AI Act européen et protection des données : l'articulation avec le RGPD expliquée

Le règlement (UE) 2024/1689, l'AI Act européen, est la première loi horizontale complète au monde régissant l'intelligence artificielle. Il est entré en vigueur le 1er août 2024 et s'applique par phases jusqu'en 2027. Il ne remplace pas le RGPD. Tout système d'IA qui traite des données à caractère personnel doit toujours disposer de sa propre base juridique au titre du RGPD, et les organisations sont soumises simultanément à deux régimes de conformité qui se chevauchent.
Pour une présentation des règles de protection des données antérieures à l'AI Act, consultez notre guide sur les lois européennes de protection des données et l'explicatif qu'est-ce que le RGPD.
Qu'est-ce que l'AI Act européen (le règlement sur l'intelligence artificielle) ?
Le règlement (UE) 2024/1689 du Parlement européen et du Conseil est un règlement horizontal : il s'applique aux systèmes d'IA mis sur le marché ou mis en service dans l'UE, quel que soit le lieu d'établissement du développeur. Il adopte une approche fondée sur le risque, à plusieurs niveaux, qui répartit les usages de l'IA en quatre catégories : risque inacceptable (interdit purement et simplement), risque élevé (obligations détaillées avant le déploiement), risque limité (obligations de transparence uniquement) et risque minimal ou nul (aucune obligation). Le règlement a été publié au Journal officiel le 12 juillet 2024 et est entré en vigueur vingt jours plus tard, le 1er août 2024, conformément à l'article 113. Son application s'échelonne en quatre phases sur les trois années suivantes.
Le calendrier d'application progressive
Comprendre quelles obligations sont déjà contraignantes et lesquelles restent à venir est essentiel pour planifier la mise en conformité. En juin 2026, la situation se présente ainsi :
2 février 2025 (EN VIGUEUR) : les pratiques d'IA interdites de l'article 5 et les obligations de maîtrise de l'IA imposées aux fournisseurs et aux déployeurs sont devenues applicables. Tout système d'IA relevant d'une catégorie interdite devait avoir été retiré du service à cette date.
2 août 2025 (EN VIGUEUR) : les obligations relatives à l'IA à usage général (IAUG) prévues aux articles 51 à 55 sont devenues applicables. Les fournisseurs de grands modèles de fondation, y compris les grands modèles de langage et les modèles multimodaux, sont désormais soumis à des exigences de transparence sur les données d'entraînement et de conformité au droit d'auteur. Les modèles jugés présenter un risque systémique (généralement ceux entraînés avec plus de 10^25 opérations en virgule flottante) sont soumis à des évaluations de sécurité supplémentaires.
2 août 2026 (À VENIR) : les principales obligations applicables aux systèmes d'IA à haut risque autonomes énumérés à l'annexe III deviennent applicables. Il s'agit notamment des exigences de gouvernance des données de l'article 10, des obligations des déployeurs de l'article 26, des analyses d'impact sur les droits fondamentaux de l'article 27, de la documentation technique, de la journalisation, des évaluations de conformité et des exigences d'enregistrement.
2 août 2027 (À VENIR) : les systèmes d'IA à haut risque intégrés dans des produits réglementés déjà couverts par une législation sectorielle de l'UE figurant à l'annexe I (tels que les dispositifs médicaux, les machines et les équipements d'aviation civile) bénéficient d'une transition prolongée. Leurs obligations au titre de l'AI Act s'appliquent à compter de cette date ultérieure.
Pour les équipes chargées de la conformité, la priorité pratique à la mi-2026 consiste à avoir traité les interdictions de l'article 5 et les obligations relatives à l'IAUG, et à se préparer activement à la bascule d'août 2026 pour l'IA à haut risque.
L'AI Act ne remplace pas le RGPD
C'est le point structurel le plus important concernant l'AI Act et la protection des données. Le considérant 10 du règlement (UE) 2024/1689 précise expressément que le règlement « ne vise pas à affecter l'application du droit de l'Union existant régissant le traitement des données à caractère personnel », y compris le RGPD (règlement (UE) 2016/679), la directive « application de la loi » 2016/680 et le règlement 2018/1725 régissant les institutions de l'UE.
La conséquence est que les organisations sont soumises à deux régimes de conformité indépendants qui se chevauchent. Un système d'IA qui traite des données à caractère personnel doit satisfaire à toutes les exigences applicables du RGPD : il lui faut une base juridique valable au titre de l'article 6 du RGPD pour les données ordinaires, et une condition distincte au titre de l'article 9 du RGPD pour les données sensibles. Il doit respecter le principe de minimisation des données (article 5, paragraphe 1, point c), du RGPD), la limitation des finalités (article 5, paragraphe 1, point b), du RGPD), ainsi que l'ensemble des droits des personnes concernées. L'AI Act n'offre aucun raccourci permettant de contourner ces exigences.
Dans le même temps, satisfaire aux exigences du RGPD ne suffit pas à respecter l'AI Act. Un système peut disposer d'une base juridique parfaitement valable au titre du RGPD, être totalement transparent vis-à-vis des personnes concernées, et néanmoins être catégoriquement interdit en vertu de l'article 5 de l'AI Act. Les deux régimes opèrent selon des logiques différentes : le RGPD encadre le traitement des données à caractère personnel, tandis que l'AI Act encadre le risque posé par le système d'IA lui-même, pour les personnes comme pour la société.
Les autorités nationales de protection des données conservent l'intégralité de leurs pouvoirs d'exécution existants au titre du RGPD. Elles se voient également confier de nouveaux rôles au titre de l'AI Act, exposés dans la section consacrée à l'exécution ci-dessous. Les organisations doivent s'attendre à ce que leur autorité de contrôle examine simultanément les deux cadres réglementaires lors de l'évaluation d'un déploiement d'IA.
Les pratiques d'IA interdites touchant à la vie privée : l'article 5
L'article 5 de l'AI Act énumère huit pratiques totalement interdites car leurs risques sont jugés inacceptables, quel que soit le bénéfice potentiel. Sept des huit pratiques interdites sont directement liées à des enjeux de protection des données et de surveillance. Toutes sont en vigueur depuis le 2 février 2025.
La notation sociale par les autorités publiques (art. 5, § 1, point c)) : sont interdits les systèmes d'IA qui évaluent ou classent des personnes physiques en fonction de leur comportement social ou de caractéristiques personnelles dans des contextes multiples, lorsque le score social qui en résulte conduit à un traitement préjudiciable ou défavorable dans des contextes sans rapport. Cette interdiction vise les systèmes de notation gouvernementale de type autoritaire. L'interdiction est absolue ; aucune exception n'est prévue pour des finalités d'intérêt public.
L'évaluation du risque de criminalité fondée sur le profilage (art. 5, § 1, point d)) : sont interdits les systèmes d'IA utilisés pour évaluer ou prédire le risque qu'une personne physique commette une infraction pénale, lorsque cette évaluation repose uniquement sur le profilage de la personne ou l'évaluation de traits et caractéristiques de personnalité. L'interdiction comporte une exception étroite : l'IA qui vient appuyer une évaluation humaine de l'implication criminelle, fondée sur des faits objectifs et vérifiables directement liés à une activité criminelle, n'est pas concernée. Cette disposition vise les systèmes qui traitent un profil statistique ou une personnalité déduite comme une base suffisante pour attribuer un score de risque criminel à une personne, sans ancrer cette évaluation dans un comportement concret observé.
L'extraction non ciblée d'images faciales (art. 5, § 1, point e)) : est interdite la création ou l'extension de bases de données de reconnaissance faciale par extraction non ciblée d'images faciales à partir d'internet ou d'images de vidéosurveillance. Cette disposition recoupe directement l'article 9 du RGPD, qui traite les données biométriques utilisées à des fins d'identification comme une catégorie particulière nécessitant un consentement explicite ou une autre condition prévue à l'article 9. Plusieurs fournisseurs avaient commercialisé exactement ce type de pratique avant l'entrée en vigueur de l'interdiction.
La reconnaissance des émotions au travail et dans l'enseignement (art. 5, § 1, point f)) : sont interdits les systèmes d'IA qui déduisent l'état émotionnel des personnes physiques sur le lieu de travail ou dans les établissements d'enseignement. La seule exception concerne les motifs de sécurité, tels que la surveillance de la vigilance des conducteurs. Fait crucial, cette interdiction s'applique indépendamment du fait que l'organisation puisse par ailleurs établir une base juridique au titre du RGPD, telle que l'intérêt légitime ou le consentement. L'AI Act rend cette pratique inadmissible à un niveau supérieur à celui que peut atteindre l'analyse des bases juridiques du RGPD.
La catégorisation biométrique fondée sur des caractéristiques protégées (art. 5, § 1, point g)) : sont interdits les systèmes d'IA qui catégorisent individuellement des personnes physiques à partir de leurs données biométriques afin de déduire ou d'inférer leur race ou origine ethnique, leurs opinions politiques, leur appartenance syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle. Cela s'applique même lorsque la catégorisation est probabiliste plutôt que définitive. Le recoupement avec les catégories particulières de l'article 9 du RGPD est étendu et intentionnel.
L'identification biométrique à distance en temps réel dans les espaces publics (art. 5, § 1, point h)) : est interdit le recours à des systèmes d'identification biométrique à distance (IBR) en temps réel dans des espaces accessibles au public à des fins répressives, sous réserve de trois exceptions étroites : la recherche ciblée de victimes spécifiques d'enlèvement, de traite ou d'exploitation sexuelle ; la prévention d'une menace terroriste spécifique et imminente ; et l'identification de personnes soupçonnées d'infractions pénales graves énumérées à l'article 5, paragraphe 2. Chaque utilisation requiert une autorisation judiciaire ou administrative indépendante préalable. Cette restriction repose en partie sur l'article 16 du TFUE, la même base juridique du traité que le RGPD, confirmant que les interdictions relatives aux données biométriques et le RGPD partagent un fondement constitutionnel commun.
La manipulation comportementale cognitive (art. 5, § 1, points a) et b)) : sont également interdits les systèmes d'IA qui déploient des techniques subliminales échappant à la conscience d'une personne, ou qui exploitent les vulnérabilités de groupes spécifiques, pour altérer sensiblement le comportement d'une manière causant un préjudice important, une attention particulière étant portée aux enfants et aux personnes handicapées.
L'IA à haut risque : la gouvernance des données au titre de l'article 10 (applicable à partir du 2 août 2026)
L'article 10 est la disposition la plus détaillée de l'AI Act en matière de données. Il impose des obligations de gouvernance et de gestion des données aux fournisseurs de systèmes d'IA à haut risque, portant sur les jeux de données utilisés pour entraîner, valider et tester ces systèmes.
Les obligations de l'article 10 imposent aux fournisseurs de mettre en place des pratiques encadrant : les critères de sélection et les méthodes de collecte des données d'entraînement, de validation et de test ; les finalités prévues de ces jeux de données ; l'examen des données afin de déceler d'éventuels biais susceptibles de causer un préjudice ou de porter atteinte aux droits fondamentaux ; l'identification de toute lacune ou insuffisance pertinente des données ; et la prise en compte des caractéristiques ou spécificités rendant le jeu de données approprié à la finalité prévue du système. Les jeux de données d'entraînement doivent être exempts d'erreurs et complets, dans la mesure permise par l'état de l'art. Article 10, paragraphes 2 à 4.
Le lien avec le RGPD est structurel plutôt que redondant. L'article 5, paragraphe 1, point b), du RGPD exige que les données à caractère personnel soient collectées pour des finalités déterminées, explicites et légitimes, et ne soient pas traitées ultérieurement d'une manière incompatible avec ces finalités. L'article 5, paragraphe 1, point c), du RGPD impose la minimisation des données : celles-ci doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies. L'article 10 de l'AI Act ajoute une couche distincte, propre à l'IA : au-delà de la limitation des données collectées, les fournisseurs doivent démontrer positivement que les données d'entraînement sont adaptées à leur finalité et exemptes de biais susceptibles de produire des résultats discriminatoires ou préjudiciables.
L'article 10, paragraphe 5, crée une exception étroite pour les fournisseurs de systèmes d'IA à haut risque, l'un des rares endroits où l'AI Act empiète expressément sur le cadre du RGPD relatif aux catégories particulières de données. Il permet le traitement de données à caractère personnel sensibles dans les jeux de données d'entraînement, normalement interdit au titre de l'article 9 du RGPD sans condition spécifique, strictement dans la mesure nécessaire pour détecter et corriger des biais susceptibles de conduire à une discrimination. Cette exception est soumise à des garanties appropriées et se limite à la finalité de détection des biais. Il ne s'agit pas d'une autorisation générale de traiter des données sensibles dans l'entraînement de l'IA.
Les catégories de l'annexe III relatives aux systèmes autonomes à haut risque devant se conformer à l'article 10 à compter d'août 2026 comprennent : les systèmes d'identification et de catégorisation biométriques ; l'IA utilisée pour la gestion des infrastructures critiques ; les systèmes utilisés dans les décisions d'accès à l'éducation et à la formation professionnelle ; les systèmes liés à l'emploi, notamment le recrutement, l'évaluation des performances et la répartition des tâches ; les systèmes utilisés pour l'accès à des services privés et publics essentiels, notamment l'évaluation de solvabilité et l'administration des prestations sociales ; les systèmes répressifs ; les systèmes de migration, d'asile et de contrôle aux frontières ; et les systèmes utilisés dans l'administration de la justice. Les fournisseurs développant des systèmes relevant de l'une de ces catégories doivent dès à présent entamer la mise en œuvre de la gouvernance des données afin d'être prêts pour la bascule d'août 2026.
L'analyse d'impact sur les droits fondamentaux (AIDF) : l'article 27 (applicable à partir du 2 août 2026)
L'article 27 introduit un nouveau type d'analyse d'impact propre à l'AI Act : l'analyse d'impact sur les droits fondamentaux (AIDF, ou FRIA en anglais). Elle est distincte de l'analyse d'impact relative à la protection des données (AIPD) exigée par l'article 35 du RGPD, et les organisations déployant de l'IA à haut risque peuvent devoir réaliser les deux.
L'obligation d'AIDF incombe aux déployeurs, et non aux fournisseurs. Elle s'applique plus précisément aux déployeurs qui sont soit des organismes de droit public, soit des opérateurs privés fournissant des services suffisamment proches, par leur nature, des services publics, tels que les services bancaires, l'assurance, la distribution d'eau, de gaz, d'électricité et l'accès à internet. Article 27, paragraphe 1.
L'AIDF doit évaluer le risque que le système d'IA à haut risque fait peser sur les droits fondamentaux protégés par la Charte des droits fondamentaux de l'UE. Cela inclut, sans s'y limiter, le droit à la vie privée au titre de l'article 7 de la Charte, le droit à la protection des données à caractère personnel au titre de l'article 8 de la Charte, le droit à la non-discrimination au titre de l'article 21, les droits de l'enfant au titre de l'article 24, le droit à un recours effectif au titre de l'article 47, et la présomption d'innocence au titre de l'article 48. L'AIDF doit être enregistrée dans la base de données de l'UE relative aux systèmes d'IA à haut risque, tenue en vertu de l'article 71 de l'AI Act. Article 27, paragraphe 2.
L'AIPD du RGPD et l'AIDF de l'AI Act remplissent des fonctions différentes. Une AIPD au titre de l'article 35 du RGPD évalue les risques pour les droits et libertés des personnes concernées résultant du traitement de données à caractère personnel. Elle est déclenchée lorsque le traitement est susceptible d'engendrer un risque élevé, en particulier lorsque de nouvelles technologies sont utilisées. Une AIDF au titre de l'article 27 de l'AI Act évalue l'éventail plus large des droits fondamentaux susceptibles d'être affectés par un système d'IA, qu'ils impliquent directement des données à caractère personnel ou non. Un système qui prend des décisions automatisées concernant l'accès à des prestations sociales affecte les deux registres : il traite des données à caractère personnel (nécessitant une AIPD) et il affecte des droits sociaux fondamentaux (nécessitant une AIDF). Les deux analyses doivent être réalisées avant le déploiement, et leur documentation est distincte.
L'IA à usage général : des obligations en vigueur depuis août 2025
L'AI Act a créé une nouvelle catégorie d'entité réglementée : les fournisseurs de modèles d'IA à usage général (IAUG). Les modèles d'IAUG sont des modèles d'IA entraînés sur des données variées et à grande échelle, capables d'accomplir avec compétence un large éventail de tâches distinctes. Les grands modèles de langage, les modèles multimodaux capables de traiter du texte, des images et de l'audio, ainsi que les modèles de fondation similaires, relèvent de cette définition. Les articles 51 à 55 de l'AI Act énoncent les obligations applicables, devenues applicables le 2 août 2025.
Tous les fournisseurs d'IAUG doivent : publier un résumé des données d'entraînement suffisamment détaillé pour permettre aux utilisateurs et déployeurs en aval d'évaluer la qualité des données, la conformité au droit d'auteur et les biais potentiels ; mettre en œuvre une politique visant à respecter le droit d'auteur de l'UE, y compris les règles relatives à l'exception de fouille de textes et de données prévue par la directive 2019/790 ; et publier une documentation technique portant sur les capacités, les limites et les contextes de déploiement prévus du modèle. L'annexe XIII précise les exigences en matière de documentation technique.
Les modèles d'IAUG jugés présenter un risque systémique sont soumis à des obligations supplémentaires. Le seuil de risque systémique est fixé à une puissance de calcul d'entraînement supérieure à 10^25 opérations en virgule flottante, en vertu de l'article 51, paragraphe 1, point b), bien que la Commission européenne puisse ajuster ce seuil par acte délégué. Les fournisseurs d'IAUG présentant un risque systémique doivent réaliser des tests contradictoires et des exercices de type « équipe rouge », signaler les incidents graves au Bureau européen de l'IA, mettre en œuvre des garanties de cybersécurité, et rendre compte de leur consommation énergétique. Ces exigences reconnaissent que les plus grands modèles de fondation, en raison de leur déploiement étendu et de leur échelle, peuvent produire des préjudices d'ordre sociétal plutôt qu'individuel.
La préoccupation spécifique à la protection des données pour les modèles d'IAUG concerne l'ampleur des données à caractère personnel généralement impliquées dans le pré-entraînement. Des jeux d'entraînement de centaines de milliards de jetons extraits du web peuvent inclure des données à caractère personnel concernant des personnes vivantes. Les fournisseurs d'IAUG ne peuvent pas échapper au RGPD au seul motif qu'ils sont désormais réglementés au titre de l'AI Act. Lorsque les données d'entraînement contiennent des données à caractère personnel, une base juridique au titre du RGPD demeure requise pour ce traitement, le plus souvent l'intérêt légitime (article 6, paragraphe 1, point f), du RGPD), sous réserve d'un test de mise en balance, bien que cette base ait été contestée dans des procédures d'exécution dans plusieurs États membres.
Qui assure l'exécution ? Le rôle des autorités de contrôle, du CEPD, du CEPD et du Bureau de l'IA
L'AI Act crée une architecture d'exécution à plusieurs niveaux qui place les autorités de protection des données au cœur du dispositif pour les secteurs les plus sensibles en matière de vie privée.
L'article 74, paragraphe 8, de l'AI Act désigne les autorités nationales de protection des données comme autorités de surveillance du marché compétentes pour les systèmes d'IA à haut risque traités dans les domaines de l'application de la loi, du contrôle des migrations, du traitement de l'asile et de l'administration de la justice. Il s'agit d'un choix délibéré : ce sont les secteurs les plus susceptibles d'impliquer un traitement à grande échelle de données à caractère personnel sensibles et les plus susceptibles d'affecter les droits fondamentaux. Les autorités de contrôle disposent déjà d'une expertise dans la mise en balance des besoins répressifs et des droits à la vie privée au titre du RGPD et de la directive « application de la loi », ce qui en fait le régulateur technique approprié pour ces contextes.
Pour les autres secteurs d'IA à haut risque, les États membres sont tenus de désigner des autorités nationales compétentes distinctes en tant qu'autorités de surveillance du marché au titre de l'article 70.
Au niveau de l'UE, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD, également désigné EDPS en anglais) jouent chacun un rôle consultatif. Le CEPD publie des lignes directrices et des avis sur l'articulation entre l'AI Act et le RGPD, notamment sur l'identification et la catégorisation biométriques. Le CEPD supervise l'utilisation des systèmes d'IA par les institutions de l'UE et a publié des orientations spécifiques sur la supervision de l'intelligence artificielle. En février 2026, le CEPD s'est joint à une déclaration commune coordonnée par la Global Privacy Assembly, signée par 61 autorités de protection des données, exprimant des préoccupations concernant les systèmes d'IA générant des images et des vidéos réalistes représentant des personnes identifiables sans leur connaissance ni leur consentement, avec une attention particulière portée à la protection de l'enfance.
Le Bureau européen de l'IA, créé au sein de la Commission européenne, assume la responsabilité globale de coordination de la surveillance des modèles d'IAUG et de l'exécution transfrontalière. Il constitue le point de contact principal pour les fournisseurs d'IAUG. Les autorités nationales de contrôle et le Bureau de l'IA devraient élaborer des protocoles de coordination afin d'éviter les lacunes réglementaires et le forum shopping à mesure que l'exécution se consolide.
Les sanctions : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial
L'article 99 de l'AI Act établit trois paliers d'amendes administratives, tous déjà en vigueur puisque les dispositions relatives aux sanctions elles-mêmes s'appliquent depuis le 2 août 2025, en même temps que les obligations relatives à l'IAUG.
Le palier le plus élevé s'applique aux violations des pratiques interdites de l'article 5. Les amendes peuvent atteindre 35 000 000 EUR ou 7 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Il s'agit d'un plafond, non d'une amende standard, et les autorités d'exécution doivent tenir compte de la proportionnalité. Article 99, paragraphe 3.
Le palier intermédiaire s'applique aux violations de toute autre obligation imposée aux fournisseurs, déployeurs, importateurs, distributeurs ou mandataires dans la chaîne de valeur de l'AI Act, y compris les obligations relatives à l'IA à haut risque prévues aux chapitres III et IV et les obligations relatives à l'IAUG. Les amendes peuvent atteindre 15 000 000 EUR ou 3 % du chiffre d'affaires annuel mondial total. Article 99, paragraphe 4.
Le palier le plus bas s'applique à la fourniture d'informations incorrectes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes. Les amendes peuvent atteindre 7 500 000 EUR ou 1 % du chiffre d'affaires annuel mondial total. Article 99, paragraphe 5.
Pour les petites et moyennes entreprises et les jeunes pousses, l'AI Act plafonne les amendes au montant le plus bas entre le pourcentage et le montant absolu, offrant un certain allègement proportionnel par rapport au traitement réservé aux grandes entreprises.
À titre de comparaison, l'article 83, paragraphe 5, du RGPD plafonne le palier le plus élevé des amendes à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial. Le palier des pratiques interdites de l'AI Act fixe un plafond supérieur sur les deux critères, reflétant l'appréciation du législateur selon laquelle les risques les plus graves liés à l'IA sont, à certains égards, plus dangereux que les violations les plus graves en matière de protection des données. En pratique, les organisations qui enfreignent les interdictions de l'article 5 s'exposeront presque certainement aussi à une action concomitante au titre du RGPD, ces interdictions impliquant généralement un traitement à grande échelle de données biométriques ou comportementales.
Étapes pratiques de mise en conformité
Les organisations opérant dans l'UE ou ciblant des résidents de l'UE devraient dès à présent suivre les étapes suivantes.
Recenser tous les systèmes d'IA utilisés au regard du cadre à plusieurs niveaux de risque. Identifier tout système susceptible de relever des catégories interdites de l'article 5 et vérifier s'il a été retiré du service comme requis depuis le 2 février 2025.
Pour les fournisseurs d'IAUG : vérifier que les résumés des données d'entraînement, les politiques de conformité au droit d'auteur et la documentation technique sont en place et satisfont aux exigences des articles 53 à 55. Si le modèle a été entraîné avec plus de 10^25 FLOP, confirmer si les obligations relatives au risque systémique prévues à l'article 55 s'appliquent.
Pour les fournisseurs et déployeurs de systèmes à haut risque : commencer dès maintenant la documentation de la gouvernance des données prévue à l'article 10, avant la date d'application du 2 août 2026. Cela inclut les critères de sélection des données d'entraînement, les registres d'examen des biais, et la documentation de tout recours à l'exception de l'article 10, paragraphe 5, relative aux catégories particulières pour la correction des biais.
Pour les déployeurs qui sont des organismes publics ou des opérateurs de services équivalents aux services publics : planifier la procédure d'AIDF prévue à l'article 27 en parallèle de la procédure d'AIPD déjà en place au titre du RGPD. Les deux analyses relèvent de cadres juridiques différents mais s'appuieront souvent sur la même documentation technique.
Réexaminer tous les déploiements de systèmes d'IA au regard de l'AI Act et du RGPD de manière indépendante. La conformité à l'un ne garantit pas la conformité à l'autre. Des systèmes disposant d'une base juridique valable au titre du RGPD peuvent néanmoins relever d'une catégorie interdite ; des systèmes situés en dessous du seuil de haut risque peuvent néanmoins impliquer un traitement de données à caractère personnel à haut risque déclenchant des AIPD au titre du RGPD.
Désigner un point de contact dédié aux demandes réglementaires relatives à l'AI Act et enregistrer les systèmes à haut risque dans la base de données de l'UE prévue à l'article 71 lorsqu'elle sera opérationnelle.
Guides associés
- Transferts internationaux de données au titre du RGPD : les règles du chapitre V (2026)
- Le droit à l'oubli au titre du RGPD (article 17) expliqué
- Le RGPD s'applique-t-il aux entreprises américaines ? Guide de conformité
- Lois européennes de protection des données : RGPD, AI Act et les réformes numériques 2025-2026
- Qu'est-ce que le RGPD ? Guide complet de la protection des données de l'UE (2026)
Frequently Asked Questions
L'AI Act européen remplace-t-il le RGPD pour les systèmes d'IA ?
Non. Le considérant 10 du règlement (UE) 2024/1689 précise expressément que l'AI Act n'affecte pas l'application du droit existant de l'UE en matière de [protection des données](/us-laws/data-privacy-laws), y compris le RGPD. Les systèmes d'IA qui traitent des données à caractère personnel doivent satisfaire indépendamment à l'AI Act et au RGPD. Il s'agit de deux régimes distincts qui se chevauchent : le RGPD encadre la manière dont les données à caractère personnel sont traitées ; l'AI Act encadre les risques posés par le système d'IA lui-même.
Quelles pratiques interdites de l'article 5 sont déjà en vigueur ?
Les huit pratiques interdites de l'article 5 sont toutes en vigueur depuis le 2 février 2025. Il s'agit : a) des techniques subliminales ou manipulatoires altérant sensiblement le comportement d'une manière causant un préjudice important ; b) de l'IA exploitant les vulnérabilités de groupes spécifiques tels que les enfants ou les personnes handicapées ; c) de la notation sociale par des acteurs publics ou privés conduisant à un traitement préjudiciable dans des contextes sans rapport ; d) de l'évaluation du risque de criminalité fondée uniquement sur le profilage ou des traits de personnalité sans fondement factuel objectif ; e) de l'extraction non ciblée d'images faciales pour constituer ou étendre des bases de données de reconnaissance ; f) de la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement, sauf à des fins médicales ou de sécurité ; g) de la catégorisation biométrique visant à déduire des caractéristiques protégées telles que la race, la religion ou l'orientation sexuelle ; et h) de l'identification biométrique à distance en temps réel dans les espaces publics à des fins répressives, sous réserve d'exceptions étroites nécessitant une autorisation judiciaire pour les infractions graves, le terrorisme imminent ou la recherche de victimes.
Qu'est-ce qu'une analyse d'impact sur les droits fondamentaux (AIDF) et en quoi diffère-t-elle d'une AIPD au titre du RGPD ?
Une AIDF au titre de l'article 27 de l'AI Act évalue les risques qu'un système d'IA à haut risque fait peser sur l'ensemble des droits fondamentaux protégés par la Charte de l'UE, notamment la vie privée, la protection des données, la non-discrimination et les droits dans les procédures judiciaires. Une analyse d'impact relative à la protection des données (AIPD) au titre de l'article 35 du RGPD porte spécifiquement sur les risques pour les personnes concernées résultant du traitement de données à caractère personnel. Les deux sont déclenchées par des déploiements d'IA à haut risque impliquant des données à caractère personnel, mais il s'agit de documents distincts, fondés sur des bases juridiques différentes et comportant un contenu requis différent. Les déployeurs qui sont des organismes publics ou des opérateurs privés équivalents peuvent devoir réaliser les deux avant de déployer un système d'IA à haut risque.
Quand les obligations relatives à l'IA à haut risque s'appliquent-elles réellement ?
La plupart des obligations relatives à l'IA à haut risque, y compris la gouvernance des données de l'article 10, les obligations des déployeurs de l'article 26 et les AIDF de l'article 27, s'appliquent à compter du 2 août 2026 pour les systèmes autonomes à haut risque énumérés à l'annexe III. Les systèmes d'IA à haut risque intégrés dans des produits réglementés couverts par la législation sectorielle de l'annexe I (dispositifs médicaux, machines, etc.) bénéficient d'une transition prolongée jusqu'au 2 août 2027. En juin 2026, ces règles ne sont pas encore en vigueur, mais les organisations devraient s'y préparer activement.
Comment les sanctions de l'AI Act se comparent-elles aux amendes du RGPD ?
Le palier de sanction le plus élevé de l'AI Act, applicable aux violations des pratiques interdites de l'article 5, atteint 35 000 000 EUR ou 7 % du chiffre d'affaires annuel mondial. Le palier le plus élevé du RGPD atteint 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial. Les deux retiennent le montant le plus élevé entre le chiffre absolu et le pourcentage. L'AI Act comporte également un palier intermédiaire de 15 000 000 EUR ou 3 % pour la non-conformité des systèmes à haut risque, et un palier inférieur de 7 500 000 EUR ou 1 % pour la fourniture d'informations trompeuses aux autorités. Les organisations qui enfreignent les interdictions de l'article 5 s'exposeront généralement aussi à une action concomitante au titre du RGPD, ces pratiques impliquant presque toujours un traitement à grande échelle de données biométriques ou comportementales.
Que requiert l'article 10 de l'AI Act pour les données d'entraînement ?
L'article 10 impose aux fournisseurs de systèmes d'IA à haut risque de documenter et de gouverner leurs jeux de données d'entraînement, de validation et de test. Cela inclut l'enregistrement des critères de sélection et des méthodes de collecte, l'examen des données pour déceler d'éventuels biais, l'identification des lacunes dans les données, et la garantie que les données sont exemptes d'erreurs et complètes dans la mesure du possible. L'article 10, paragraphe 5, crée une exception étroite permettant le traitement de données à caractère personnel sensibles au sens du RGPD dans les jeux d'entraînement, strictement pour détecter et corriger des biais. Ces obligations s'appliquent à compter du 2 août 2026 et complètent, sans les remplacer, les exigences du RGPD en matière de minimisation des données et de limitation des finalités.
Qui assure l'exécution de l'AI Act pour les systèmes d'IA répressifs et judiciaires ?
L'article 74, paragraphe 8, de l'AI Act désigne les autorités nationales de protection des données comme autorités de surveillance du marché compétentes pour les systèmes d'IA à haut risque utilisés dans l'application de la loi, le traitement des migrations et de l'asile, et l'administration de la justice. Pour les autres secteurs à haut risque, les États membres désignent des autorités nationales compétentes distinctes. Au niveau de l'UE, le Bureau européen de l'IA supervise les modèles d'IAUG, tandis que le CEPD fournit des orientations consultatives sur l'articulation entre l'AI Act et le droit de la protection des données.
Les fournisseurs d'IA à usage général, comme les développeurs de grands modèles de langage, doivent-ils déjà se conformer ?
Oui. Les obligations relatives à l'IAUG prévues aux articles 51 à 55 de l'AI Act sont en vigueur depuis le 2 août 2025. Tous les fournisseurs d'IAUG doivent publier des résumés des données d'entraînement, mettre en œuvre une politique de conformité au droit d'auteur et publier une documentation technique. Les fournisseurs de modèles jugés présenter un risque systémique (ceux entraînés avec plus de 10^25 FLOP) sont soumis à des exigences supplémentaires d'évaluation de sécurité, de signalement des incidents et de cybersécurité. Les obligations du RGPD relatives au traitement des données d'entraînement continuent de s'appliquer parallèlement à ces exigences de l'AI Act.
Sources and References
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil (AI Act) : texte officiel, EUR-Lex(eur-lex.europa.eu)
- Règlement (UE) 2016/679 (RGPD) : texte officiel, EUR-Lex(eur-lex.europa.eu)
- Commission européenne : aperçu du cadre réglementaire de l'AI Act (digital-strategy.ec.europa.eu)(digital-strategy.ec.europa.eu)
- Comité européen de la protection des données (CEPD) : lignes directrices et avis sur l'IA et la biométrie(edpb.europa.eu)
- Contrôleur européen de la protection des données (CEPD) : page consacrée à la supervision de l'intelligence artificielle(edps.europa.eu)
- Bureau européen de l'IA : portail officiel (digital-strategy.ec.europa.eu)(digital-strategy.ec.europa.eu)