Skip to main content

EU AI Act vs RGPD 2026 : recoupements et différences clés

Les deux règlements s'appliquent simultanément — mais protègent des intérêts différents. Ce comparatif détaillé montre quand le RGPD s'impose, quand c'est l'EU AI Act, et quand les deux déclenchent des obligations cumulatives — avec des cas d'usage concrets pour les PME.

Réserver une mise en conformité RGPD + EU AI ActWito Digital Audit (WDA) gratuit

Deux règlements, deux objets de protection : le RGPD (règlement (UE) 2016/679) protège les données à caractère personnel et la vie privée des personnes physiques. L'EU AI Act (règlement (UE) 2024/1689) protège la sécurité des personnes et leurs droits fondamentaux face aux systèmes d'IA — que des données personnelles soient traitées ou non.

Les deux règlements : que protègent-ils, et quand s'appliquent-ils tous les deux ?

Le RGPD est en vigueur depuis le 25 mai 2018 et protège l'autodétermination informationnelle : tout traitement de données à caractère personnel — analogique ou numérique, avec ou sans IA — y est soumis. Ses exigences fondamentales sont la limitation des finalités, la minimisation des données, le droit d'accès et l'obligation de conclure un contrat de sous-traitance (DPA, art. 28 RGPD) avec les prestataires tiers.

L'EU AI Act est entré en vigueur le 1er août 2024 et protège la sécurité et les droits fondamentaux face aux systèmes d'IA. Il ne régule pas des points de données, mais le système d'IA lui-même — sa classe de risque, sa documentation, la surveillance humaine de ses décisions. L'échéance centrale pour les PME est le 2 août 2026, date à laquelle toutes les obligations relatives au haut risque deviennent pleinement applicables.

L'enseignement décisif pour les PME : dès lors qu'un système d'IA met en œuvre des données à caractère personnel — données de candidats, de clients ou de salariés —, les deux règlements s'appliquent de façon cumulative. Les obligations de conformité s'additionnent, elles ne se substituent pas. Qui est déjà conforme au RGPD a posé une partie des fondations — mais n'a pas pour autant rempli toutes les obligations de l'EU AI Act.

Selon le guide Bitkom EU AI Act + RGPD 2024, les zones de recoupement sont particulièrement étendues pour les systèmes d'IA à haut risque dans les domaines des ressources humaines, de la personnalisation marketing et de la communication client automatisée. Pour les PME qui déploient des outils d'IA via des services cloud, il en résulte un enchevêtrement de conformité complexe.

4% Umsatz (DSGVO) vs. 7% (AI Act)

Maximale Bußgelder im Vergleich

Quelle: Art. 83 DSGVO + Art. 99 Verordnung (EU) 2024/1689, 2024
2018 (DSGVO) vs. 2025–2027 (AI Act)

Gestaffelte Inkrafttretensjahre

Quelle: EU-Kommission — EU AI Act Übergangsfristen 2024, 2024
99 Artikel DSGVO vs. 113 Artikel AI Act

Umfang der beiden Regelwerke

Quelle: Verordnung (EU) 2016/679 + Verordnung (EU) 2024/1689, 2024
27 EU-Mitgliedsstaaten

Geltungsbereich beider Verordnungen

Quelle: EU-Kommission — Geltungsbereich DSGVO + AI Act 2024, 2024

Tableau comparatif : RGPD vs EU AI Act — les 7 dimensions essentielles

La mise en regard directe montre où les deux corpus de règles fonctionnent en parallèle et où ils diffèrent fondamentalement. Toutes les indications correspondent à l'état du droit au 2e trimestre 2026 :

| Critère | RGPD | EU AI Act |

|---|---|---|

| Objet de protection | Données à caractère personnel et vie privée | Sécurité des personnes et droits fondamentaux face à l'IA |

| Champ d'application | Tout responsable de traitement de données à caractère personnel | Fournisseurs et déployeurs d'IA (même sans données personnelles) |

| Classes de risque | Pas de classes formelles (mais AIPD en cas de risque élevé) | 4 classes : risque inacceptable / élevé / limité / minimal |

| Obligations centrales | DPA, AIPD, registre des traitements, mesures techniques et organisationnelles, droits des personnes | Système de gestion des risques, documentation technique, surveillance humaine, évaluation de la conformité |

| Autorité compétente (FR) | CNIL | CNIL + autorité de surveillance du marché (en cours de désignation) |

| Sanctions | Jusqu'à 20 M EUR ou 4 % du CA annuel (le montant le plus élevé) | Jusqu'à 35 M EUR / 7 % (pratiques interdites) ou 15 M EUR / 3 % (haut risque) |

| Entrée en vigueur | 25/05/2018 (directement applicable) | 01/08/2024 → application échelonnée jusqu'au 02/08/2026 (plein effet haut risque) |

Ce que le tableau ne montre pas : l'effet cumulatif

Pour les systèmes d'IA qui traitent des données à caractère personnel, la conformité s'exerce simultanément sur deux plans. Selon le guide Bitkom EU AI Act + RGPD 2024, l'application cumulative est expressément voulue : l'EU AI Act « vient s'ajouter » au RGPD — il n'en restreint pas les exigences et ne les met pas hors d'effet.

Pour les PME, cela signifie : une analyse d'impact relative à la protection des données (AIPD) au titre de l'art. 35 RGPD pour un système d'IA de recrutement ne couvre pas encore l'évaluation de la conformité au titre de l'art. 43 EU AI Act. Les deux examens sont autonomes — même s'ils portent sur le même système et que des éléments de documentation peuvent être réutilisés.

Vu sous un angle positif : les entreprises disposant d'une documentation RGPD soignée bénéficient d'une avance considérable. Le registre des traitements, le registre des DPA et les structures d'AIPD peuvent être étendus plutôt que repartir de zéro. Selon une analyse comparative de la Heinrich-Böll-Stiftung 2024, les entreprises dotées d'une conformité RGPD solide peuvent réduire de 30 à 50 % l'effort initial de mise en conformité à l'EU AI Act.

Les exigences de l'EU AI Act viennent s'ajouter à celles du RGPD — pour les systèmes d'IA traitant des données à caractère personnel, les deux règlements s'appliquent de façon cumulative. Les autorités de protection des données sont par ailleurs compétentes pour faire appliquer les exigences de l'EU AI Act dans la mesure où celles-ci touchent à la protection des données.
Commissaire fédéral allemand à la protection des données et à la liberté d'information (BfDI), Rapport d'activité 2024 du BfDI — avis sur l'EU AI Act, BfDI, 2024

Cas d'usage 1 : IA de présélection des candidats — les deux règlements cumulés

Une PME déploie un outil d'IA qui évalue automatiquement les candidatures reçues selon leur adéquation au profil de poste et établit une liste restreinte de candidats priorisés. Ce scénario déclenche simultanément des obligations au titre des deux règlements.

Obligations RGPD

  • Base légale au titre de l'art. 6 RGPD : le traitement des données de candidats n'est licite que sur la base du consentement (art. 6, par. 1, point a) ou de l'exécution du contrat de travail (art. 6, par. 1, point b)
  • Droit d'accès (art. 15 RGPD) : les candidats ont le droit d'obtenir des informations sur les données traitées et sur la logique sous-jacente à la décision de l'IA
  • Obligation d'effacement (art. 17 RGPD) : les données des candidats refusés doivent être effacées au terme d'un délai clairement défini (typiquement 6 mois après le refus)
  • AIPD (art. 35 RGPD) : une décision automatisée ayant des conséquences importantes pour les candidats impose une analyse d'impact relative à la protection des données

Obligations EU AI Act

  • Classification haut risque (annexe III, point 4 a) : les systèmes de sélection automatisée de candidats dans le cadre de l'emploi sont qualifiés de haut risque — sans exception
  • Évaluation de la conformité (art. 43 EU AI Act) : avant le déploiement ou toute modification substantielle, une évaluation de la conformité doit être réalisée
  • Transparence (art. 13 EU AI Act) : l'entreprise, en tant que déployeur, doit informer les candidats du recours à un système d'IA
  • Surveillance humaine (art. 14 EU AI Act) : les collaborateurs RH doivent pouvoir contrôler et corriger les décisions de l'IA — aucun refus entièrement automatisé sans contrôle humain

Résultat : qui déploie cette IA a besoin à la fois d'une AIPD au titre du RGPD et d'une évaluation de la conformité au titre de l'EU AI Act — deux documents autonomes, même si leurs contenus se recoupent. Selon le guide Bitkom EU AI Act + RGPD 2024, il est recommandé d'adopter un processus de documentation intégré qui traite systématiquement les deux profils d'exigences.

Cas d'usage 2 : automatisation marketing avec ChatGPT — responsabilités distinctes

Une PME utilise ChatGPT (GPT-4o) via l'API OpenAI pour générer automatiquement des e-mails personnalisés à destination de ses clients existants : recommandations de produits fondées sur l'historique d'achat, formules d'appel personnalisées, contenus propres à chaque segment. Là encore, les deux corpus de règles s'appliquent — mais avec un point d'attention différent.

Obligations RGPD

  • DPA avec OpenAI (art. 28 RGPD) : dès lors que des données clients — ne serait-ce qu'une adresse e-mail et un historique d'achat — sont transmises à l'API OpenAI, OpenAI est sous-traitant. Un contrat de sous-traitance est alors obligatoire. OpenAI propose un DPA standard qui doit être expressément conclu
  • Minimisation des données (art. 5 RGPD) : seules les données réellement nécessaires à la personnalisation peuvent être transmises — pas de transfert de dossiers clients complets
  • Base légale du profilage (art. 6 et art. 22 RGPD) : l'établissement automatisé de profils à des fins marketing exige soit le consentement, soit l'intérêt légitime assorti d'une mise en balance des intérêts

Obligations EU AI Act

  • Règles GPAI (art. 53 EU AI Act) : ChatGPT est un modèle d'IA à usage général (General Purpose AI). Depuis le 2 août 2025, OpenAI, en tant que fournisseur, doit remplir des obligations de transparence et publier des politiques d'utilisation. En tant qu'utilisateur, vous devez vérifier qu'OpenAI s'y conforme
  • Pas de classification haut risque : la génération d'e-mails marketing ne relève pas de l'annexe III de l'EU AI Act — aucune évaluation de la conformité n'est requise
  • Transparence vis-à-vis des destinataires : si les textes générés par IA risquent d'être perçus par les destinataires comme rédigés par un humain, il convient d'examiner une obligation de signalement au titre de l'art. 50 EU AI Act

Résultat : pour l'automatisation marketing avec ChatGPT, c'est le RGPD qui prime — en particulier le DPA et la minimisation des données. L'EU AI Act joue un rôle secondaire (pas d'obligations haut risque), mais les exigences GPAI pesant sur OpenAI en tant que fournisseur doivent être vérifiables.

Conséquences pratiques pour les PME : combiner efficacement la conformité

La bonne nouvelle : une stratégie de conformité avisée traite le RGPD et l'EU AI Act comme un système intégré, et non comme deux projets distincts. Les synergies suivantes sont particulièrement pertinentes pour les PME :

Intégrer la documentation

  • AIPD extensible : les analyses d'impact existantes au titre de l'art. 35 RGPD peuvent être combinées aux exigences de gestion des risques de l'art. 9 EU AI Act — une même évaluation des risques, deux exigences réglementaires satisfaites
  • Registre des traitements comme socle : le registre des traitements RGPD (art. 30 RGPD) fournit la liste des systèmes sur laquelle bâtir l'inventaire d'IA exigé par l'EU AI Act
  • DPA et obligations du déployeur : le DPA OpenAI au titre du RGPD peut être regroupé avec la documentation du déployeur EU AI Act dans une documentation fournisseur unique

Regrouper les responsabilités

L'EU AI Act n'impose pas de « responsable IA » formel, mais recommande de désigner une responsabilité dédiée à la conformité IA. En pratique, il est recommandé que le délégué à la protection des données (DPO) assume la responsabilité de la conformité à l'EU AI Act, ou soit complété par un « AI Officer » travaillant en étroite collaboration avec le DPO. Selon la FAQ BMWK sur l'EU AI Act 2024, ce chevauchement de rôles est expressément admis et permet d'économiser des coûts de coordination significatifs.

Résultat : les entreprises qui traitent le RGPD et l'EU AI Act comme un cadre de conformité intégré réduisent l'effort global de 30 à 50 % par rapport à un traitement séparé — tout en gagnant en cohérence documentaire.

Questions fréquentes : EU AI Act vs RGPD pour les PME

Non. L'EU AI Act ne prévoit pas de rôle de responsable propre. En pratique, il est recommandé de confier la responsabilité de la conformité à l'EU AI Act au délégué à la protection des données (DPO) existant, ou de désigner un « AI Officer » qui coopère étroitement avec le DPO. Le BMWK confirme expressément dans sa FAQ 2024 qu'une combinaison des deux rôles est admise et pertinente. Pour les PME non soumises à l'obligation de désigner un DPO, une personne interne désignée ou un prestataire de conformité externe suffit.
En partie, oui. Un DPA au titre de l'art. 28 RGPD et la documentation du déployeur EU AI Act couvrent des obligations différentes, mais tous deux peuvent être réunis dans une documentation fournisseur structurée. Le registre des traitements (RGPD) et le registre des systèmes d'IA (AI Act) peuvent notamment être tenus dans un document intégré. Ils ne sont toutefois pas entièrement identiques : l'EU AI Act exige en outre des preuves relatives à l'évaluation de la conformité et à la surveillance humaine, qui vont au-delà des exigences du RGPD.
Le RGPD est activement appliqué depuis 2018 — en France par la CNIL. L'EU AI Act est appliqué de façon progressive à partir de 2025 : pratiques interdites depuis février 2025, obligations relatives au haut risque à compter d'août 2026. En France, c'est la CNIL qui pilote le volet protection des données, tandis qu'une autorité nationale de surveillance du marché est en cours de désignation pour l'EU AI Act. Les premières amendes notables au titre de l'AI Act sont attendues pour 2026/2027. Les autorités de protection des données examineront également les aspects relevant de l'AI Act dès lors que des données à caractère personnel sont concernées.
Une AIPD (analyse d'impact relative à la protection des données, en anglais DPIA — Data Protection Impact Assessment) est une évaluation structurée des risques au titre de l'art. 35 RGPD. Elle est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques — notamment en cas de décisions automatisées, de profilage à grande échelle et de traitement de catégories de données sensibles. L'AIPD documente : quelles données sont traitées, quels risques existent, quelles mesures techniques et organisationnelles sont prises pour y remédier, et si le risque résiduel est acceptable. Pour les systèmes d'IA à haut risque, il est recommandé d'enrichir l'AIPD d'évaluations de risques propres à l'AI Act.
Une évaluation de la conformité au titre de l'art. 43 EU AI Act est l'examen formel visant à vérifier qu'un système d'IA à haut risque répond aux exigences du règlement — en matière de gestion des risques, de qualité des données, de documentation technique, de transparence et de surveillance humaine. Pour de nombreux systèmes à haut risque, une autoévaluation par le fournisseur est admise (sans organisme externe). En tant que déployeur, vous devez vérifier la déclaration de conformité du fournisseur et veiller à n'utiliser le système que dans la finalité prévue. L'évaluation de la conformité n'est pas la même chose qu'une AIPD — elle couvre d'autres domaines d'exigences.
Si votre système d'IA ne traite pas de données à caractère personnel, le RGPD ne s'applique pas (pour ce système). L'EU AI Act s'applique en revanche indépendamment de ce critère. Un système d'IA de contrôle qualité en production qui analyse exclusivement des images de produits et ne traite aucune donnée personnelle relève malgré tout de l'EU AI Act. Dans ce cas précis, il faut examiner la classe de risque : des systèmes de production critiques pour la sécurité peuvent être classés à haut risque (annexe III, point 2). Pour une analyse purement visuelle ou de processus sans lien avec des personnes, le risque est souvent minimal — mais un examen explicite reste nécessaire.
Les recoupements les plus importants surviennent pour les systèmes d'IA à haut risque traitant des données à caractère personnel. L'AIPD (RGPD) comme le système de gestion des risques (EU AI Act) exigent une analyse des risques — d'orientation différente, mais structurellement proche. Les mesures techniques et organisationnelles (RGPD) et les exigences de robustesse technique (EU AI Act) se recoupent en matière de sécurité, de contrôle d'accès et de chiffrement. Les obligations de transparence envers les personnes concernées (RGPD) et envers les utilisateurs (EU AI Act) peuvent être satisfaites dans un document intégré. Les obligations de journalisation (RGPD) et les exigences de logs (EU AI Act) peuvent être techniquement combinées.
Cela dépend de la nature de l'infraction. Les violations du RGPD se signalent à la CNIL. Les violations de données graves impliquant des données à caractère personnel doivent être notifiées dans les 72 heures (art. 33 RGPD). Les infractions à l'EU AI Act se signalent à l'autorité nationale de surveillance du marché (en cours de désignation en France). Lorsqu'un système d'IA présente à la fois des violations de la protection des données et des infractions à l'AI Act, les deux autorités sont potentiellement compétentes — la CNIL coordonnant le volet protection des données de l'AI Act. En cas d'incident grave, une concertation précoce avec un conseil en conformité est vivement recommandée.

Conformité RGPD + EU AI Act : intégrée, efficace, juridiquement sûre

Wito AI accompagne les PME dans la conformité combinée au RGPD et à l'EU AI Act — de l'analyse de risques intégrée à la documentation complète. Capitalisez sur votre socle RGPD existant et réduisez de 30 à 50 % l'effort de mise en conformité à l'AI Act.

Réserver une mise en conformité RGPD + EU AI ActWito Digital Audit (WDA) gratuit
  • AIPD + évaluation de la conformité intégrées
  • DPA + documentation du déployeur AI Act combinés
  • 30 à 50 % d'effort en moins grâce à l'intégration
  • Préparation à l'échéance du 2 août 2026

EU AI Act vs RGPD 2026 : recoupements et différences clés

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen