Intelligence artificielle : vos obligations à l'heure de l'AI Act et du RGPD
L'intelligence artificielle s'est installée dans le quotidien des entreprises, des indépendants et des associations : rédaction assistée, génération d'images, agents conversationnels, tri de documents. Cette diffusion rapide s'accompagne désormais d'un cadre juridique. Deux textes encadrent l'IA en France : le règlement européen sur l'intelligence artificielle, dit AI Act, et le RGPD dès que des données personnelles sont en jeu.
Le sujet est d'autant plus d'actualité que le calendrier de l'AI Act vient d'être ajusté par un texte de simplification, le Digital Omnibus. Cet article fait le point, de façon complète et vérifiée, sur l'articulation de ces deux textes, sur l'approche par les risques, sur les échéances réelles, et surtout sur ce que doit faire une entreprise, même de petite taille.
L'essentiel en une phrase : la plupart des entreprises utilisent une IA à risque minimal ou limité et sont surtout tenues à la transparence et à la littératie en IA ; les obligations lourdes visent le haut risque, dont l'échéance a été repoussée à fin 2027, et le RGPD s'applique en parallèle dès que des données personnelles sont traitées.
I. Deux textes, pas un
La première erreur consiste à confondre les deux cadres. L'AI Act, le règlement (UE) 2024/1689, relève d'une logique de sécurité des produits et de protection des droits fondamentaux : il classe les systèmes d'IA selon leur niveau de risque et impose des obligations proportionnées. Le RGPD, lui, protège les données personnelles, quel que soit l'outil utilisé.
Les deux ne s'excluent pas, ils se cumulent. La CNIL l'a explicitement rappelé : lorsqu'un système d'IA repose sur des données personnelles, le RGPD et le règlement sur l'IA s'appliquent tous les deux. Une entreprise conforme à l'un n'est donc pas dispensée de l'autre, et c'est précisément à l'intersection des deux que se joue la conformité réelle.
II. L'approche par les risques de l'AI Act
L'AI Act ne traite pas tous les usages de la même manière. Il distingue quatre niveaux.
| Niveau de risque | Traitement |
|---|---|
| Risque inacceptable | Pratiques interdites (notation sociale généralisée, manipulation subliminale, etc.) |
| Haut risque | Encadrement strict (par exemple IA de recrutement, d'évaluation, de contrôle) |
| Risque limité | Obligations de transparence (signaler une interaction avec une IA, un contenu généré) |
| Risque minimal | Aucune obligation spécifique (la grande majorité des usages courants) |
Pour un entrepreneur, la bonne question n'est pas de mémoriser toute l'architecture du texte, mais de se demander, à chaque nouveau projet : mon système d'IA prend-il, suggère-t-il ou influence-t-il une décision ayant un effet significatif sur une personne, par exemple en matière de recrutement, d'accès à un service, d'évaluation ou de contrôle ? Si la réponse est oui, la vigilance doit être maximale, car on bascule potentiellement dans le haut risque.
Nouvelle interdiction. Au-delà des pratiques déjà prohibées, le Digital Omnibus introduit une interdiction visant les systèmes d'IA qui génèrent des contenus intimes représentant une personne sans son consentement, ainsi que les contenus pédocriminels. Cette interdiction est prévue pour s'appliquer à compter du 2 décembre 2026.
III. Le calendrier, et ce que le Digital Omnibus reporte
L'AI Act est entré en vigueur le 1er août 2024, mais il s'applique par étapes. Les pratiques interdites et l'obligation de littératie en IA s'appliquent depuis le 2 février 2025. Les règles relatives aux modèles d'IA à usage général s'appliquent depuis le 2 août 2025.
Les obligations les plus lourdes, celles qui visent les systèmes à haut risque, étaient initialement prévues pour le 2 août 2026. C'est ici qu'intervient le Digital Omnibus sur l'IA, un paquet d'amendements de simplification proposé par la Commission le 19 novembre 2025. Il a fait l'objet d'un accord politique le 7 mai 2026, puis a été approuvé par le Parlement européen le 16 juin 2026.
- Systèmes à haut risque de l'annexe III (usages sensibles comme l'emploi ou la biométrie) : obligations reportées du 2 août 2026 au 2 décembre 2027.
- Systèmes à haut risque de l'annexe I (IA intégrée à des produits déjà réglementés) : reportées du 2 août 2027 au 2 août 2028.
- Transparence (article 50) : l'essentiel, comme l'obligation d'informer qu'on interagit avec une IA, reste applicable au 2 août 2026 ; seul le marquage des contenus déjà sur le marché bénéficie d'un délai jusqu'au 2 décembre 2026.
Attention, le texte n'est pas encore définitif. À ce stade, le Digital Omnibus a été approuvé par le Parlement mais n'a pas encore été formellement adopté par le Conseil ni publié au Journal officiel de l'Union européenne. Tant que cette dernière étape n'est pas franchie, ce sont les échéances initiales de l'AI Act qui restent juridiquement applicables. Mieux vaut donc préparer la conformité sans tabler sur le report.
IV. Ce que vous devez faire, même petite structure
Beaucoup de dirigeants pensent, à tort, que l'AI Act ne concerne que les grands groupes technologiques. Trois obligations touchent en réalité presque tout le monde.
- La littératie en IA. Depuis février 2025, si vous utilisez des outils d'IA, vous devez veiller à ce que les personnes qui s'en servent disposent d'un niveau suffisant de compétences pour en comprendre les usages, les limites et les risques. Une sensibilisation interne suffit souvent, mais elle doit exister.
- La transparence. Informez les personnes lorsqu'elles interagissent avec une IA, par exemple un agent conversationnel, et signalez les contenus générés ou manipulés par une IA. C'est une question de loyauté autant que de conformité.
- Le RGPD, dès qu'il y a des données personnelles. Si vous alimentez une IA avec des données de clients, de prospects ou de salariés, vous devez avoir une base légale, limiter les données utilisées, informer les personnes, respecter leurs droits et, dans les cas à risque, réaliser une analyse d'impact.
Registre des activités de traitement
La pièce maîtresse de votre conformité : recenser vos traitements (finalités, données, durées, destinataires), y compris vos usages d'IA. Exigible en cas de contrôle de la CNIL.
Analyse d'impact (AIPD)
Obligatoire pour les traitements à risque élevé (article 35 du RGPD), dont certains usages d'IA : notre trame guide l'évaluation des risques et des mesures à prendre.
Politique de confidentialité
L'information due aux personnes : finalités, bases légales, durées, droits, et mention de vos outils d'IA. À publier sur votre site et à jour de la doctrine CNIL.
Charte d'encadrement de l'usage de l'IA
Pour cadrer l'usage de l'IA en interne (littératie, transparence, validation humaine, données autorisées) et répondre à l'obligation de littératie de l'AI Act.
Pack Conformité RGPD
Votre socle de conformité, réuni et à prix groupé : registre des traitements, analyse d'impact, politique de confidentialité, mentions, contrat de sous-traitance, et charte d'usage de l'IA.
Découvrir le pack Conformité RGPD →V. IA et RGPD : la doctrine de la CNIL
La CNIL a publié, depuis 2024, une série de fiches pratiques sur l'application du RGPD au développement des systèmes d'IA. Ces recommandations ne sont pas, en elles-mêmes, juridiquement contraignantes, mais elles reflètent l'interprétation de l'autorité et constituent le standard qu'elle appliquera lors de ses contrôles. Plusieurs points sont à retenir.
- Les principes du RGPD s'appliquent à l'entraînement. Licéité, loyauté, transparence, limitation des finalités, minimisation et exactitude valent aussi pour la constitution des bases d'apprentissage.
- L'intérêt légitime, base la plus courante. La CNIL reconnaît que l'intérêt légitime est la base légale la plus souvent mobilisable pour développer un système d'IA, sous réserve d'un triple test (intérêt légitime, nécessité, mise en balance) et de garanties solides.
- Le moissonnage de données encadré. Le web scraping pour constituer une base d'entraînement n'est pas interdit, mais il doit s'accompagner de mesures : documentation des sources, exclusion de certaines données, droit d'opposition effectif.
- La protection des données dès la conception. Il faut documenter ses choix de conception, ce qui est, dans la pratique, le maillon faible le plus fréquent, et conduire une analyse d'impact (au titre de l'article 35 du RGPD) lorsque le traitement présente un risque élevé.
La CNIL a par ailleurs indiqué qu'elle aurait un rôle central au titre de l'AI Act : outre sa mission historique de protection des données, elle serait autorité de surveillance du marché pour une large part des systèmes à haut risque, notamment en matière de biométrie, d'emploi, de migration et d'usages répressifs. La désignation complète des autorités compétentes se précise en 2026.
VI. Mutualiser avec sa conformité RGPD
La bonne nouvelle, pour qui a déjà engagé une démarche RGPD, est que l'essentiel du socle est commun : une gouvernance claire, une analyse des risques, de la documentation, une information des personnes et le respect de leurs droits. Préparer sa conformité à l'IA, c'est en grande partie prolonger et structurer ce qui a déjà été fait pour les données personnelles, plutôt que de repartir de zéro.
C'est l'approche que le cabinet propose à travers son accompagnement à la conformité RGPD et son service de délégué à la protection des données externalisé : cartographier vos usages de l'IA, sécuriser vos bases légales, documenter vos choix et bâtir une organisation qui tient autant au regard du RGPD que de l'AI Act.
Sécuriser vos usages de l'IA
Le cabinet vous aide à qualifier vos usages au regard de l'AI Act, à articuler cette démarche avec votre conformité RGPD, et à documenter le tout. Une question précise ? Notre juriste vous répond par écrit.
VII. Trois cas concrets
- L'artisan qui utilise un assistant de rédaction. Il rédige ses devis et ses publications avec une IA générative. L'usage est à risque minimal, mais il doit s'assurer de ne pas y saisir de données personnelles sensibles de ses clients, et signaler, le cas échéant, les contenus générés par IA.
- L'association qui trie des candidatures. Elle envisage un outil d'IA pour présélectionner des bénévoles ou des salariés. Là, on touche à l'emploi : un usage potentiellement à haut risque, qui appelle une vigilance forte et, du côté RGPD, une information des personnes et probablement une analyse d'impact.
- L'indépendant qui entraîne un petit modèle. Il veut spécialiser un modèle sur ses données clients. Avant tout, il doit définir une finalité, choisir une base légale (souvent l'intérêt légitime, sous conditions), minimiser les données et documenter ses choix de conception.
Conclusion
L'encadrement de l'IA n'est pas un mur infranchissable, mais un cadre qui se met en place par étapes. Pour la plupart des entreprises, indépendants et associations, l'enjeu immédiat tient en trois mots : transparence, littératie, et respect du RGPD dès que des données personnelles sont en jeu. Les obligations les plus lourdes, réservées au haut risque, ont vu leur échéance repoussée, mais le texte de report n'est pas encore définitif.
Le bon réflexe est de cartographier ses usages de l'IA, de poser la question de l'effet sur les personnes, et de mutualiser cette préparation avec sa conformité RGPD. Anticiper, ici, c'est se donner les moyens d'utiliser l'IA en confiance, sans subir le cadre.
Sources officielles
Cet article s'appuie exclusivement sur des textes et publications officiels, vérifiés à la source.
- Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (AI Act), entré en vigueur le 1er août 2024
- Digital Omnibus sur l'IA : proposition de la Commission du 19 novembre 2025, accord politique du 7 mai 2026, approbation par le Parlement européen le 16 juin 2026 (en cours d'adoption formelle)
- Règlement (UE) 2016/679 (RGPD)
- CNIL : recommandations et fiches pratiques sur l'application du RGPD au développement des systèmes d'IA, cnil.fr
- Commission européenne, plateforme d'information sur l'AI Act, digital-strategy.ec.europa.eu
Cet article relève d'une information juridique au sens de la loi n° 71-1130 du 31 décembre 1971. Le cabinet ne délivre pas de consultation juridique personnalisée. Les informations sont données à jour à la date de publication ; le cadre de l'IA évolue rapidement, notamment au gré de l'adoption définitive du Digital Omnibus.
Questions fréquentes
Qu'est-ce que l'AI Act ?+
L'AI Act est le règlement européen (UE) 2024/1689, entré en vigueur le 1er août 2024, premier cadre juridique général au monde sur l'IA. Il repose sur une approche par les risques : pratiques interdites, systèmes à haut risque strictement encadrés, systèmes à risque limité soumis à la transparence, et grande majorité des usages, à risque minimal, non réglementés.
Mon entreprise est-elle concernée par l'AI Act ?+
Si vous utilisez ou déployez de l'IA, vous êtes concerné, à un degré variable. La plupart des entreprises utilisent des outils à risque minimal ou limité, et sont surtout tenues à la transparence et à la littératie en IA. Les obligations lourdes visent le haut risque, par exemple une IA qui prend, suggère ou influence une décision significative sur une personne.
L'AI Act et le RGPD, est-ce la même chose ?+
Non, ce sont deux textes distincts. L'AI Act relève d'une logique de sécurité des produits et de protection des droits fondamentaux. Le RGPD protège les données personnelles. La CNIL le rappelle : lorsqu'un système d'IA traite des données personnelles, les deux s'appliquent en même temps.
Le calendrier de l'AI Act a-t-il changé ?+
Oui. Le Digital Omnibus sur l'IA, qui a fait l'objet d'un accord politique le 7 mai 2026 et a été approuvé par le Parlement européen le 16 juin 2026, reporte les règles sur les systèmes à haut risque de l'annexe III au 2 décembre 2027 et de l'annexe I au 2 août 2028. Tant que ce texte n'est pas formellement adopté et publié, les échéances initiales restent applicables.
Qu'est-ce que la littératie en intelligence artificielle ?+
Depuis le 2 février 2025, l'AI Act impose une obligation de littératie en IA. Les organisations qui utilisent des systèmes d'IA doivent veiller à ce que les personnes qui s'en servent disposent d'un niveau suffisant de compétences pour en comprendre les usages, les limites et les risques. Cette obligation concerne même les petites structures.
Dois-je informer mes clients quand j'utilise une IA ?+
Oui, dans plusieurs cas. L'AI Act prévoit des obligations de transparence : informer une personne lorsqu'elle interagit avec un système d'IA, comme un agent conversationnel, et signaler les contenus générés ou manipulés par une IA. L'essentiel de ces obligations s'applique à compter du 2 août 2026.
Quelle base légale pour entraîner une IA sur des données personnelles ?+
Selon la CNIL, l'intérêt légitime est la base légale la plus couramment mobilisable, sous réserve d'un triple test (intérêt légitime, nécessité, mise en balance) et de garanties fortes. Le consentement est parfois adapté pour une collecte directe. Le moissonnage de données en ligne n'est pas interdit, mais doit être encadré, et une analyse d'impact peut être obligatoire.
Qui contrôle l'intelligence artificielle en France ?+
La CNIL est l'autorité de protection des données et a vocation à exercer un rôle central sur l'IA. Elle a indiqué qu'elle serait l'autorité de surveillance du marché pour une large part des systèmes à haut risque, notamment en biométrie, emploi, migration et usages répressifs. La désignation complète des autorités compétentes au titre de l'AI Act se précise en 2026.