RGPD et IA Act : que doivent préparer les DPO dès 2025 ?

Dès 2025, les DPO devront intégrer une nouvelle donne réglementaire : l'application conjointe du RGPD et du règlement européen sur l'intelligence artificielle (IA Act).

‍

Traitements automatisés, systèmes à haut risque, documentation croisée : les exigences s'intensifient et appellent une gouvernance adaptée.

‍

Cet article vous guide sur les articulations entre ces deux textes, les obligations à anticiper et les démarches à mettre en œuvre pour piloter une conformité alignée et sécurisée.

‍

À retenir :

‍

• RGPD et IA Act s'appliquent souvent conjointement, notamment en cas de traitement automatisé à haut risque
• Le DPO joue un rôle de facilitateur : évaluation des impacts RGPD, coordination avec les équipes conformité IA
• Dès 2025, il faudra mettre à jour AIPD, registre et procédures internes pour intégrer les exigences IA
• Une conformité croisée et structurée permet de gagner en cohérence et efficacité
• De nombreuses zones grises subsistent : veille et dialogue interservices sont essentiels

‍

‍

Comprendre l'articulation entre RGPD et IA Act

‍

‍

Depuis l'entrée en application du RGPD en mai 2018, la régulation des données personnelles s'est imposée comme un cadre de référence pour toute organisation traitant de l'information sensible. L'entrée en vigueur de l'IA Act (Règlement UE 2024/1689) en août 2024, avec une application progressive jusqu'en 2026-2027, vient ajouter une couche complémentaire de régulation, spécifiquement orientée vers les systèmes d'intelligence artificielle. Pour les DPO, la question n'est pas de choisir entre les deux, mais de comprendre comment ces régimes s'articulent, se recoupent, et doivent être intégrés dans une stratégie unique de conformité.

‍

Deux logiques, un terrain commun

‍

Le RGPD s'applique dès qu'un traitement de données à caractère personnel est mis en œuvre, indépendamment de la technologie utilisée. Il s'inscrit dans une logique de protection des droits fondamentaux, avec un focus sur les principes de loyauté, de transparence, de minimisation et de limitation des finalités.

‍

À l'inverse, l'IA Act vise la régulation des systèmes d'intelligence artificielle, qu'ils traitent ou non des données personnelles. Son approche est basée sur le niveau de risque que présente le système pour la santé, la sécurité ou les droits fondamentaux. Ainsi, une IA utilisée pour filtrer des candidatures, évaluer des parcours médicaux ou noter des étudiants sera considérée comme « à haut risque » et soumise à des exigences strictes.

‍

Dans la pratique, les deux textes s'appliquent simultanément dans la majorité des cas d'usage professionnels : les systèmes d'IA à haut risque traitent généralement des données personnelles pour profiler, prédire ou prendre des décisions automatisées.

‍

Tableau comparatif : RGPD vs IA Act

‍Nous vous renvoyons également pour plus d’explications à l’article AI Act tout comprendre sur la nouvelle loi européenne sur l'IA.

‍

Quels points de convergence ?

‍

Malgré leurs différences structurelles, les deux règlements se complètent sur plusieurs plans. Ils imposent tous deux :

‍

• Une évaluation préalable des risques (AIPD pour le RGPD, évaluation de conformité pour l'IA Act)
• Une documentation des traitements / systèmes
• Une traçabilité des décisions automatisées
• Une transparence vis-à-vis des personnes concernées
• Une logique de "privacy and ethics by design"

‍

En outre, le RGPD interdit déjà les décisions exclusivement automatisées ayant des effets juridiques ou similaires (article 22), sauf exception. L'IA Act vient renforcer et préciser ce principe en exigeant des mesures de supervision humaine spécifiques pour les systèmes à haut risque.

‍

En pratique, les équipes conformité devront être en mesure d'identifier les traitements où RGPD et IA Act s'appliquent simultanément, d'assurer leur documentation conjointe, et de veiller à la cohérence des démarches AIPD et évaluation de conformité IA.

‍

‍

{{newsletter}}

‍

‍

Le rôle évolutif des DPO face à l'IA régulée

‍

‍

L'entrée en application de l'IA Act impose une évolution du rôle du Délégué à la protection des données (DPO). Bien que l'IA Act n'attribue pas directement de responsabilités au DPO, ce dernier devient un facilitateur clé de la gouvernance des systèmes d'intelligence artificielle traitant des données personnelles, en lien étroit avec les métiers, les équipes projets IA et les directions techniques.

‍

Évaluer les impacts RGPD des traitements IA existants

‍

Le premier enjeu pour les DPO est de cartographier l'existant du point de vue RGPD. De nombreuses applications ou outils déjà en place dans l'organisation intègrent des composants IA sans que leurs implications en matière de protection des données aient été pleinement évaluées.

‍

Il est donc nécessaire d'identifier :

‍

• Les traitements automatisés susceptibles d'entrer dans le champ de l'IA Act et impliquant des données personnelles
• Les outils IA proposés par des tiers (SaaS, API, plateformes GPAI) et leurs implications RGPD
• Les traitements à base de profilage ou de décisions automatisées déjà soumis à l'article 22 du RGPD

‍

Une relecture des analyses d'impact (AIPD) et des registres de traitement permettra d'identifier les points de croisement réglementaires et les compléments nécessaires.

‍

Faciliter la gouvernance des projets IA

‍

Le DPO doit désormais intervenir en amont des projets intégrant une composante IA pour évaluer les aspects RGPD. Cela implique :

‍

• De participer à l'évaluation des risques pour les droits et libertés des personnes
• De recommander les mesures techniques et organisationnelles adaptées côté RGPD
• D'accompagner l'équipe projet dans la constitution du dossier de conformité RGPD
• De s'assurer que les droits des personnes (information, accès, rectification, opposition) restent exercables
• De coordonner avec les équipes en charge de la conformité IA Act

‍

Plus largement, il s'agit de faire émerger une culture de conformité intégrée, au même titre que la culture RGPD développée ces dernières années.

‍

Nouveaux réflexes à adopter

‍

• Participer aux comités projets IA dès la phase de cadrage pour les aspects RGPD
• Instaurer une grille d'évaluation croisée RGPD/IA Act
• Travailler en coordination avec les équipes IA Act et le RSSI
• Renforcer le lien avec les juristes pour sécuriser les clauses contractuelles avec les fournisseurs IA
• Former les métiers à l'identification des cas d'usage impliquant données personnelles et IA

‍

Collaborer dans un écosystème de responsabilités partagées

‍

La conformité IA-RGPD ne peut pas être portée uniquement par le DPO. L'IA Act introduit des rôles spécifiques (fournisseur, déployeur, distributeur) avec leurs propres obligations. Le DPO a un rôle de coordination pour :

‍

• Faciliter la compréhension des enjeux RGPD dans les projets IA
• Clarifier les responsabilités en matière de protection des données
• Initier des revues de conformité partagées (registre RGPD enrichi, procédures intégrées)
• Créer des référentiels internes alignés RGPD / IA Act

‍

Le DPO devient un facilitateur de la conformité éthique et technique des systèmes IA traitant des données personnelles.

‍

Nous vous renvoyons également pour plus d’explications à l’article AI Act tout comprendre sur la nouvelle loi européenne sur l'IA.

‍

Exemple de gouvernance projet IA

‍

Projet : développement d'un outil d'aide au recrutement intégrant un scoring algorithmique. Acteurs : RH (porteur métier), data science (modèle), RSSI (infrastructure), DPO (conformité RGPD), équipe IA Act (conformité IA).

‍

Rôle du DPO :

‍

• Évaluation des risques RGPD (profilage + impact sur individus)
• Relecture du design : exercice des droits des candidats ?
• Mise à jour du registre des traitements et de l'AIPD
• Information des candidats sur le traitement de leurs données
• Coordination avec l'équipe IA Act pour la cohérence des démarches

‍

‍

Nouvelles obligations à anticiper dès 2025

‍

‍

L'application progressive de l'IA Act entre 2024 et 2027 introduit de nouvelles obligations qui viennent compléter le cadre RGPD existant. Pour les équipes conformité, il devient impératif d'anticiper ces évolutions, en identifiant les systèmes concernés et en préparant les documents et processus requis. L'enjeu ? Garantir la conformité des traitements automatisés, éviter les sanctions, et surtout renforcer la confiance des utilisateurs.

‍

Systèmes d'IA à haut risque : identification et documentation

‍

Le cœur du dispositif réglementaire IA Act repose sur la classification des systèmes d'IA par niveau de risque. Ceux considérés comme « à haut risque » (listés à l'annexe III) font l'objet d'exigences spécifiques.

‍

Sont notamment considérés comme à haut risque :

‍

• Les IA utilisées pour le recrutement, la sélection, l'évaluation de candidats
• Les outils de scoring de solvabilité ou d'évaluation du crédit
• Les systèmes d'aide à la décision dans l'accès aux services essentiels
• Les dispositifs de surveillance biométrique à distance
• Les systèmes d'évaluation dans l'enseignement

‍

Dans ces cas, le déployeur du système IA devra :

‍

• S'assurer que le système est conforme avant sa mise en service
• Réaliser une évaluation de l'impact sur les droits fondamentaux (article 27)
• Tenir une documentation de déploiement
• Mettre en place des mesures de supervision humaine appropriées
• Garantir la traçabilité et la surveillance du système

‍

Obligations croisées RGPD / IA Act

Sanctions et risques juridiques

‍

L'IA Act prévoit un régime de sanctions gradué :

‍

• Interdictions : jusqu'à 35M€ ou 7% du CA annuel mondial
• Non-conformité systèmes à haut risque : jusqu'à 15M€ ou 3% du CA
• Obligations d'information : jusqu'à 7,5M€ ou 1,5% du CA

‍

Ces sanctions s'ajoutent aux sanctions RGPD existantes, créant un risque de cumul en cas de non-conformité croisée.

‍

Transparence, traçabilité, contrôle humain : les nouveaux standards

‍

L'IA Act impose une traçabilité automatique des systèmes à haut risque (article 12). Cela inclut :

‍

• L'enregistrement automatique des décisions prises ou recommandées
• La documentation des données d'entrée utilisées
• La traçabilité des événements significatifs pendant le fonctionnement

‍

Cette exigence complète l'obligation de transparence RGPD déjà existante. Par exemple, un candidat évalué par un système IA devra être informé :

‍

• De l'utilisation d'un système IA (transparence IA Act)
• Du traitement de ses données personnelles (information RGPD)
• De ses droits (accès, rectification, opposition RGPD + supervision humaine IA Act)

‍

La supervision humaine devient plus précise qu'avec l'article 22 RGPD : elle doit être effective, appropriée et permettre une intervention significative.

‍

AIPD et Registre RGPD : mise à jour nécessaire

‍

Pour les DPO, cela implique une adaptation des outils de conformité existants :

‍

• Les analyses d'impact (AIPD) doivent intégrer une évaluation des risques liés à l'usage de l'IA
• Le registre des traitements devra mentionner l'utilisation de systèmes IA et leur niveau de risque
• Des procédures de revue périodique des systèmes IA devront être mises en place

‍

Il est conseillé de tenir un registre spécifique aux systèmes IA en coordination avec les équipes IA Act, documentant :

‍

• L'objectif et la finalité du système
• Le niveau de risque IA Act identifié
• Les implications RGPD (base légale, droits des personnes)
• Les garanties mises en place
• Les rôles et responsabilités (fournisseur, déployeur, DPO)

‍

‍

Mettre en œuvre une conformité croisée RGPD / IA Act

‍

‍

Avec l'application de l'IA Act, les organisations doivent désormais penser la conformité comme un système intégré, capable de répondre aux exigences à la fois du RGPD et du règlement européen sur l'IA. Il ne s'agit pas d'empiler les obligations, mais bien de mutualiser les processus, les outils et les responsabilités pour construire une gouvernance cohérente.

‍

Outils, processus et documentation partagée

‍

La première étape consiste à aligner les démarches existantes avec les nouvelles exigences :

‍

• Le registre des traitements RGPD doit intégrer un volet IA (systèmes utilisés, finalité, niveau de risque IA Act)
• Les AIPD doivent être enrichies d'une analyse des risques spécifiques à l'IA : biais, explicabilité, supervision, évolution du modèle
• Les politiques internes doivent intégrer des clauses IA (sécurité, éthique, achats, contractualisation)
• Une documentation technique centralisée doit être créée, avec les éléments exigés par l'IA Act

‍

L'objectif est de produire une preuve de conformité intégrée, utilisable en cas de contrôle CNIL ou d'audit par une autorité de surveillance IA Act.

‍

Processus type - Intégration de l'IA dans la conformité RGPD

‍

1. Identification du cas d'usage IA (outil, projet, fournisseur)
2. Évaluation du risque RGPD (données personnelles, décision automatisée, profilage)
3. Évaluation du niveau de risque IA Act (annexe III, risque systémique)
4. Documentation croisée (registre enrichi + dossier IA Act + AIPD adaptée)
5. Mise en place de garanties : supervision humaine, exercice des droits, traçabilité
6. Revue pluridisciplinaire DPO - équipe IA Act - RSSI - juriste - métier

‍

Ce processus garantit une traçabilité documentaire complète et permet d'identifier rapidement les écarts ou non-conformités.

‍

Nous vous rappelons que notre solution Adequacy comporte un module IA afin de gérer ces aspects spécifiques de conformité.

‍

Exemple de mise en conformité : système de tri de candidatures

‍

Une entreprise utilise une IA de présélection de CV.

‍

• RGPD : le système est soumis à l'article 22 (décision automatisée) + base légale appropriée + AIPD + droits des candidats
• IA Act : système à haut risque (annexe III - emploi) → obligations du déployeur, évaluation d'impact droits fondamentaux, supervision humaine

‍

En croisant les exigences, les équipes peuvent :

‍

• Réaliser une évaluation d'impact intégrée (RGPD + droits fondamentaux)
• Mettre à jour le registre avec les spécificités IA
• Définir des procédures de supervision humaine respectant les deux cadres
• Former les recruteurs aux obligations croisées
• Contractualiser clairement avec le fournisseur IA

‍

Intégrer l'IA dans la culture conformité de l'organisation

‍

Au-delà des obligations réglementaires, il est essentiel de créer une culture de maîtrise des risques IA-données. Cela passe par :

‍

• La sensibilisation des directions métiers aux impacts croisés IA-RGPD
• L'implication des instances de gouvernance dans les arbitrages
• La mise en place de revues annuelles de conformité intégrée

‍

Le DPO a ici un rôle de facilitateur : il ne se contente plus de gérer les aspects RGPD, il participe à une gouvernance élargie associant technologie, réglementation et éthique.

‍

‍

Les zones grises : que reste-t-il à clarifier pour les DPO ?

‍

‍

Même si l'IA Act apporte un cadre juridique structurant, de nombreuses zones d'ombre subsistent. Entre incertitudes techniques, tensions réglementaires et imprécisions sur les rôles, la période 2025-2027 sera celle de l'adaptation et du rodage. Il est donc crucial d'identifier les sujets encore flous, afin d'organiser une veille active et d'anticiper les arbitrages à venir.

‍

GPAI et IA générative : articulation complexe avec le RGPD

‍

Les modèles d'IA à usage général (GPAI) font l'objet d'un régime spécifique dans l'IA Act :

‍

• GPAI standards : obligations minimales de documentation et transparence
• GPAI à risque systémique (seuil de 10²⁵ FLOPs) : évaluations de modèle, tests contradictoires, mesures de cybersécurité renforcées

‍

La difficulté pour les DPO réside dans l'articulation avec le RGPD :

‍

• Comment qualifier juridiquement l'utilisation professionnelle d'un ChatGPT ou Claude ?
• Quelle base légale pour les données d'entraînement ?
• Comment exercer les droits RGPD sur des contenus générés par IA ?
• Quelle responsabilité en cas de génération de contenus problématiques ?

‍

Limites de responsabilité et coordination des rôles

‍

L'IA Act introduit une chaîne de responsabilités : fournisseur, distributeur, importateur, déployeur. Le RGPD maintient ses concepts de responsable de traitement et sous-traitant.

‍

Les questions pratiques sont nombreuses :

‍

• Un déployeur IA est-il automatiquement responsable de traitement RGPD ?
• Comment articuler les obligations du fournisseur IA avec celles du sous-traitant RGPD ?
• Qui est responsable en cas de biais discriminatoire : le fournisseur du modèle ou le déployeur ?

‍

Le DPO devra travailler étroitement avec les équipes juridiques pour clarifier ces articulations dans les contrats.

‍

Incertitudes réglementaires majeures à surveiller

‍

1. Seuils et critères GPAI : l'évolution des seuils de risque systémique et leur impact sur les obligations
2. Responsabilité en cascade : qui répond de quoi en cas de chaîne complexe fournisseur-intégrateur-déployeur
3. Articulation avec le droit du travail : validité d'une IA RH discriminante malgré la conformité technique
4. Exercice des droits RGPD sur les systèmes IA : portabilité, rectification, effacement dans les modèles complexes

‍

Quelle doctrine à venir des autorités de contrôle ?

‍

Ni la CNIL, ni les futures autorités de contrôle IA Act n'ont encore publié de doctrine unifiée sur l'application conjointe des deux régimes.

‍

Des questions clés restent ouvertes :

‍

• Peut-on mutualiser AIPD et évaluation d'impact droits fondamentaux ?
• Comment appliquer l'intérêt légitime aux traitements IA à haut risque ?
• Quelle approche pour les systèmes IA développés en interne ?

‍

Le DPO devra donc organiser une veille proactive et participer aux groupes de travail professionnels pour anticiper les interprétations.

‍

‍

FAQ - RGPD et AI Act

‍

‍

L'IA Act remplace-t-il le RGPD ?

Non. Le RGPD reste pleinement applicable à tous les traitements de données personnelles. L'IA Act vient compléter ce cadre en régulant spécifiquement les systèmes d'IA, qu'ils traitent ou non des données personnelles. Les deux textes s'appliquent de manière cumulative.

‍

Une IA peut-elle être déployée sans AIPD ?

Non, si elle traite des données personnelles et présente un risque élevé pour les droits et libertés. L'IA Act ajoute ses propres exigences d'évaluation d'impact sur les droits fondamentaux pour les systèmes à haut risque, qui peuvent être coordonnées avec l'AIPD.

‍

Qui est responsable en cas de non-conformité d'un système IA traitant des données personnelles ?

Cela dépend de la nature de l'infraction :

‍

• IA Act : le fournisseur pour la conformité du système, le déployeur pour son usage approprié
• RGPD : le responsable de traitement pour la conformité du traitement de données Une même organisation peut cumuler plusieurs rôles et responsabilités.

‍

Le DPO doit-il devenir expert en IA ?

Le DPO doit développer une compréhension suffisante des enjeux IA pour évaluer leurs impacts RGPD, mais n'a pas à devenir expert technique. Il doit surtout savoir coordonner avec les équipes spécialisées (data scientists, équipes IA Act, RSSI).

‍

Comment traiter les IA génératives en entreprise ?

Les GPAI utilisés en entreprise nécessitent une analyse au cas par cas :

‍

• Évaluer si l'usage constitue un traitement de données personnelles (base légale, information, droits)
• Vérifier les conditions d'usage du fournisseur GPAI
• Documenter les mesures de supervision et de contrôle
• Anticiper les risques de génération de contenus problématiques

‍

‍

{{newsletter}}