Où trouver des ressources pour comprendre ces réglementations ?

Les PME peuvent consulter le guide de la CNIL sur l'AI Act (cnil.fr), le service dédié de l'AI Act (ai-act-service-desk.ec.europa.eu), et le site officiel de l'AI Act (artificialintelligenceact.eu). Pour le RGPD, le site de la CNIL (cnil.fr) et le lien vers le texte officiel (eur-lex.europa.eu) sont essentiels.

RGPD et AI Act pour les PME : chevauchements et conflits

Q: Quelles sont les principales différences entre le RGPD et l'AI Act ?

Le RGPD s'applique à tous les traitements de données personnelles, tandis que l'AI Act cible spécifiquement les systèmes d'IA de haut risque. Le RGPD met l'accent sur les droits des personnes, tandis que l'AI Act se concentre sur les risques liés à l'IA. Les PME doivent traiter les systèmes d'IA comme des traitements de données spécifiques, avec des obligations supplémentaires pour les systèmes de haut risque.

Q: Comment une PME peut-elle identifier les conflits entre les deux réglementations ?

Les conflits apparaissent souvent sur des points comme la transparence (RGPD art. 13 vs AI Act art. 15) ou le consentement (RGPD art. 7 vs AI Act art. 16). Pour les identifier, les PME doivent analyser leurs systèmes d'IA en croisant les exigences du RGPD et de l'AI Act. Un audit réglementaire est recommandé pour repérer les tensions.

Q: Quelles sont les étapes pour harmoniser les processus de conformité ?

Les PME doivent d'abord cartographier leurs systèmes d'IA et identifier les chevauchements avec le RGPD. Ensuite, elles doivent prioriser les obligations (RGPD comme base, AI Act comme complément) et mettre en place des processus intégrés (ex: registre de traitement combiné). Enfin, elles doivent former leur personnel et suivre les mises à jour réglementaires.

Q: Quelles sont les sanctions pour non-conformité ?

Les sanctions peuvent être importantes. Pour le RGPD, les amendes peuvent atteindre 4% du chiffre d'affaires annuel (art. 83). Pour l'AI Act, les amendes peuvent atteindre 7 millions d'euros ou 4% du CA (art. 64). Les PME doivent donc s'assurer de la conformité pour éviter des sanctions financières et réputationnelles.

L'essentiel en 30 secondes

Le RGPD (Règlement (UE) 2016/679) régit tout traitement de données personnelles, tandis que l'AI Act (Règlement (UE) 2024/1689) cible les systèmes d'IA, avec un focus sur ceux classés à haut risque (Art. 6).
Les deux textes convergent sur la transparence, la minimisation et la sécurité, mais divergent sur le fondement juridique (consentement RGPD) versus l'évaluation systémique (AI Act).
Les PME cumulent les obligations : registre des traitements (Art. 30 RGPD) et documentation technique (Art. 11 AI Act), évaluation d'impact (AIPD) et FRIA (Art. 27 AI Act).
Les sanctions s'additionnent : jusqu'à 4 % du CA mondial pour le RGPD (Art. 83) et jusqu'à 15 millions d'euros ou 3 % du CA pour les manquements aux obligations sur l'IA à haut risque (Art. 99 AI Act).
La CNIL recommande aux PME de traiter chaque système d'IA comme un traitement spécifique, intégré au registre RGPD, et de prévoir une couche AI Act dédiée (fiches pratiques CNIL 2024).
L'AI Office EU et la CNIL publient des outils dédiés aux PME pour réduire la charge de conformité.

1. Introduction aux réglementations : RGPD et AI Act

Le RGPD encadre depuis 2018 le traitement des données personnelles dans l'Union européenne. Il impose des principes — licéité, loyauté, transparence, minimisation, intégrité — et confère des droits aux personnes concernées (accès, rectification, effacement, portabilité).

L'AI Act, adopté le 13 juin 2024 sous la référence Règlement (UE) 2024/1689, encadre la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle. Il classe les usages en quatre catégories : risque inacceptable (interdit, Art. 5), haut risque (Art. 6), risque limité avec obligations de transparence (Art. 50) et risque minimal (libre).

Pour une PME française de 10 à 250 salariés, l'enjeu n'est pas théorique. Une IA de tri de CV utilise des données personnelles : elle relève du RGPD. Cette même IA est listée à l'Annexe III de l'AI Act comme système à haut risque. La conformité passe donc par les deux textes simultanément.

La non-conformité expose à des amendes administratives, des injonctions de la CNIL ou de l'autorité de surveillance du marché, et un risque réputationnel quantifiable. Notre article Sanctions AI Act et amendes pour les PME détaille le calcul des plafonds.

2. Points de chevauchement : synergies entre les réglementations

Les deux régulations partagent un socle commun. Identifier ces synergies permet aux PME de mutualiser leurs efforts documentaires plutôt que de dupliquer les processus.

Exigence	RGPD	AI Act	Synergie pour la PME
Transparence	Art. 12-14 (information des personnes)	Art. 13 et Art. 50 (information du déployeur et des utilisateurs)	Une notice unique peut couvrir les deux
Minimisation des données	Art. 5.1(c)	Art. 10 (qualité des jeux de données)	Politique de gouvernance commune
Sécurité	Art. 32 (mesures techniques et organisationnelles)	Art. 15 (exactitude, robustesse, cybersécurité)	Plan de sécurité intégré
Documentation	Art. 30 (registre des traitements)	Art. 11 (documentation technique) + Art. 12 (journalisation)	Registre étendu IA
Évaluation d'impact	Art. 35 (AIPD)	Art. 27 (FRIA pour certains déployeurs)	Modèle unifié AIPD-FRIA

Le principe de redevabilité du RGPD (Art. 5.2) et la gestion des risques de l'AI Act (Art. 9) reposent tous deux sur la documentation continue. Une PME qui tient déjà un registre RGPD à jour dispose de 60 % du travail documentaire requis par l'AI Act, selon les retours d'expérience publiés par le Cigref dans son guide AI Act de janvier 2025 [à vérifier].

3. Conflits potentiels : tensions réglementaires

Les divergences entre les deux textes créent des arbitrages concrets pour les PME. Trois zones de friction reviennent systématiquement.

Fondement juridique versus évaluation systémique. Le RGPD exige une base légale par traitement (Art. 6), souvent le consentement (Art. 7) ou l'intérêt légitime. L'AI Act ne raisonne pas par base légale mais par classification de risque : un système à haut risque doit satisfaire une obligation d'évaluation (Art. 9) indépendamment du consentement obtenu. Une PME peut donc obtenir un consentement valable au sens du RGPD et rester non conforme à l'AI Act.

Transparence ciblée versus transparence systémique. L'Art. 13 du RGPD impose d'informer la personne concernée au moment de la collecte. L'Art. 13 de l'AI Act oblige le fournisseur à informer le déployeur (souvent la PME) du fonctionnement du système. Ces obligations cohabitent mais visent des destinataires différents.

Droit à l'explication automatisée. L'Art. 22 du RGPD encadre les décisions individuelles automatisées et ouvre un droit d'intervention humaine. L'Art. 14 de l'AI Act impose une supervision humaine pour les systèmes à haut risque. Les seuils de déclenchement ne sont pas identiques, créant un risque d'interprétation pour les PME.

Surcharge de gouvernance. Le RGPD impose un DPO pour certaines structures (Art. 37). L'AI Act n'impose pas de rôle équivalent, mais les obligations de l'Art. 26 (déployeur d'IA à haut risque) appellent une fonction dédiée. Faute de fusion possible, deux fonctions parallèles peuvent émerger.

4. Obligations spécifiques de l'AI Act pour les PME

L'AI Act distingue les rôles de fournisseur (qui développe ou met sur le marché) et de déployeur (qui utilise dans le cadre de son activité professionnelle). La majorité des PME françaises sont déployeurs d'IA, rarement fournisseurs.

Classification en quatre niveaux de risque :

Risque inacceptable (Art. 5) — interdit dès le 2 février 2025. Exemples : notation sociale, manipulation cognitive, identification biométrique en temps réel dans l'espace public.
Haut risque (Art. 6 et Annexe III) — autorisé sous conditions strictes. Exemples : IA de recrutement, scoring de crédit, gestion d'infrastructures critiques.
Risque limité (Art. 50) — obligations de transparence. Exemples : chatbots, deepfakes, contenus générés.
Risque minimal — pas d'obligation spécifique. Exemples : filtres anti-spam, moteurs de recommandation classiques.

Pour les systèmes à haut risque, la PME déployeuse doit suivre les instructions du fournisseur, mettre en place une supervision humaine (Art. 14), surveiller le fonctionnement (Art. 26), informer les personnes concernées et conserver les journaux (Art. 12). Une analyse d'impact sur les droits fondamentaux (FRIA, Art. 27) s'impose pour les déployeurs publics et certains secteurs privés (banque, assurance).

Le calendrier d'application est progressif. Les obligations sur les modèles à usage général (GPAI) s'appliquent à partir du 2 août 2025. Les exigences sur les systèmes à haut risque entrent en vigueur le 2 août 2026, avec un délai supplémentaire jusqu'en août 2027 pour les systèmes intégrés dans des produits réglementés.

5. Obligations spécifiques du RGPD pour les PME

Le RGPD reste le socle minimal de toute PME qui traite des données personnelles, y compris via des systèmes d'IA.

Registre des traitements (Art. 30) : recensement exhaustif des traitements, finalités, catégories de données, durées de conservation.
Désignation d'un DPO (Art. 37) : obligatoire si traitement à grande échelle de données sensibles ou suivi systématique des personnes.
Information et droits des personnes (Art. 12-23) : notices de transparence, réponse aux demandes d'accès, rectification, effacement, opposition.
Sécurité des traitements (Art. 32) : mesures techniques et organisationnelles adaptées au risque.
Notification des violations (Art. 33-34) : signalement à la CNIL sous 72 heures.
Analyse d'impact (Art. 35) : AIPD obligatoire pour les traitements à risque élevé, ce qui couvre presque tous les systèmes d'IA significatifs.

La CNIL publie depuis 2024 treize fiches pratiques dédiées à l'IA. Elles précisent comment articuler AIPD et exigences de l'AI Act, et constituent une référence opérationnelle pour les PME. Consultez le glossaire regulia pour les définitions clés.

Pack documentaire RGPD + AI Act

Registres, modèles d'AIPD, trame FRIA, politique de gouvernance IA : nos packs documentaires sont conçus pour les PME françaises et révisés par notre comité juridique.

Demander une démonstration

6. Guide pratique pour harmoniser les processus

L'objectif n'est pas de gérer deux conformités en silos. C'est de construire un référentiel intégré qui réduit la charge documentaire.

Étape 1 — Inventaire croisé. Lister tous les systèmes d'IA déployés ou en projet. Pour chacun, indiquer : finalité, données personnelles traitées, fournisseur, niveau de risque AI Act, base légale RGPD. Ce tableau devient le pivot de la gouvernance.

Étape 2 — Cartographie des obligations. Pour chaque ligne de l'inventaire, croiser les obligations applicables. Une IA de recrutement déclenche : AIPD (Art. 35 RGPD), enregistrement à la base UE (Art. 49 AI Act), FRIA (Art. 27 AI Act), supervision humaine, information des candidats.

Étape 3 — Documentation mutualisée. Étendre le registre des traitements pour intégrer les champs AI Act : classification de risque, identifiant du système dans la base UE, version du modèle, date de la dernière FRIA. Les colonnes supplémentaires évitent la création d'un registre parallèle.

Étape 4 — Gouvernance unifiée. Confier au DPO ou à un IA Lead la coordination des deux conformités. Mettre en place un comité trimestriel associant DPO, RSSI, métier et direction.

Étape 5 — Veille réglementaire. S'abonner aux mises à jour de la CNIL, de l'AI Office EU et du service d'assistance dédié. Voir notre page sources officielles.

Tâche	Outil RGPD existant	Extension AI Act
Recensement	Registre des traitements	Colonnes classification, fournisseur, version
Évaluation	AIPD	Fusion AIPD-FRIA pour systèmes à haut risque
Transparence	Notice de confidentialité	Mention des systèmes d'IA et de leur logique
Sécurité	Politique SSI	Spécifications de robustesse (Art. 15 AI Act)
Incident	Notification CNIL 72 h	Notification à l'autorité de surveillance

7. Exemples concrets de conflits

Trois cas opérationnels illustrent comment les tensions se matérialisent.

Cas 1 — IA de recrutement. Une PME utilise un outil de présélection automatisé. Côté RGPD, la base légale ne peut pas être le consentement (déséquilibre candidat-employeur), donc l'intérêt légitime est privilégié, avec AIPD obligatoire. Côté AI Act, le système est à haut risque (Annexe III) : FRIA, supervision humaine et journalisation s'imposent. La PME doit aussi informer le CSE conformément au Code du travail. Le conflit pratique : le RGPD veut limiter la durée de conservation, l'AI Act exige des logs sur plusieurs années pour traçabilité.

Cas 2 — IA de personnalisation marketing. Une PME e-commerce utilise un moteur de recommandation. Le RGPD impose un consentement (Art. 7) pour les cookies de profilage. L'AI Act considère ce cas comme risque minimal — pas d'obligation spécifique. Mais si le moteur intègre du scoring comportemental fin, l'Art. 22 RGPD se déclenche, et l'on bascule potentiellement dans le haut risque AI Act. La frontière est mince.

Cas 3 — IA de cybersécurité. Une PME déploie une solution de détection d'intrusion basée sur l'IA. Côté RGPD, traitement de données de connexion : base légale = intérêt légitime, durée de conservation limitée. Côté AI Act, le système peut être à haut risque s'il est utilisé pour la sécurité d'infrastructures critiques. La tension porte sur la minimisation des données (RGPD) versus la nécessité de jeux de données large pour la robustesse statistique (Art. 10 AI Act).

Dans chacun de ces cas, la lecture combinée des deux textes — et non leur application en silo — produit la solution conforme.

8. Conseils pour les PME : stratégies de conformité

Cinq leviers concrets, classés par ordre de priorité.

Former les fonctions clés. Le DPO, le RSSI et le directeur métier doivent disposer d'une formation actualisée sur les deux textes. Le service d'assistance de la Commission propose des ressources gratuites sur ai-act-service-desk.ec.europa.eu.
Identifier le rôle exact dans la chaîne. Fournisseur, déployeur, importateur, distributeur : chaque rôle déclenche des obligations distinctes (Art. 16, 22, 23, 24 AI Act). Une PME peut cumuler plusieurs rôles.
Anticiper le calendrier d'application. Les obligations sur les systèmes à haut risque s'appliquent à compter du 2 août 2026. Démarrer la mise en conformité dès 2025 lisse la charge.
Mutualiser la documentation. Un seul système de gestion documentaire pour RGPD et AI Act évite les doublons et les contradictions.
Faire valider par un conseil juridique. Les zones grises — classification de risque, FRIA, articulation Art. 22 RGPD et Art. 14 AI Act — appellent un avis sourcé.

Pour une vue d'ensemble de la conformité IA en PME, consultez notre pillar AI Act pour les PME françaises.

Démarrez votre mise en conformité dès aujourd'hui

Notre équipe juridique accompagne les PME françaises dans la cartographie de leurs systèmes d'IA et la production des documents requis par le RGPD et l'AI Act.

Réserver un échange de 30 minutes

FAQ

Quelles sont les principales différences entre le RGPD et l'AI Act ?

Le RGPD s'applique à tout traitement de données personnelles, indépendamment de la technologie utilisée. L'AI Act cible les systèmes d'IA, avec une intensité d'obligations proportionnée au risque (Art. 6 et Annexe III). Le RGPD privilégie une logique de droits individuels et de bases légales. L'AI Act privilégie une logique d'évaluation systémique et de conformité produit. Les PME doivent traiter chaque système d'IA comme un traitement RGPD spécifique, avec une couche supplémentaire d'obligations issues de l'AI Act lorsque le système est classé à haut risque.

Comment une PME peut-elle identifier les conflits entre les deux réglementations ?

Les conflits émergent souvent sur la transparence (Art. 13 RGPD versus Art. 13 et 50 AI Act), le consentement (Art. 7 RGPD versus logique de classification AI Act) et la durée de conservation (minimisation RGPD versus traçabilité AI Act). Pour les identifier, la PME doit conduire un audit croisé de ses systèmes d'IA, en confrontant les exigences article par article. Le résultat alimente un plan d'action priorisé par risque.

Quelles sont les étapes pour harmoniser les processus de conformité ?

La PME commence par cartographier ses systèmes d'IA dans un inventaire unique. Elle classe ensuite chaque système au regard de l'AI Act et du RGPD. Elle étend son registre des traitements pour intégrer les champs requis par l'AI Act. Elle fusionne autant que possible AIPD et FRIA. Elle désigne un référent unique — souvent le DPO — et organise une revue trimestrielle de conformité.

Quelles sont les sanctions pour non-conformité ?

Le RGPD prévoit deux paliers : jusqu'à 10 millions d'euros ou 2 % du CA mondial pour les manquements organisationnels, et jusqu'à 20 millions d'euros ou 4 % du CA mondial pour les violations de principes (Art. 83). L'AI Act prévoit trois paliers : jusqu'à 35 millions d'euros ou 7 % du CA pour les pratiques interdites, jusqu'à 15 millions ou 3 % pour les manquements aux obligations sur l'IA à haut risque, jusqu'à 7,5 millions ou 1 % pour les informations incorrectes (Art. 99). Pour les PME, le plafond le plus bas s'applique. Le détail figure dans notre article Sanctions AI Act et amendes.

Où trouver des ressources fiables pour comprendre ces réglementations ?

Les PME peuvent consulter les treize fiches pratiques IA de la CNIL, le texte consolidé sur artificialintelligenceact.eu, la version officielle sur EUR-Lex et le service d'assistance de la Commission. Pour les sources sectorielles, l'ACPR (banque-assurance), l'ANSM (santé) et la DGCCRF (consommation) publient des positions complémentaires.

Sources officielles

Texte consolidé de l'AI Act — artificialintelligenceact.eu
Règlement (UE) 2016/679 (RGPD) — EUR-Lex
Règlement (UE) 2024/1689 (AI Act) — EUR-Lex
CNIL — Fiches pratiques IA
AI Act Service Desk — Commission européenne
ISO/IEC 42001:2023 — Système de management de l'IA
ISO/IEC 23894:2023 — Gestion des risques liés à l'IA

Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.