TL;DR — L'essentiel en 30 secondes
- Le RGPD (Règlement (UE) 2016/679) reste obligatoire pour tout traitement de données personnelles, avec ou sans IA (Art. 5 à 9).
- L'AI Act (Règlement (UE) 2024/1689) classe les systèmes d'IA en 4 niveaux de risque : inacceptable, élevé, limité, minime.
- Les sanctions diffèrent : jusqu'à 4 % du CA mondial au titre du RGPD (Art. 83), jusqu'à 7 % pour un usage d'IA interdit au titre de l'AI Act (Art. 99).
- Une PME doit cartographier ses systèmes d'IA et ses traitements de données via son registre (Art. 30 RGPD).
- La CNIL recommande une approche intégrée entre analyse d'impact RGPD (Art. 35) et analyse d'impact AI Act (Art. 27).
1. Contexte juridique : RGPD et AI Act en 2026
Le RGPD encadre les données personnelles depuis mai 2018. Il s'applique à chaque traitement, du fichier client au recrutement automatisé. Aucune PME n'y échappe.
L'AI Act complète ce socle. Il régit la mise sur le marché et l'usage des systèmes d'IA dans l'Union. Son entrée en vigueur date du 1er août 2024, avec une application progressive.
Les deux textes coexistent. Une PME qui utilise un outil d'IA traitant des données personnelles relève des deux règlements en même temps. Aucun ne remplace l'autre.
Le tableau ci-dessous résume les périmètres respectifs.
| Critère | RGPD (Règl. 2016/679) | AI Act (Règl. 2024/1689) |
|---|---|---|
| Objet | Données à caractère personnel | Systèmes d'intelligence artificielle |
| Déclencheur | Tout traitement de données | Mise sur le marché ou usage d'un système d'IA |
| Sanction maximale | 4 % du CA mondial ou 20 M€ (Art. 83) | 7 % du CA mondial ou 35 M€ (Art. 99) |
| Autorité française | CNIL | CNIL (autorité pressentie) [à vérifier] |
Pour comprendre l'ensemble du dispositif applicable aux PME, consultez notre page pilier AI Act et PME françaises.
2. Similitudes clés entre les deux règlements
Les deux règlements partagent une logique de responsabilisation. L'entreprise doit prouver sa conformité, pas seulement l'affirmer.
Transparence. Le RGPD impose une information claire des personnes concernées (Art. 12 à 14). L'AI Act impose de signaler qu'un contenu ou une décision provient d'une IA (Art. 50).
Documentation. Le RGPD exige un registre des activités de traitement (Art. 30). L'AI Act exige une documentation technique et, pour certains déploiements à haut risque, une analyse d'impact sur les droits fondamentaux (Art. 27).
Responsabilité. Le principe d'accountability du RGPD (Art. 5.2) trouve son écho dans les obligations du déployeur d'IA. Dans les deux cas, le dirigeant reste responsable devant l'autorité.
| Obligation partagée | Base RGPD | Base AI Act |
|---|---|---|
| Transparence utilisateur | Art. 12-14 | Art. 50 |
| Documentation obligatoire | Art. 30 | Art. 11 et Art. 27 |
| Responsabilité démontrable | Art. 5.2, Art. 24 | Art. 26 (obligations du déployeur) |
3. Points de divergence majeurs
Les deux textes ne poursuivent pas le même but. Le RGPD protège les personnes. L'AI Act sécurise les produits d'IA.
Classification par le risque. L'AI Act repose sur une pyramide à quatre niveaux. Le RGPD ne classe pas les traitements ainsi ; il applique les mêmes principes à tous, avec une analyse d'impact renforcée pour les traitements « susceptibles d'engendrer un risque élevé » (Art. 35).
Droits des personnes. Le RGPD confère des droits individuels : accès, rectification, effacement, opposition (Art. 15 à 22). L'AI Act ne crée pas ces droits ; il ajoute une obligation d'explication des décisions individuelles à haut risque (Art. 86).
Objet réglementé. Le RGPD suit la donnée. L'AI Act suit le système.
| Dimension | RGPD | AI Act |
|---|---|---|
| Approche | Principes uniformes + AIPD ciblée | Quatre niveaux de risque |
| Cœur du dispositif | Droits des personnes | Sécurité et surveillance des systèmes |
| Nouveauté 2026 | Stable | Obligations haut risque applicables |
Vous ne savez pas si votre outil d'IA est « à haut risque » ?
Notre pack documentaire complet inclut une grille de classification alignée sur l'Annexe III de l'AI Act et un modèle de registre combiné RGPD / IA.
Obtenir le pack conformité complet4. Obligations communes pour les PME
Trois obligations concrètes se recoupent. Les traiter ensemble évite les doublons.
- Identifier. Recensez chaque traitement de données personnelles et chaque système d'IA. Un même outil figure souvent dans les deux inventaires.
- Contrôler. Mettez en place des mesures techniques et organisationnelles : contrôle d'accès, journalisation, supervision humaine (Art. 32 RGPD ; Art. 14 AI Act pour le haut risque).
- Former. L'Art. 4 de l'AI Act impose une « maîtrise suffisante de l'IA » (AI literacy) au personnel concerné. Le RGPD suppose des équipes sensibilisées à la protection des données.
Cette base commune structure toute démarche de mise en conformité. Pour le vocabulaire technique, appuyez-vous sur notre glossaire.
5. Stratégie d'articulation pratique
La méthode la plus efficace consiste à fusionner les documents plutôt qu'à les multiplier.
Registre unique. Étendez votre registre RGPD (Art. 30) avec des colonnes dédiées à l'IA : nom du système, fournisseur, niveau de risque AI Act, finalité, base légale RGPD associée.
Analyse d'impact intégrée. Quand un système d'IA traite des données personnelles à risque élevé, menez conjointement l'analyse d'impact relative à la protection des données (Art. 35 RGPD) et, le cas échéant, l'analyse d'impact sur les droits fondamentaux (Art. 27 AI Act). La CNIL encourage cette approche combinée dans ses fiches pratiques IA.
Contrôle continu. Planifiez des revues régulières. Un système d'IA évolue ; sa classification de risque peut changer après une mise à jour du fournisseur.
| Étape | Livrable | Base juridique |
|---|---|---|
| 1. Cartographie | Registre unique RGPD + IA | Art. 30 RGPD |
| 2. Évaluation | AIPD + AIDF combinées | Art. 35 RGPD / Art. 27 AI Act |
| 3. Surveillance | Procédure de revue périodique | Art. 24 RGPD / Art. 26 AI Act |
6. Outils et ressources essentiels
Plusieurs ressources officielles accélèrent la mise en conformité. Aucune ne remplace une validation juridique.
- Fiches pratiques IA de la CNIL — orientations sur l'usage des données dans les systèmes d'IA (cnil.fr).
- AI Act Service Desk de la Commission européenne — outils d'auto-évaluation et FAQ officielles (ai-act-service-desk.ec.europa.eu).
- Modèles de registre regulia — un cadre prêt à l'emploi combinant RGPD et AI Act (AI Act et PME françaises).
Pour la liste complète des textes de référence, consultez notre page sources.
7. Sanctions et risques pour les PME
Le risque financier est réel mais proportionné. L'Art. 99(6) de l'AI Act prévoit que les amendes infligées aux PME retiennent le montant le plus faible entre le pourcentage et la somme forfaitaire.
RGPD. Deux paliers : jusqu'à 2 % du CA ou 10 M€ (Art. 83(4)) ; jusqu'à 4 % du CA ou 20 M€ pour les manquements les plus graves (Art. 83(5)).
AI Act. Trois paliers : jusqu'à 7 % du CA ou 35 M€ pour un système interdit (Art. 99(3)) ; jusqu'à 3 % ou 15 M€ pour les autres manquements (Art. 99(4)) ; jusqu'à 1,5 % ou 7,5 M€ pour des informations inexactes (Art. 99(5)).
Risques non financiers. Poursuites pour usage d'un système interdit (Art. 5), perte de confiance des clients, exclusion d'appels d'offres exigeant la conformité.
| Type de manquement | Texte | Plafond |
|---|---|---|
| Traitement illicite grave | Art. 83(5) RGPD | 4 % CA / 20 M€ |
| Système d'IA interdit | Art. 99(3) AI Act | 7 % CA / 35 M€ |
| Autre manquement AI Act | Art. 99(4) AI Act | 3 % CA / 15 M€ |
| Information inexacte | Art. 99(5) AI Act | 1,5 % CA / 7,5 M€ |
Pour un détail chiffré et un calculateur d'amende, voir notre article dédié aux sanctions et amendes pour les PME.
8. Échéances clés 2026
Le calendrier de l'AI Act est fixé par son Article 113. Il conditionne votre plan d'action.
- 2 février 2025 — interdictions (Art. 5) et obligation d'AI literacy (Art. 4) déjà applicables.
- 2 août 2025 — règles sur les modèles d'IA à usage général et gouvernance en vigueur.
- 2 août 2026 — application des obligations pour la plupart des systèmes à haut risque de l'Annexe III. C'est l'échéance structurante pour les PME.
- 2 août 2027 — obligations pour les systèmes à haut risque relevant de l'Annexe I (produits réglementés).
Nous recommandons de finaliser le registre combiné et l'analyse d'impact intégrée avant l'été 2026, afin d'absorber l'échéance du 2 août sans précipitation. Le RGPD, lui, s'applique déjà pleinement.
Prêt à sécuriser votre échéance du 2 août 2026 ?
Recevez un accompagnement structuré : registre combiné, modèles d'analyse d'impact RGPD + AI Act, et check-list de conformité adaptée à votre secteur.
Démarrer ma mise en conformitéFAQ
Les PME de moins de 50 salariés sont-elles concernées par l'AI Act ?
Oui. L'AI Act s'applique à tout déployeur ou fournisseur, sans seuil d'effectif. Le règlement prévoit toutefois des mesures de soutien aux PME (bacs à sable réglementaires, documentation allégée — Art. 62 et 63). Aucun « régime transitoire général jusqu'au 25 juin 2026 » n'existe dans le texte [à vérifier] ; seul le calendrier de l'Art. 113 fait foi.
Comment identifier les systèmes d'IA utilisés dans mon entreprise ?
Inventoriez d'abord tous les outils automatisés, y compris les fonctions d'IA intégrées à vos logiciels métiers. Classez ensuite chaque système par niveau de risque à l'aide des ressources de l'AI Act Service Desk et des fiches pratiques CNIL.
Quelles sont les sanctions pour une non-conformité RGPD en 2026 ?
Jusqu'à 4 % du chiffre d'affaires mondial annuel ou 20 M€, selon le montant le plus élevé, pour les manquements les plus graves (Art. 83(5)). Le palier inférieur atteint 2 % ou 10 M€ (Art. 83(4)). Les 7 % évoqués parfois concernent l'AI Act, pas le RGPD.
Dois-je nommer un DPO pour l'AI Act ?
L'AI Act ne crée pas d'obligation autonome de désigner un délégué à la protection des données. Cette obligation reste régie par le RGPD (Art. 37). En revanche, le déployeur d'un système à haut risque doit organiser une surveillance humaine (Art. 14) et désigner des responsables internes. Vérifiez votre situation avec la CNIL.
Quels outils recommandez-vous pour l'articulation RGPD-AI Act ?
Un registre combiné (voir AI Act et PME françaises), les ressources de l'AI Act Service Desk, et les fiches pratiques IA de la CNIL. Pour un cadre personnalisé, notre offre d'accompagnement structure les deux règlements dans un même dispositif.
Sources officielles
- Commission européenne — AI Act Service Desk : ai-act-service-desk.ec.europa.eu
- EUR-Lex — Règlement (UE) 2016/679 (RGPD) : texte officiel
- Texte consolidé de l'AI Act : artificialintelligenceact.eu
- CNIL — fiches pratiques IA : cnil.fr/fr/les-fiches-pratiques-ia
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.