L'essentiel en 30 secondes - Le pack de conformité RGPD-IA repose sur 7 documents clés exigés par l'Article 11 et l'Annexe IV du Règlement (UE) 2024/1689. - Les PME doivent réaliser une AIPD (analyse d'impact relative à la protection des données) pour tout système d'IA à haut risque, conformément à l'article 35 du RGPD. - Les sanctions pour manquement RGPD peuvent atteindre 4 % du chiffre d'affaires annuel mondial (article 83 du RGPD). - Le registre des activités de traitement doit être tenu et mis à jour en continu (article 30 du RGPD), avec conservation des journaux pendant au moins 6 mois selon l'Art. 19 AI Act. - La documentation technique doit décrire les données d'entraînement, les algorithmes, les performances et les mesures de contrôle humain. - regulia fournit des modèles structurés, pas un conseil juridique : faites valider votre dossier par votre DPO.
1. Introduction : un pack documentaire devenu non-négociable en 2026
En 2026, la documentation de conformité RGPD-IA n'est plus une formalité administrative. Elle est la pièce maîtresse de votre défense en cas de contrôle CNIL ou d'audit AI Office. Sans dossier complet, vous ne pouvez ni prouver votre diligence, ni revendiquer une circonstance atténuante.
L'AI Act (Règlement (UE) 2024/1689) est entré en application progressive depuis août 2024. Les obligations sur les systèmes à haut risque s'appliquent à compter du 2 août 2026. Le RGPD, lui, encadre depuis 2018 toute opération de traitement de données personnelles — et l'IA en consomme massivement.
Les PME françaises sous-estiment souvent l'ampleur de la documentation requise. Pourtant, l'Article 11 du Règlement (UE) 2024/1689 impose une documentation technique « tenue à jour » que l'autorité de surveillance peut exiger à tout moment. Le manque de pièces écrites est en soi un manquement.
Cet article s'adresse aux dirigeants, DPO, RSSI et IA Lead de PME de 10 à 250 salariés. Il détaille les documents à produire, leur structure, leur durée de conservation, et les pièges à éviter. Vous repartez avec une liste de travail concrète.
Pour le cadre global du règlement, consultez notre guide AI Act pour PME françaises. Pour comprendre les montants en jeu, lisez le détail des sanctions et amendes AI Act.
2. Les sept documents clés du pack RGPD-IA
Un pack de conformité solide combine les exigences de l'AI Act (Annexe IV, Article 11) et celles du RGPD. Voici la liste minimale pour une PME exploitant un système d'IA à haut risque.
| # | Document | Source juridique | Responsable | Conservation |
|---|---|---|---|---|
| 1 | Politique de protection des données | Art. 24 RGPD | DPO | Durée du traitement |
| 2 | AIPD (analyse d'impact) | Art. 35 RGPD | DPO + métier | 5 ans après fin du traitement [à vérifier] |
| 3 | Registre des activités de traitement | Art. 30 RGPD | DPO / responsable de traitement | Tant que le traitement existe |
| 4 | Documentation technique IA | Art. 11 + Annexe IV AI Act | IA Lead | 10 ans après mise sur le marché (Art. 18 AI Act) |
| 5 | Procédures de sécurité (politique SSI) | Art. 32 RGPD | RSSI | Mise à jour annuelle minimum |
| 6 | Système de gestion des risques | Art. 9 AI Act | IA Lead + Direction | Tout au long du cycle de vie |
| 7 | Système de gestion de la qualité (SMQ) | Art. 17 AI Act | Direction qualité | Permanent |
Ces sept documents ne sont pas indépendants. Ils s'articulent en un dossier de conformité unique. L'AIPD nourrit le registre. La documentation technique alimente la gestion des risques. Une PME bien organisée tient un index croisé.
Attention : pour les systèmes d'IA qui ne sont pas classés à haut risque, l'allègement est réel mais pas total. Le RGPD continue de s'appliquer pleinement dès qu'il y a traitement de données personnelles.
3. La politique de protection des données et l'AIPD
3.1 La politique de protection des données
C'est le document-cadre. Il décrit les principes appliqués, les rôles (responsable de traitement, sous-traitant, DPO), les durées de conservation et les modalités d'exercice des droits des personnes. Sans ce socle, les autres documents flottent.
La CNIL recommande de la rendre publique sur votre site, sous une forme accessible aux personnes concernées (article 12 du RGPD : « de façon concise, transparente, compréhensible »).
3.2 L'AIPD : pierre angulaire du pack IA
L'article 35 du RGPD impose une analyse d'impact relative à la protection des données dès qu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Les systèmes d'IA à haut risque entrent presque systématiquement dans cette catégorie.
L'AIPD doit contenir :
- Une description systématique du traitement et de ses finalités.
- Une évaluation de la nécessité et de la proportionnalité.
- Une évaluation des risques pour les droits et libertés.
- Les mesures envisagées pour traiter ces risques.
L'Article 27 du Règlement (UE) 2024/1689 ajoute une analyse d'impact sur les droits fondamentaux (FRIA) pour certains déployeurs publics ou privés couverts par la disposition. L'AIPD RGPD et la FRIA AI Act se complètent : ne les fusionnez pas, articulez-les.
| Critère | AIPD (RGPD) | FRIA (AI Act, Art. 27) |
|---|---|---|
| Déclencheur | Risque élevé pour les personnes | Déploiement d'un système haut risque par certains acteurs |
| Périmètre | Données personnelles | Droits fondamentaux au sens large |
| Autorité | CNIL | Autorité nationale de surveillance AI Act |
| Consultation | DPO obligatoire | Parties prenantes recommandées |
Pour les définitions précises de chaque terme, voir notre glossaire AI Act et RGPD-IA.
4. La documentation technique exigée par l'AI Act
L'Annexe IV du Règlement (UE) 2024/1689 énumère le contenu obligatoire de la documentation technique d'un système d'IA à haut risque. C'est probablement le document le plus exigeant du pack.
4.1 Contenu minimal de l'Annexe IV
- Description générale du système d'IA : finalité, version, fournisseur.
- Description détaillée des éléments du système et de son processus de développement.
- Informations sur le contrôle, le fonctionnement et l'utilisation du système.
- Description détaillée du système de gestion des risques (Art. 9 AI Act).
- Description des modifications apportées au système au cours de son cycle de vie.
- Liste des normes harmonisées appliquées (ex : ISO/IEC 42001:2023).
- Copie de la déclaration UE de conformité.
- Description du système de surveillance après commercialisation (Art. 72 AI Act).
4.2 Description des données d'entraînement
C'est le point le plus scruté par les autorités. L'Article 10 du Règlement (UE) 2024/1689 impose des critères stricts sur la qualité des données : pertinence, représentativité, exactitude, complétude, prise en compte des biais.
| Élément à documenter | Référence | Sanction en cas d'omission |
|---|---|---|
| Origine des jeux de données | Art. 10 §2 (a) | Jusqu'à 15 M€ ou 3 % du CA annuel mondial (Art. 99 §4) |
| Opérations de préparation | Art. 10 §2 (b)-(c) | Idem |
| Hypothèses sur ce que les données représentent | Art. 10 §2 (d) | Idem |
| Examen de biais probables | Art. 10 §2 (f)-(g) | Idem |
| Identification de lacunes | Art. 10 §2 (h) | Idem |
4.3 Évaluation des performances et journalisation
Les performances doivent être mesurées en conditions représentatives. L'Article 15 du Règlement (UE) 2024/1689 impose un niveau approprié d'exactitude, de robustesse et de cybersécurité. Les journaux automatiques (logs) doivent permettre la traçabilité tout au long du cycle de vie (Art. 12 AI Act).
Besoin du pack documentaire complet pour votre PME ?
regulia met à votre disposition des modèles structurés (AIPD, registre, documentation technique Annexe IV, politique SSI) adaptés aux PME françaises de 10 à 250 salariés. Modèles de référence — pas un conseil juridique.
Demander le pack regulia5. Les procédures et politiques opérationnelles
Un dossier de documents figés ne suffit pas. Le système doit vivre. Les procédures suivantes structurent la pratique quotidienne.
5.1 Procédure de gestion des incidents
L'Article 73 du Règlement (UE) 2024/1689 oblige les fournisseurs à notifier les incidents graves à l'autorité de surveillance dans un délai « sans retard injustifié » et au plus tard 15 jours après en avoir eu connaissance. Pour les violations entraînant un décès, le délai descend à 10 jours [à vérifier sur le texte consolidé].
En parallèle, l'article 33 du RGPD impose la notification d'une violation de données personnelles à la CNIL sous 72 heures. Les deux régimes coexistent : votre procédure doit prévoir les deux circuits.
5.2 Politique de gestion des accès et confidentialité
L'article 32 du RGPD exige des mesures techniques et organisationnelles « appropriées ». Pour une IA, cela inclut : contrôle d'accès aux données d'entraînement, chiffrement des modèles, séparation des environnements (dev/test/prod), journaux d'accès.
La norme ISO/IEC 27001:2022 sert de référentiel pratique pour structurer ce volet. ISO/IEC 42001:2023 ajoute la couche spécifique au management de l'IA.
5.3 Formation des employés
L'Article 4 du Règlement (UE) 2024/1689 impose la maîtrise de l'IA (AI literacy) : les fournisseurs et déployeurs doivent prendre des mesures pour garantir « un niveau suffisant de maîtrise de l'IA » de leur personnel. Cette obligation est entrée en vigueur le 2 février 2025.
Une PME doit documenter :
- La liste des personnes formées et leur fonction.
- Le contenu pédagogique et sa durée.
- La date de la session et le renouvellement prévu.
- Les ressources fournies (guides, supports).
6. Les rapports et évaluations réglementaires
6.1 Rapport annuel d'évaluation de conformité
Bonne pratique : produire chaque année un rapport interne consolidant l'état de conformité AI Act + RGPD. Ce rapport ne remplace pas l'évaluation de conformité formelle prévue à l'Article 43 du Règlement (UE) 2024/1689, mais il en prépare la défense.
Structure recommandée :
- État des lieux des systèmes d'IA déployés et leur classification.
- Liste des AIPD/FRIA réalisées et conclusions.
- Indicateurs de performance et incidents survenus.
- Plan d'action pour l'année suivante.
- Validation par le COMEX ou le comité de direction.
6.2 Évaluation continue des risques
L'Article 9 du Règlement (UE) 2024/1689 conçoit la gestion des risques comme un processus itératif sur tout le cycle de vie. Ce n'est pas un document figé mais un cycle : identifier → estimer → évaluer → traiter → réévaluer.
ISO/IEC 23894:2023 fournit une méthode reconnue pour ce cycle.
6.3 Documentation des audits internes
Tout audit interne doit laisser une trace écrite : périmètre, méthode, constats, plan de remédiation, signature du responsable. Les contrôleurs externes regardent d'abord si vous vous auto-contrôlez.
7. Organiser et faire vivre le dossier de conformité
| Volet | Bonne pratique | Risque si négligé |
|---|---|---|
| Versionnage | Numérotation des révisions (v1.0, v1.1) + journal des modifications | Impossible de prouver l'état au jour J du contrôle |
| Centralisation | Espace unique (GED) avec accès tracé | Documents éparpillés, contradictoires |
| Validation | Workflow d'approbation DPO + RSSI + direction | Documents non opposables en interne |
| Mise à jour | Revue minimum annuelle + à chaque évolution majeure | Documentation obsolète = manquement |
| Archivage | Respect des durées légales (10 ans Art. 18 AI Act) | Sanction administrative |
Un dossier vivant suit le rythme du système. Une mise à jour majeure du modèle d'IA ? La documentation technique se met à jour le même jour. Une nouvelle finalité de traitement ? Le registre RGPD est modifié dans la foulée.
Le plan de conformité annuel synthétise les actions prévues : audits, formations, AIPD à renouveler, renouvellement de certification. Sans plan, vous subissez le calendrier réglementaire au lieu de l'anticiper.
8. Outils et ressources concrètes pour les PME
8.1 Modèles et checklists regulia
Le pillar AI Act PME France renvoie vers les modèles regulia : matrices de classification haut risque, trames d'AIPD, registre RGPD-IA, checklist Annexe IV, politique SSI orientée IA, programme de formation AI literacy.
Ces modèles sont conçus pour une PME de 10 à 250 salariés. Ils ne remplacent pas l'analyse juridique d'un avocat, mais permettent d'éviter la page blanche.
8.2 Sources officielles à exploiter
- CNIL — les fiches pratiques IA (cnil.fr) couvrent l'AIPD, la base légale, la minimisation, le développement de modèles.
- AI Office EU — service desk dédié aux questions d'application : ai-act-service-desk.ec.europa.eu.
- EUR-Lex — version consolidée officielle du Règlement (UE) 2024/1689.
- Cigref guide AI Act janvier 2025 et Numeum guide AI Act mars 2025 — utiles pour les retours d'expérience entreprises françaises.
Pour le détail des références par article, voir notre page sources officielles.
8.3 Outils internes de gestion
Une GED simple suffit pour 80 % des PME : SharePoint, Nextcloud, ou un outil GRC dédié. L'essentiel est la traçabilité : qui a modifié quoi, quand, et avec quelle approbation. Les exports PDF horodatés constituent une bonne preuve en cas de contrôle.
9. Les erreurs à éviter dans la préparation du pack
- Copier-coller un modèle générique sans l'adapter. Une AIPD vide de contexte métier est inutile et trahit le manque de diligence.
- Mélanger AIPD et FRIA. Les deux ont des bases juridiques distinctes. Faites un document par exigence ou un document clairement structuré en sections.
- Oublier la documentation des données d'entraînement. C'est le premier point examiné par les autorités. Sans traçabilité de la source, l'Article 10 AI Act n'est pas respecté.
- Ne pas versionner. Sans historique, vous ne pouvez pas prouver l'état du système au moment d'un incident.
- Négliger la formation et son enregistrement. L'AI literacy (Art. 4 AI Act) est obligatoire et contrôlable depuis février 2025.
- Repousser la mise à jour annuelle. Une documentation de plus de 12 mois sans révision perd sa crédibilité devant un contrôleur.
- Considérer le DPO comme seul responsable. La conformité IA est multi-acteurs : DPO, RSSI, IA Lead, direction métier, direction générale.
Le détail des sanctions en cas de manquement est traité dans notre article dédié aux sanctions et amendes AI Act pour PME.
Évaluez votre niveau de préparation documentaire
Recevez la checklist regulia des 7 documents clés du pack RGPD-IA, alignée Article 11 et Annexe IV du Règlement (UE) 2024/1689. Adaptée aux PME françaises de 10 à 250 salariés.
Demander la checklist regulia10. FAQ — Pack documentaire RGPD-IA
Quels sont les documents obligatoires pour la conformité RGPD-IA en 2026 ?
Les PME doivent préparer un pack centré sur sept documents clés : politique de protection des données, AIPD (et FRIA si applicable au titre de l'Art. 27 AI Act), registre des activités de traitement, documentation technique Annexe IV, procédures de sécurité (Art. 32 RGPD), système de gestion des risques (Art. 9 AI Act) et système de gestion de la qualité (Art. 17 AI Act). Ces documents permettent de démontrer la conformité au Règlement (UE) 2024/1689 et au RGPD.
Quelles sont les sanctions pour une non-conformité RGPD-IA ?
Côté RGPD, les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83 du RGPD), le montant le plus élevé étant retenu. Côté AI Act, l'Article 99 du Règlement (UE) 2024/1689 prévoit jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, et jusqu'à 15 millions d'euros ou 3 % pour les manquements aux obligations sur les systèmes haut risque. Le détail est dans notre article dédié aux sanctions.
Comment les PME peuvent-elles obtenir des modèles de documents ?
Les modèles regulia (AIPD, registre, documentation Annexe IV, politique SSI, plan de formation AI literacy) sont accessibles depuis la page AI Act PME France. Ce sont des modèles de référence — pas un conseil juridique. Faites-les valider par votre DPO ou votre conseil juridique avant publication interne.
Quelle est la durée de conservation des documents de conformité ?
L'Article 18 du Règlement (UE) 2024/1689 impose au fournisseur de conserver la documentation technique, la documentation du SMQ, les modifications approuvées, les décisions des organismes notifiés et la déclaration UE de conformité pendant 10 ans à compter de la mise sur le marché ou de la mise en service. Les journaux générés automatiquement doivent être conservés au moins 6 mois sauf disposition contraire (Art. 19 AI Act). Côté RGPD, la conservation suit la finalité du traitement ; un registre d'activités vit tant que le traitement existe.
Où puis-je trouver des informations sur les exigences techniques de l'AI Act ?
La version officielle consolidée est sur EUR-Lex (Règlement (UE) 2024/1689). Une version pédagogique annotée est sur artificialintelligenceact.eu. Pour les questions d'application concrète, le service desk de la Commission européenne répond aux acteurs : ai-act-service-desk.ec.europa.eu. La CNIL publie des fiches pratiques IA spécifiquement pensées pour le droit français.
11. Sources officielles
- Règlement (UE) 2024/1689 — texte officiel consolidé : eur-lex.europa.eu
- Texte annoté de l'AI Act : artificialintelligenceact.eu
- Commission européenne — AI Act Service Desk : ai-act-service-desk.ec.europa.eu
- CNIL — fiches pratiques IA et AIPD : cnil.fr
- Norme ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
- Norme ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- Norme ISO/IEC 27001:2022 — Sécurité de l'information
- Cigref — Guide AI Act janvier 2025
- Numeum — Guide AI Act mars 2025
Pour la liste complète des sources et références par article, consultez notre page sources et notre glossaire.
Disclaimer : Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.