IA et conformité réglementaire : articulation entre RGPD et AI Act

En bref

L’adoption de l’intelligence artificielle dans les systèmes d’information soulève des défis majeurs en matière de conformité. Deux textes structurent désormais le cadre européen :

Le RGPD (Règlement Général sur la Protection des Données – 2016/679), applicable depuis mai 2018, qui définit les principes fondamentaux de licéité, minimisation, transparence, limitation des finalités et droits des personnes.
L’AI Act (Artificial Intelligence Act), approuvé en 2024, qui introduit une réglementation spécifique aux systèmes d’IA selon une approche basée sur le risque.

Superposition des régimes

Lorsqu’un système d’IA traite des données personnelles, les deux cadres s’appliquent :

Le RGPD demeure applicable à l’ensemble des traitements de données personnelles, qu’ils soient ou non opérés par une IA.
L’AI Act ajoute des obligations relatives au cycle de vie du système (conception, entraînement, validation, exploitation) et introduit des exigences de documentation, transparence, gouvernance et contrôle humain.

👉 Cela implique que les DSI et RSSI doivent prévoir un double niveau de conformité : un registre des traitements conforme au RGPD, et une gouvernance technique conforme aux exigences de l’AI Act.

Obligations renforcées pour les systèmes à haut risque

L’AI Act catégorise les systèmes selon leur niveau de risque (inacceptable, élevé, limité, minimal).
Les systèmes à haut risque (ex. gestion des ressources humaines, infrastructures critiques, santé, éducation, justice) sont soumis à des obligations strictes :

Systèmes de management de la qualité pour le cycle de vie du modèle
Évaluation de conformité préalable à la mise sur le marché ou au déploiement
Documentation technique exhaustive et registre public
Traçabilité et auditabilité des décisions algorithmiques
Surveillance humaine effective adaptée au cas d’usage

Ces obligations sont cumulatives avec celles du RGPD, notamment en matière d’information des personnes concernées, de protection des données dès la conception (privacy by design) et de sécurité des traitements.

Responsabilités des utilisateurs « simples »

Même lorsqu’une organisation n’entraîne pas elle-même de modèles et se limite à utiliser des solutions tierces (SaaS, API, assistants IA), elle reste soumise à des responsabilités :

Analyse d’impact (AIPD) si les traitements de données présentent un risque élevé pour les droits et libertés des personnes (article 35 RGPD).
Vérification des clauses contractuelles et du rôle de chaque acteur (responsable de traitement / sous-traitant).
Contrôle de la localisation et de la conservation des données traitées par le fournisseur.
Mise en place de procédures internes garantissant la traçabilité des usages et le respect des conditions d’utilisation de l’IA.

L’approche DELETEC

Chez DELETEC, nous intégrons l’IA dans les systèmes d’information en conciliant innovation et conformité. Notre approche inclut :

Sécurisation des modèles, des API et des données exploitées
Documentation et auditabilité des systèmes déployés
Supervision humaine proportionnée aux cas d’usage
Gestion des biais, de la transparence et du respect du RGPD dans les usages quotidiens
Accompagnement à la mise en place de registres, d’AIPD et de démarches de conformité AI Act

👉 Vous préparez le déploiement de solutions IA dans votre organisation ?
DELETEC vous accompagne pour sécuriser vos projets et assurer leur conformité dès la conception.

FAQ

Si j’utilise une IA, dois-je respecter le RGPD ou l’AI Act ?

Vous devez respecter les deux. Il ne s’agit pas de choisir l’un ou l’autre, mais d’une superposition de régimes. Le RGPD s’applique dès que votre système d’IA traite des données personnelles (ce qui est presque toujours le cas). L’AI Act, quant à lui, vient ajouter des obligations spécifiques liées au cycle de vie de l’IA (sécurité, transparence, contrôle humain). En résumé, vous devez tenir à la fois un registre des traitements (RGPD) et une documentation technique de gouvernance (AI Act).

Mon entreprise ne développe pas d’IA mais utilise des outils tiers (SaaS, API) : suis-je quand même soumis à des obligations ?

Oui, absolument. Même en tant qu’utilisateur « simple », vous restez responsable de l’usage qui est fait des données. Vous devez notamment :
– Réaliser une Analyse d’Impact (AIPD) si le traitement présente un risque élevé pour les droits des personnes.
– Vérifier la localisation des données et les clauses contractuelles de votre fournisseur.
– Assurer la traçabilité des usages au sein de votre organisation pour garantir que l’IA est utilisée conformément à sa destination initiale.

Qu’est-ce qu’un système d’IA à « haut risque » et quelles sont les contraintes associées ?

L’AI Act classe les IA selon leur niveau de risque. Les systèmes dits à « haut risque » concernent des domaines sensibles comme la gestion des ressources humaines (recrutement), la santé, l’éducation ou les infrastructures critiques. Si votre IA tombe dans cette catégorie, les obligations sont très strictes : vous devez mettre en place un système de gestion de la qualité, garantir une surveillance humaine effective (l’IA ne doit pas décider seule), et assurer une documentation technique exhaustive permettant l’auditabilité de l’algorithme.

Sylphide Martinet

À propos

Spécialisée en marketing et communication, Sylphide accompagne depuis plus de 15 ans les organisations (ESN, cabinets d’avocats, institutions, écosystèmes entrepreneuriaux…) dans la structuration de leur image, la formalisation de leur offre et leur développement.

Nos derniers articles

Ecosystème

Intelligence artificielle et métiers du numérique : former les talents qui sauront créer de la valeur

L’intelligence artificielle transforme les métiers du numérique sans les faire disparaître. Jonathan Amar revient sur les compétences à développer, les...

27 mai 2026