Modèles d’IA généralistes (GPAI) et fondations

• Obligations spécifiques pour les fournisseurs : documentation, information sur les capacités/limitations, pratiques de gouvernance, et respect des droits d’auteur (INPI fournit des repères sur la PI : INPI).

4) Articulation RGPD – AI Act : comment bâtir une conformité cohérente

Les deux cadres sont complémentaires. Quelques repères pour éviter les angles morts :

• Auditabilité : la traçabilité exigée par l’AI Act (journaux, documentation) soutient les obligations RGPD (preuve de la base légale, minimisation, AIPD).
• Explicabilité : l’exigence d’information « compréhensible » du RGPD rejoint la transparence de l’AI Act ; mettez en place des model cards/fiches d’usage.
• Biais et discrimination : l’AI Act impose la gestion des biais ; le RGPD vous expose à des risques de traitement illicite si les biais mènent à des décisions injustifiées. Appliquez les recommandations CNIL (CNIL).

5) Feuille de route de conformité en 90 jours

Étape 1 : Cartographier et classer (Semaines 1–3)

• Inventoriez tous les systèmes IA (internes, SaaS, API) et leurs flux de données.
• Pour chacun : y a‑t‑il des données personnelles ? Quel niveau de risque AI Act ?
• Identifiez le rôle : fournisseur, intégrateur ou déployeur.

Étape 2 : Poser les fondations RGPD (Semaines 2–6)

• Définissez la base légale, les finalités, les durées de conservation.
• Menez ou mettez à jour l’AIPD (avec votre DPO) et le registre art. 30.
• Rédigez/actualisez : mentions d’information, procédure d’exercice des droits, politique de sécurité.

Étape 3 : Alignement AI Act (Semaines 4–9)

• Si haut risque : mettez en place la gestion des risques, la documentation technique, la supervision humaine, la surveillance post‑marché et préparez le marquage CE.
• Si risque limité : organisez l’information des utilisateurs et l’étiquetage des contenus synthétiques.
• Pour les GPAI : exigez du fournisseur la documentation et la conformité PI.

Étape 4 : Contrats et fournisseurs (en continu)

• Ajoutez des clauses IA/RGPD : qualité des données, biais, sécurité, logs, coopération CNIL, sous‑traitance, réversibilité, transfert hors UE.
• Vérifiez les garanties de vos éditeurs au regard de l’AI Act (déclarations, notices, marquage CE le cas échéant).

Pour s’outiller efficacement, vous pouvez découvrir nos offres juridiques et comprendre notre méthode AI-first appliquée aux audits et modèles contractuels.

6) Contrôles, preuves de conformité et sanctions

• CNIL : recommandations, contrôles et sanctions administratives en cas de manquements au RGPD et, en France, accompagnement des acteurs IA (CNIL – Recommandations IA; CNIL – IA).
• AI Act : sanctions administratives élevées en cas de non‑conformité, renforcées pour les pratiques interdites (voir le texte sur EUR-Lex).
• Responsabilité civile : en France, le droit commun de la responsabilité délictuelle peut s’appliquer (art. 1242 Code civil : Legifrance).

Bonnes pratiques de preuve : conservez les AIPD, procès‑verbaux de tests, jeux de données de référence, journaux d’événements, comptes‑rendus de supervision humaine, et les notices/attestations de vos fournisseurs. Les TPE/PME ont fortement progressé depuis l’adoption du RGPD, mais des écarts persistent ; voir le bilan et les leviers d’action publié par France Num (France Num).

7) Check‑list rapide avant déploiement

• Classification AI Act réalisée ; si haut risque, plan de marquage CE et supervision humaine définis.
• Base légale RGPD et mentions d’information finalisées ; droits des personnes opérationnels.
• AIPD mise à jour et mesures de réduction des risques tracées.
• Politique de données d’entraînement (qualité, biais, provenance, PI) et registres de logs en place.
• Contrats fournisseur avec garanties IA/RGPD signés ; transferts hors UE encadrés.

Pour aller plus loin

Consultez nos guides connexes : AI Act europeen : guide complet pour les startups, Les limites juridiques de l'IA en entreprise et Clause contractuelle sur l'utilisation de l'IA.

FAQ express

Le RGPD s’applique-t-il si mon IA ne fait qu’inférer à partir de données déjà pseudonymisées ?

Oui si la ré‑identification est raisonnablement possible ou si les inférences portent sur des personnes identifiables. La pseudonymisation n’exclut pas le RGPD (voir CNIL – Fiches IA).

Dois‑je toujours recueillir le consentement ?

Non. D’autres bases légales existent (contrat, intérêt légitime, obligation légale…). Le choix dépend du cas d’usage et doit être justifié et documenté (guides Service Public Pro).

Qu’est‑ce qui fait basculer un système en « haut risque » AI Act ?

L’inscription dans une catégorie listée par le Règlement (ex. emploi/RH, crédit, services essentiels). Référez‑vous au texte consolidé sur EUR-Lex.

Comment traiter les droits d’auteur sur les données d’entraînement ?

Vérifiez les licences, mettez en place des filtres/copyright compliance et conservez la traçabilité. Repères PI : INPI.

Pour approfondir ces enjeux, vous pouvez lire d’autres analyses IA et droit et découvrir nos offres juridiques adaptées à votre secteur.