← Retour au blog

RGPD et intelligence artificielle : obligations et pièges à éviter en 2026

RGPD et AI Act ne se remplacent pas : ils s’appliquent ensemble. Ce guide explique comment articuler conformité RGPD et obligations AI Act pour vos systèmes d’IA, avec exemples concrets, checklist et FAQ.

1. RGPD et AI Act : deux cadres complémentaires

Le RGPD (Règlement Général sur la Protection des Données) s’applique à tout traitement de données personnelles, y compris par des systèmes d’IA. L’AI Act (Règlement européen sur l’intelligence artificielle) impose des obligations spécifiques selon le niveau de risque du système IA (transparence, documentation, supervision humaine, etc.).

  • Le RGPD encadre la licéité, la sécurité et les droits des personnes.
  • L’AI Act encadre la conception, la mise sur le marché et la surveillance des systèmes IA.
  • Si votre IA traite des données personnelles, les deux règlements s’appliquent.

2. Décisions automatisées : l’article 22 RGPD

L’article 22 RGPD interdit les décisions produisant des effets juridiques importants sur une personne, lorsqu’elles sont prises uniquement par un algorithme (ex : refus de crédit, recrutement automatisé), sauf exceptions strictes. Un recours humain doit toujours être possible.

3. Analyse d’impact (AIPD/PIA) : quand est-ce obligatoire ?

Une AIPD (Analyse d’Impact sur la Protection des Données) est requise pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés (profilage, scoring, surveillance, données sensibles). La CNIL recommande une AIPD pour la plupart des systèmes IA traitant des données personnelles.

4. Double rôle de la CNIL

En France, la CNIL est à la fois l’autorité RGPD et l’autorité de surveillance du marché pour l’AI Act (systèmes IA à haut risque). Elle peut contrôler, sanctionner et accompagner les entreprises sur les deux volets.

Checklist conformité IA & RGPD 2026

  • Vérifier la base légale RGPD pour chaque traitement IA
  • Informer les personnes concernées (transparence)
  • Prévoir un recours humain pour toute décision automatisée
  • Réaliser une AIPD si risque élevé
  • Documenter le système IA (AI Act)
  • Mettre à jour le registre des traitements
  • Prévoir la supervision humaine (AI Act)
  • Consulter la CNIL en cas de doute

FAQ RGPD & IA 2026

L'AI Act remplace-t-il le RGPD ?
Non. Les deux règlements s'appliquent simultanément et de façon complémentaire. Le RGPD régit le traitement des données personnelles (base légale, droits des personnes, sécurité). L'AI Act régit les systèmes d'IA (niveau de risque, documentation, supervision). Si votre IA traite des données personnelles, vous devez respecter les deux.
Qu'impose l'article 22 RGPD pour les décisions automatisées IA ?
L'article 22 RGPD interdit les décisions basées uniquement sur un traitement automatisé produisant des effets juridiques significatifs sur une personne (acceptation/refus crédit, recrutement, scoring), sauf consentement explicite, exécution d'un contrat, ou autorisation légale. Si votre IA prend de telles décisions, vous devez prévoir un mécanisme de recours humain.
Quand faut-il réaliser une AIPD pour un système IA ?
L'Analyse d'Impact sur la Protection des Données (AIPD / PIA) est obligatoire lorsque le traitement est 'susceptible d'engendrer un risque élevé' (Art. 35 RGPD). La CNIL recommande une AIPD pour tout système IA qui : profile des personnes, prend des décisions automatisées, traite des données sensibles à grande échelle, ou surveille des personnes.
La CNIL est-elle compétente pour l'AI Act en France ?
Oui. La CNIL est désignée autorité nationale compétente pour la surveillance du marché des systèmes IA à haut risque en France, en plus de ses missions RGPD habituelles. Elle peut mener des inspections, demander des corrections et prononcer des sanctions AI Act.

Ressources et articles liés

Découvrir reglai — Automatiser la conformité RGPD & AI Act