Le RGPD encadre le traitement des données personnelles ; l’AI Act encadre les systèmes d’intelligence artificielle selon leur niveau de risque. Ce sont deux textes distincts et complémentaires.
En résumé
Réponse courte : le RGPD encadre principalement le traitement des données personnelles, tandis que l’AI Act encadre les systèmes d’intelligence artificielle selon leur niveau de risque. Les deux textes peuvent s’appliquer en même temps lorsqu’un outil d’IA traite des données personnelles, par exemple dans les RH, le service client, le marketing ou l’analyse de documents.
À retenir
- Le RGPD vise les données personnelles ; l’AI Act vise les systèmes d’IA.
- Les deux peuvent s’appliquer simultanément à un même usage.
- Le RGPD raisonne par traitement ; l’AI Act par niveau de risque et par rôle.
- Un registre RGPD et un registre IA sont complémentaires.
- En cas de données personnelles dans un outil d’IA, traitez les deux dimensions.
Le RGPD et l’AI Act ne couvrent pas la même chose
Le RGPD s’applique dès qu’il y a traitement de données personnelles, quelle que soit la technologie. L’AI Act s’applique aux systèmes d’IA selon leur niveau de risque, qu’il y ait ou non des données personnelles. Un usage d’IA sans données personnelles peut relever de l’AI Act mais pas du RGPD, et inversement.
Voir aussi : Vue d’ensemble de l’AI Act.
Comparaison synthétique
Les deux textes se distinguent par leur objet, leur logique et leur déclencheur.
| Sujet | RGPD | AI Act | Exemple PME |
|---|---|---|---|
| Objet | Données personnelles | Systèmes d’IA | Chatbot traitant des données clients |
| Déclencheur | Traitement de données personnelles | Mise sur le marché / usage d’un système d’IA | Tri de CV avec données candidats |
| Logique | Par traitement | Par niveau de risque et par rôle | Un usage = une ligne dans chaque registre |
| Acteurs | Responsable de traitement, sous-traitant | Fournisseur, déployeur, importateur, distributeur | PME = responsable RGPD + déployeur AI Act |
| Outil clé | Registre des traitements | Registre des usages d’IA | Deux registres complémentaires |
| Référence | Règlement (UE) 2016/679 | Règlement (UE) 2024/1689 | — |
Comparaison indicative ; à adapter à votre situation.
Quand les deux textes s’appliquent ensemble
Dès qu’un système d’IA traite des données personnelles, les deux logiques se cumulent : il faut une base légale et le respect des principes RGPD (minimisation, information, droits des personnes), et il faut situer l’usage dans l’approche par les risques de l’AI Act (transparence, supervision humaine, etc.).
Exemple concret
Un chatbot de support traite des messages clients (données personnelles → RGPD) et constitue un système d’IA exposé aux utilisateurs (transparence → AI Act). La PME informe les clients qu’ils échangent avec une IA et documente la base RGPD du traitement.
Exemples concrets pour les PME
Quelques usages typiques et la lecture croisée des deux textes.
| Usage | RGPD | AI Act |
|---|---|---|
| Chatbot client | Traitement de données clients | Transparence (Article 50) |
| Tri de CV | Données candidats, base légale, information | Potentiellement haut risque |
| Marketing personnalisé | Consentement / base légale | À analyser selon impact |
| Synthèse de documents internes | Selon données présentes | Risque minimal le plus souvent |
Lecture indicative, à valider au cas par cas.
Registre RGPD vs registre IA
Le registre RGPD documente les traitements de données personnelles ; le registre IA documente les systèmes d’IA et leur niveau de risque. Ils se recoupent souvent mais ne sont pas interchangeables : tenir les deux donne une vue complète.
Voir aussi : Créer un registre IA.
DPO, responsable IA, direction : qui fait quoi ?
Le DPO pilote la conformité RGPD et conseille sur les traitements. Un référent IA (parfois la direction, la DSI ou un responsable conformité) coordonne l’inventaire des usages d’IA et leur évaluation. La direction arbitre les priorités et valide les documents. Pour les usages sensibles, l’appui d’un conseil juridique reste recommandé.
Documents à préparer
Côté RGPD : registre des traitements, mentions d’information, base légale. Côté AI Act : registre des usages d’IA, politique interne, notices de transparence, questionnaire fournisseur, procédure de revue humaine pour les usages sensibles. Plusieurs de ces documents se complètent.
Voir aussi : Modèles de documents AI Act, Checklist RGPD et IA.
Checklist commune AI Act et RGPD
Quelques réflexes valables pour les deux textes :
- Recenser les usages d’IA et les traitements de données
- Identifier, pour chaque usage, s’il y a des données personnelles
- Déterminer la base légale (RGPD) et le niveau de risque (AI Act)
- Informer les personnes concernées (transparence)
- Prévoir une supervision humaine pour les usages sensibles
- Tenir un registre IA et un registre des traitements
- Faire valider les cas sensibles par un conseil juridique ou un DPO
À qui s’adresse cette page
- PME et leurs équipes
- Référents IA et conformité
- Dirigeants
Limites
- Guide informatif, sans valeur d’avis juridique.
- Adaptez les recommandations à votre contexte.
Sources officielles
Références consultées et revues en interne le 17 juin 2026 ; à confirmer avec les textes officiels et, le cas échéant, un conseil juridique. Résumées avec nos propres mots.
- Règlement (UE) 2024/1689 établissant des règles harmonisées sur l'intelligence artificielle (AI Act)Union européenne — EUR-Lex · consulté le 17 juin 2026
- Règlement général sur la protection des données (RGPD) — Règlement (UE) 2016/679Union européenne — EUR-Lex · consulté le 17 juin 2026
- Intelligence artificielle — dossier de la CNILCNIL · consulté le 17 juin 2026
- Recommandations de la CNIL sur le développement des systèmes d'IACNIL · consulté le 17 juin 2026
Questions fréquentes
Évaluez vos usages d’IA
L’évaluation préliminaire prend quelques minutes et ne nécessite ni compte ni carte bancaire.
Faire l’évaluation gratuite- Auteur :
- Dailigence, édité par Kagegusa
- Revu en interne le :
- 17 juin 2026
- Sources :
- EUR-Lex, Commission européenne, CNIL lorsque pertinent
- Statut :
- contenu informatif, non juridique
Cette page est fournie à titre informatif et ne constitue pas un avis juridique. Dailigence propose une évaluation préliminaire et indicative et ne garantit pas la conformité à l’AI Act. Les classifications doivent être validées avec un conseil juridique.