TL;DR
L'essentiel en 30 secondes - Le RGPD s'applique pleinement aux systèmes d'IA, notamment via l'article 22 sur les décisions automatisées. - La CNIL recommande une analyse d'impact relative à la protection des données (AIPD) dès 2026 pour les systèmes d'IA à haut risque. - Les sanctions peuvent atteindre 4 % du chiffre d'affaires annuel mondial (article 83 RGPD). - L'obligation de documentation et de transparence est renforcée par l'articulation RGPD + AI Act. - Le service desk européen de l'AI Act accompagne les PME dans leur mise en conformité. - Délai indicatif : 12 mois pour aligner les systèmes critiques sur les recommandations CNIL 2026.
1. Contexte : RGPD et EU AI Act en 2026
La CNIL a publié depuis 2024 plusieurs séries de fiches pratiques dédiées à l'intelligence artificielle. Ces fiches s'articulent désormais avec le Règlement (UE) 2024/1689, dit EU AI Act, entré en vigueur le 1er août 2024. Les obligations applicables aux systèmes d'IA à haut risque entrent progressivement en application jusqu'en août 2027.
Pour les PME françaises, l'année 2026 marque un point de bascule. Les recommandations CNIL ne créent pas de nouvelles obligations, mais précisent l'application combinée du RGPD et de l'AI Act. Cette articulation est explicite dans le considérant 9 du Règlement (UE) 2024/1689, qui rappelle que le RGPD reste pleinement applicable aux traitements de données à caractère personnel effectués par les systèmes d'IA.
Les PME concernées sont nombreuses. Toute entreprise qui déploie un outil d'aide à la décision, un système de recrutement assisté, un chatbot client traitant des données personnelles, ou un module de scoring entre dans le champ. Le seuil n'est pas la taille, mais la nature du traitement et son impact sur les personnes.
Trois textes structurent le cadre applicable :
| Texte | Référence | Date d'application | Champ |
|---|---|---|---|
| RGPD | Règlement (UE) 2016/679 | 25 mai 2018 | Toute donnée personnelle |
| EU AI Act | Règlement (UE) 2024/1689 | 1er août 2024 (entrée en vigueur) | Systèmes d'IA mis sur le marché UE |
| Fiches CNIL IA | Délibérations 2024-2026 | Itératif | Précisions opérationnelles |
Pour un panorama général des obligations PME, voir notre pillar AI Act PME France.
2. Principales recommandations de la CNIL
La CNIL structure ses recommandations autour de quatre axes opérationnels. Chacun reprend un principe RGPD préexistant en l'adaptant aux spécificités des systèmes d'IA.
Analyse d'impact relative à la protection des données (AIPD). L'article 35 du RGPD impose une AIPD lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La CNIL considère que la plupart des systèmes d'IA classés à haut risque au sens de l'annexe III de l'AI Act déclenchent cette obligation. L'AIPD doit être réalisée avant la mise en production.
Documentation détaillée des traitements. La fiche CNIL « Constituer une base de données d'apprentissage » impose de tenir un registre précis des données utilisées en phase d'entraînement, de validation et de test. Cette documentation recoupe partiellement les exigences de l'article 11 et de l'annexe IV de l'AI Act sur la documentation technique.
Transparence renforcée. Les articles 13 et 14 du RGPD obligent à informer les personnes du recours à un traitement automatisé. La CNIL recommande d'indiquer explicitement l'utilisation d'un système d'IA, sa finalité, et la possibilité d'obtenir une intervention humaine.
Formation du personnel. L'article 4 du Règlement (UE) 2024/1689 introduit une obligation d'AI literacy, applicable depuis le 2 février 2025. Le personnel qui utilise ou supervise un système d'IA doit disposer d'un niveau de compétence suffisant.
3. Impact sur les PME : obligations et délais
Les obligations applicables varient selon la classification du système et le rôle de l'entreprise. Une PME peut être fournisseur, déployeur, importateur, distributeur — chaque qualification entraîne des devoirs distincts au sens des articles 16, 26, 23 et 24 du Règlement (UE) 2024/1689.
| Profil PME | Obligation principale | Délai indicatif |
|---|---|---|
| Déployeur d'un système haut risque | AIPD + surveillance humaine (Art. 26 AI Act) | 12 mois |
| Fournisseur d'un système haut risque | Documentation technique annexe IV + marquage CE | 24 mois |
| Utilisateur d'un système à risque limité | Information des utilisateurs (Art. 50 AI Act) | Immédiat |
| Tout responsable de traitement | AIPD si risque élevé (Art. 35 RGPD) | Avant mise en production |
Désignation d'un DPO. L'article 37 du RGPD impose un délégué à la protection des données dans trois cas : autorité publique, suivi systématique à grande échelle, traitement à grande échelle de données sensibles. Pour les systèmes d'IA à haut risque traitant des données de catégorie particulière (santé, biométrie, opinions), la CNIL recommande la désignation d'un DPO même en deçà du seuil légal strict.
Contrats de sous-traitance. L'article 28 du RGPD encadre les relations avec les prestataires. Lorsqu'une PME utilise une API LLM, un service cloud d'IA, ou un éditeur SaaS traitant des données personnelles, le contrat doit comporter les clauses de l'article 28 paragraphe 3. La CNIL insiste sur la nécessité de mentionner explicitement les usages secondaires de réentraînement, souvent inclus par défaut dans les conditions générales des fournisseurs anglo-saxons.
Notification des violations. L'article 33 du RGPD impose une notification à la CNIL sous 72 heures en cas de violation de données. Cette obligation s'applique aux incidents touchant un système d'IA : fuite de prompts contenant des données personnelles, hallucinations diffusant des informations confidentielles, attaque par injection de prompt avec exfiltration.
Sécurisez votre conformité RGPD-IA avant 2027
Recevez un audit personnalisé de votre exposition au croisement RGPD + AI Act et un plan d'action priorisé sur 12 mois, adapté à votre PME.
Demander mon diagnostic gratuit4. Outils et ressources pour la mise en conformité
La CNIL et la Commission européenne mettent à disposition plusieurs ressources gratuites. Leur exploitation méthodique réduit significativement le coût d'une mise en conformité.
Les fiches pratiques CNIL sur l'IA. La CNIL publie une série de fiches couvrant le cycle de vie complet d'un système d'IA : détermination du régime juridique, définition de la finalité, qualification juridique des acteurs, base légale, constitution de la base de données, AIPD, sécurité, droits des personnes. Ces fiches sont disponibles sur cnil.fr.
Le service desk européen de l'AI Act. La Commission européenne a lancé un guichet unique à l'adresse ai-act-service-desk.ec.europa.eu. Ce service répond aux questions des PME sur l'application du Règlement (UE) 2024/1689. Les réponses publiées font office de doctrine et constituent une source utile.
Modèles de contrats. La CNIL met à disposition des clauses contractuelles types pour les relations responsable de traitement / sous-traitant. Pour les contrats avec fournisseurs d'IA, ces modèles doivent être adaptés pour intégrer les spécificités du Règlement (UE) 2024/1689, notamment les obligations de transparence du fournisseur envers le déployeur (Art. 13 AI Act).
| Ressource | Source | Usage |
|---|---|---|
| Fiches pratiques IA | cnil.fr | Cadrage juridique opérationnel |
| Service desk AI Act | ai-act-service-desk.ec.europa.eu | Questions ponctuelles |
| Texte consolidé | artificialintelligenceact.eu | Référence texte intégral |
| Version officielle | eur-lex.europa.eu | Citation en contentieux |
| Norme SMSI IA | ISO/IEC 42001:2023 | Système de management |
Pour approfondir, consultez notre glossaire des termes techniques RGPD-IA.
5. Exemples concrets d'application
L'application des recommandations CNIL varie selon le secteur. Trois cas illustrent les obligations clés.
Cas n°1 : PME utilisant l'IA pour le recrutement. L'annexe III du Règlement (UE) 2024/1689 classe les systèmes utilisés pour le tri de candidatures et l'évaluation de candidats parmi les systèmes à haut risque. Une PME qui déploie un outil de scoring de CV doit réaliser une AIPD, garantir une supervision humaine effective au sens de l'article 14 de l'AI Act, et informer les candidats conformément à l'article 22 du RGPD. Le candidat conserve le droit d'obtenir une intervention humaine et de contester la décision.
Cas n°2 : entreprise utilisant l'IA pour le marketing. L'usage d'un système d'IA pour personnaliser des contenus marketing relève généralement du risque limité au sens de l'article 50 du Règlement (UE) 2024/1689. L'obligation principale est l'information de l'utilisateur sur le caractère artificiel du contenu (deep fake, image générée). Côté RGPD, le profilage marketing implique une base légale solide : consentement explicite ou intérêt légitime documenté, avec un test de mise en balance rigoureux.
Cas n°3 : PME utilisant l'IA pour la gestion des données clients. Un système qui segmente automatiquement une base clients, détecte le churn, ou prédit la valeur vie client traite des données personnelles à grande échelle. La CNIL recommande une AIPD si le profilage produit des effets significatifs (refus de service, tarification différenciée). L'article 22 du RGPD interdit en principe les décisions purement automatisées produisant des effets juridiques, sauf exceptions encadrées.
6. Erreurs à éviter
L'expérience des contrôles CNIL conduits depuis 2024 met en évidence quelques erreurs récurrentes chez les PME.
- Absence de documentation des traitements d'IA — le registre des activités de traitement (Art. 30 RGPD) doit mentionner spécifiquement les systèmes d'IA, leurs finalités, les catégories de données, les durées de conservation et les destinataires.
- Confusion entre AIPD et documentation technique AI Act — l'AIPD répond à l'article 35 du RGPD et porte sur les risques pour les personnes. La documentation technique de l'annexe IV de l'AI Act porte sur la conformité du système. Les deux sont complémentaires, jamais substituables.
- Personnel non formé à l'AI literacy — l'obligation de l'article 4 du Règlement (UE) 2024/1689 est en vigueur depuis le 2 février 2025. Une formation générique ne suffit pas : elle doit être adaptée au système utilisé et au rôle de l'utilisateur.
- Non-déclaration des violations dans le délai de 72 heures — y compris pour les incidents de type fuite de prompts ou divulgation accidentelle via un chatbot.
- Acceptation par défaut des CGU fournisseurs — beaucoup d'éditeurs prévoient l'utilisation des données clients pour le réentraînement des modèles. Sans opt-out contractuel explicite, le responsable de traitement engage sa responsabilité au titre de l'article 28 du RGPD.
7. Étape par étape pour se conformer
La mise en conformité gagne à être structurée en six étapes successives. Cette séquence couvre les obligations RGPD et AI Act sans redondance.
- Identifier les systèmes d'IA en exploitation. Recenser l'ensemble des outils utilisés dans l'entreprise, y compris les modules d'IA embarqués dans des suites bureautiques ou des SaaS métier. Cartographier les flux de données personnelles entrants et sortants.
- Évaluer le niveau de risque. Appliquer la grille de l'AI Act : risque inacceptable (Art. 5), haut risque (annexes I et III), risque limité (Art. 50), risque minimal. Croiser avec la grille RGPD : risque élevé déclenchant une AIPD.
- Documenter les traitements d'IA. Mettre à jour le registre Article 30 RGPD. Rédiger ou compléter la documentation technique de l'annexe IV pour les systèmes haut risque pour lesquels la PME est fournisseur.
- Mettre en place des mesures de sécurité. Articles 32 RGPD et 15 AI Act : robustesse, cybersécurité, journalisation des événements, contrôle d'accès, chiffrement, plan de continuité.
- Former le personnel. Programme d'AI literacy structuré par profil (utilisateur, superviseur, administrateur). Traçabilité des formations.
- Tester la conformité. Audit interne ou externe avant mise en production. Tests post-déploiement de la surveillance humaine, des journaux, des mécanismes de notification.
| Étape | Référence légale | Livrable |
|---|---|---|
| 1. Identification | Art. 30 RGPD | Cartographie des systèmes |
| 2. Évaluation | Annexes I, III AI Act | Grille de classification |
| 3. Documentation | Art. 30 RGPD + Annexe IV AI Act | Registre + dossier technique |
| 4. Sécurité | Art. 32 RGPD + Art. 15 AI Act | Plan de sécurité |
| 5. Formation | Art. 4 AI Act | Plan de formation |
| 6. Test | Art. 17 AI Act | Rapport d'audit |
Pack documentaire prêt à l'emploi
Modèles d'AIPD, registres Article 30 enrichis IA, clauses contractuelles AI Act, programme d'AI literacy : tout votre dossier de conformité 2026 en un téléchargement.
Découvrir le pack PME8. Sanctions en cas de non-conformité
Le cumul potentiel des sanctions RGPD et AI Act constitue le risque financier majeur pour une PME. Les deux régimes coexistent et peuvent se déclencher pour un même incident.
Sanctions RGPD (article 83). Le RGPD prévoit deux paliers :
| Manquement | Plafond | Référence |
|---|---|---|
| Obligations du responsable et du sous-traitant | 10 M€ ou 2 % du CA annuel mondial | Art. 83 §4 RGPD |
| Principes de traitement, droits des personnes, transferts internationaux | 20 M€ ou 4 % du CA annuel mondial | Art. 83 §5 RGPD |
Le montant retenu est le plus élevé des deux. Pour une PME réalisant 5 M€ de chiffre d'affaires, le plafond théorique de 20 M€ ne s'applique pas dans les faits — mais la sanction reste calibrée pour être dissuasive selon les critères de l'article 83 paragraphe 2.
Sanctions AI Act (article 99). Le Règlement (UE) 2024/1689 introduit ses propres plafonds, applicables depuis le 2 août 2025 pour les pratiques interdites :
| Manquement | Plafond | Référence |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA annuel mondial | Art. 99 §3 AI Act |
| Obligations principales (haut risque, transparence) | 15 M€ ou 3 % du CA annuel mondial | Art. 99 §4 AI Act |
| Informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA annuel mondial | Art. 99 §5 AI Act |
L'article 99 paragraphe 6 prévoit des plafonds adaptés pour les PME : les amendes sont plafonnées au montant le moins élevé des deux options (forfait ou pourcentage), ce qui limite l'impact financier sans supprimer la sanction.
Sanctions accessoires. Outre les amendes administratives, la CNIL peut prononcer des mises en demeure publiques, des injonctions sous astreinte, des suspensions de traitement. L'impact réputationnel d'une sanction publique constitue souvent un dommage supérieur à l'amende elle-même.
Pour un calculateur d'exposition et le détail des sanctions, consultez notre article dédié sanctions PME et amendes AI Act.
9. Avenir : évolutions prévues
Plusieurs chantiers réglementaires structureront les évolutions des recommandations CNIL après 2026.
Code de bonnes pratiques GPAI. Le code de pratiques pour les modèles d'IA à usage général, prévu par l'article 56 du Règlement (UE) 2024/1689, est en cours de finalisation par l'AI Office. Sa publication précisera les obligations applicables aux fournisseurs de modèles fondation, avec un effet en cascade sur les PME qui intègrent ces modèles.
Standards harmonisés. Les organismes européens CEN-CENELEC élaborent les normes harmonisées appelées par l'article 40 de l'AI Act. La présomption de conformité attachée à ces normes simplifiera la démonstration de conformité, notamment via l'ISO/IEC 42001:2023 sur les systèmes de management de l'IA.
Renforcement de la transparence. L'article 50 du Règlement (UE) 2024/1689 sur la transparence des contenus générés ou modifiés par IA s'applique à compter du 2 août 2026. Les obligations de marquage (watermarking) feront l'objet de précisions techniques de l'AI Office.
Lignes directrices CNIL à venir. La CNIL a annoncé la poursuite de ses publications sur les cas d'usage non encore couverts : IA générative en entreprise, agents autonomes, systèmes multimodaux. Le suivi de ces publications est indispensable pour maintenir une veille opérationnelle.
FAQ
Q : Quelles sont les principales obligations pour les PME en 2026 ?
Les PME doivent réaliser une analyse d'impact (AIPD au sens de l'article 35 du RGPD) dès 2026 pour les systèmes d'IA à haut risque listés à l'annexe III de l'AI Act. Elles doivent documenter les traitements dans le registre Article 30 RGPD, former le personnel (Art. 4 AI Act) et respecter les délais d'application. La CNIL recommande également de nommer un DPO pour les systèmes critiques traitant des données sensibles.
Q : Quelles sont les sanctions en cas de non-conformité ?
Les sanctions RGPD peuvent atteindre 20 M€ ou 4 % du chiffre d'affaires annuel mondial selon l'article 83 paragraphe 5. Les sanctions AI Act atteignent 35 M€ ou 7 % du CA pour les pratiques interdites (Art. 99 §3). Les deux régimes peuvent se cumuler pour un même incident. La CNIL peut également prononcer des injonctions sous astreinte et des mises en demeure publiques affectant la réputation.
Q : Quels outils la CNIL propose-t-elle pour aider les PME ?
La CNIL met à disposition gratuitement ses fiches pratiques IA sur cnil.fr, des modèles de clauses contractuelles types (responsable / sous-traitant), et un guide AIPD adapté aux traitements algorithmiques. La Commission européenne complète l'offre avec le service desk AI Act (ai-act-service-desk.ec.europa.eu). Le texte consolidé du Règlement est disponible sur artificialintelligenceact.eu.
Q : Quel est le délai pour se conformer aux nouvelles recommandations ?
Les délais légaux du Règlement (UE) 2024/1689 sont fixés par son article 113 : applications interdites depuis le 2 février 2025, obligations GPAI depuis le 2 août 2025, obligations systèmes haut risque à compter du 2 août 2026 (annexe III) et 2 août 2027 (annexe I). La CNIL recommande aux PME un délai opérationnel de 12 mois pour aligner les systèmes critiques, et 24 mois pour les systèmes à risque moyen.
Q : Où puis-je trouver plus d'informations sur l'EU AI Act ?
Le texte officiel est publié au Journal officiel de l'UE et accessible sur eur-lex.europa.eu (Règlement (UE) 2024/1689). Le texte consolidé annoté est disponible sur artificialintelligenceact.eu. Le service desk européen ai-act-service-desk.ec.europa.eu répond aux questions opérationnelles. Pour un cadrage adapté aux PME françaises, consultez notre pillar AI Act PME France et notre page sources.
Sources officielles
- Règlement (UE) 2024/1689 — version officielle
- Texte consolidé annoté de l'AI Act
- CNIL — fiches pratiques IA et délibérations
- Service desk européen AI Act — Commission européenne
- ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.