TL;DR — L'essentiel en 30 secondes
- Le DPO devient pivot de la conformité IA dès l'entrée en application de l'EU AI Act le 2 août 2026 (Article 113 du Règlement (UE) 2024/1689).
- Les obligations RGPD existantes (Articles 35, 37 à 39 du Règlement (UE) 2016/679) s'articulent désormais avec les exigences AI Act sur les systèmes à haut risque.
- L'audit des traitements IA repose sur l'AIPD (Article 35 RGPD) combinée à la FRIA (Article 27 AI Act) pour les déployeurs concernés.
- Les sanctions cumulent jusqu'à 4 % du CA mondial (Article 83 RGPD) et jusqu'à 35 millions d'euros ou 7 % du CA mondial (Article 99 AI Act).
- La CNIL publie depuis 2024 des fiches pratiques dédiées à l'IA et au RGPD, à consulter en priorité.
- Les PME doivent cartographier leurs systèmes IA dès maintenant pour tenir l'échéance d'août 2026.
1. Le RGPD IA 2026 : contexte et enjeux pour les DPO
L'expression « RGPD IA 2026 » désigne l'articulation entre le Règlement général sur la protection des données (Règlement (UE) 2016/679) et le Règlement européen sur l'intelligence artificielle (Règlement (UE) 2024/1689, dit « AI Act »). Le second est entré en vigueur le 1er août 2024. La majorité de ses dispositions s'applique à compter du 2 août 2026 (Art. 113).
Pour les Délégués à la protection des données (DPO), cette articulation n'est pas une superposition. Elle redéfinit le périmètre d'audit, les obligations documentaires et la nature des analyses d'impact. Le DPO reste mandaté par le RGPD, mais son champ d'action s'étend désormais aux systèmes algorithmiques traités par l'AI Act.
1.1 Définition opérationnelle du « RGPD IA »
Le RGPD régit le traitement des données à caractère personnel. L'AI Act régit la mise sur le marché et l'utilisation des systèmes d'IA selon une approche par niveau de risque. Quand un système d'IA traite des données personnelles, les deux régimes s'appliquent cumulativement. C'est le cas le plus fréquent en PME : recrutement automatisé, scoring client, détection de fraude, chatbot RH.
1.2 Impact sur les responsabilités du DPO
Le DPO conserve ses missions définies par l'Article 39 du RGPD : information, conseil, contrôle, point de contact avec l'autorité. L'AI Act ne crée pas de fonction « DPO IA » distincte. Mais il ajoute des obligations que le DPO doit intégrer dans son plan de contrôle : registre des systèmes IA, FRIA (analyse d'impact sur les droits fondamentaux), supervision humaine, transparence algorithmique.
1.3 Échéances clés pour les PME françaises
| Date | Obligation | Base légale |
|---|---|---|
| 2 février 2025 | Interdictions sur les pratiques d'IA prohibées | Art. 5 AI Act |
| 2 août 2025 | Obligations sur les modèles d'IA à usage général (GPAI) | Art. 53 AI Act |
| 2 août 2026 | Application générale, y compris systèmes à haut risque (Annexe III) | Art. 113 AI Act |
| 2 août 2027 | Systèmes à haut risque intégrés à des produits réglementés (Annexe I) | Art. 113 AI Act |
Pour une cartographie complète des obligations sectorielles, voir notre guide AI Act pour les PME françaises.
2. Obligations spécifiques des DPO sous le RGPD IA
Les obligations du DPO en matière d'IA s'organisent autour de trois piliers : audit, documentation, formation. Ces piliers ne sont pas nouveaux. Leur contenu, lui, est profondément modifié par l'AI Act.
2.1 Audit des traitements IA
L'Article 39, paragraphe 1, point b) du RGPD confie au DPO le contrôle du respect du règlement et de la politique du responsable du traitement. Cet audit doit désormais couvrir les systèmes d'IA classés à haut risque au sens de l'Annexe III de l'AI Act.
Concrètement, l'audit du DPO porte sur :
- la base légale du traitement (Article 6 RGPD) ;
- les mesures de minimisation appliquées aux données d'entraînement ;
- l'existence d'une AIPD documentée (Article 35 RGPD) ;
- l'articulation avec la FRIA quand l'organisation est déployeur d'un système à haut risque (Art. 27 AI Act) ;
- les mesures de supervision humaine effectivement mises en œuvre (Art. 14 AI Act).
2.2 Documentation des impacts sur la vie privée
L'AIPD est l'instrument central. L'Article 35 du RGPD impose sa réalisation quand un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Les systèmes d'IA à haut risque relevant de l'Annexe III de l'AI Act déclenchent quasi-systématiquement cette obligation.
L'AIPD doit contenir, au minimum :
- une description systématique du traitement et des finalités ;
- une évaluation de la nécessité et de la proportionnalité ;
- une évaluation des risques pour les droits et libertés ;
- les mesures envisagées pour traiter ces risques.
Pour les systèmes à haut risque, le DPO coordonne l'AIPD avec la FRIA exigée par l'Art. 27 AI Act. Les deux documents ne se confondent pas, mais ils partagent une partie significative de leur contenu.
2.3 Formation continue
L'Article 39, paragraphe 1, point b) du RGPD impose au DPO de sensibiliser et former le personnel. Cette mission s'étend désormais à la « maîtrise de l'IA » (« AI literacy ») prévue à l'Article 4 de l'AI Act, applicable depuis le 2 février 2025. Le personnel utilisant ou supervisant un système d'IA doit disposer de compétences suffisantes.
3. Les risques de non-conformité pour les DPO
Le DPO n'est pas personnellement sanctionné en cas de manquement du responsable du traitement. Mais l'organisation qui l'emploie l'est, et le défaut de mise en œuvre des recommandations du DPO peut être lourdement sanctionné.
3.1 Cumul des sanctions RGPD et AI Act
| Régime | Plafond financier | Référence |
|---|---|---|
| Manquement RGPD majeur | 20 M€ ou 4 % du CA mondial annuel (le plus élevé) | Art. 83 §5 RGPD |
| Manquement RGPD mineur | 10 M€ ou 2 % du CA mondial annuel | Art. 83 §4 RGPD |
| Pratiques d'IA prohibées | 35 M€ ou 7 % du CA mondial annuel | Art. 99 §3 AI Act |
| Manquements aux obligations haut risque | 15 M€ ou 3 % du CA mondial annuel | Art. 99 §4 AI Act |
| Informations inexactes aux autorités | 7,5 M€ ou 1 % du CA mondial annuel | Art. 99 §5 AI Act |
Pour le détail des sanctions et un calculateur d'exposition, voir notre analyse des sanctions AI Act pour les PME.
3.2 Sanctions complémentaires
Au-delà des amendes administratives, les manquements peuvent entraîner :
- des injonctions de mise en conformité par la CNIL ou l'autorité de surveillance du marché ;
- des limitations ou suspensions de traitement (Art. 58 §2 RGPD) ;
- le retrait du système d'IA du marché (Art. 79 AI Act) ;
- des actions civiles en réparation des personnes concernées (Art. 82 RGPD).
3.3 Risque réputationnel
La CNIL publie ses décisions de sanction. Pour une PME, une décision publique de sanction peut affecter durablement la confiance des clients, partenaires et investisseurs. Le DPO doit l'intégrer dans son argumentaire interne quand il défend un budget de mise en conformité.
Sécurisez votre conformité RGPD × AI Act
Pack documentaire regulia : AIPD, FRIA, registre IA, politiques de supervision humaine. Modèles maintenus à jour selon les dernières lignes directrices CNIL et AI Office EU.
Demander le pack documentaire4. Outils de conformité pour les DPO
Le DPO dispose de plusieurs catégories d'outils. Aucun ne dispense d'un travail d'adaptation au contexte. Ils accélèrent en revanche fortement la mise en œuvre.
4.1 Référentiels publics
| Ressource | Fournisseur | Usage principal |
|---|---|---|
| Fiches pratiques IA | CNIL | Cadrage juridique des traitements IA |
| Logiciel PIA | CNIL | Conduite de l'AIPD |
| AI Act Service Desk | Commission européenne | Questions sur le périmètre AI Act |
| Lignes directrices AI Office | Commission européenne | Interprétation harmonisée |
| Norme ISO/IEC 42001:2023 | ISO | Système de management de l'IA |
| Norme ISO/IEC 23894:2023 | ISO | Gestion du risque IA |
4.2 Documentation interne
Le DPO doit constituer ou compléter trois corpus documentaires :
- Registre des activités de traitement (Art. 30 RGPD) enrichi pour identifier les traitements adossés à un système d'IA.
- Registre des systèmes d'IA distinct, alimenté en amont du déploiement, mentionnant la classification de risque AI Act.
- Bibliothèque d'AIPD et de FRIA versionnée, avec dates de revue.
Notre glossaire RGPD × AI Act clarifie les termes clés employés dans ces documents.
4.3 Outillage opérationnel
Au-delà des modèles, le DPO peut recourir à :
- des plateformes de gestion des risques IA pour le suivi des contrôles ;
- des outils d'évaluation de biais des modèles (test de parité, audit d'équité) ;
- des solutions de traçabilité des données d'entraînement.
Le choix doit être documenté et justifié dans le cadre du principe de responsabilité (Art. 5 §2 RGPD).
5. Rôle du DPO dans la mise en œuvre
Le DPO n'est pas le maître d'œuvre de la conformité. Il en est le garant indépendant. Cette distinction structure l'ensemble de son intervention sur les projets IA.
5.1 Transparence des algorithmes
L'Article 13 et l'Article 14 du RGPD imposent une information claire aux personnes concernées en cas de décision automatisée. L'Article 22 RGPD encadre les décisions individuelles automatisées. L'AI Act renforce ces exigences pour les systèmes à haut risque (Art. 13 AI Act, transparence et information de l'utilisateur).
Le DPO contrôle que :
- les mentions d'information sont complètes, accessibles et compréhensibles ;
- la logique sous-jacente aux décisions automatisées est explicable au niveau requis ;
- les modalités d'exercice des droits sont effectives.
5.2 Gestion des droits des personnes
Les systèmes d'IA compliquent l'exercice de plusieurs droits :
- Droit d'accès (Art. 15 RGPD) : la donnée d'entraînement, une fois intégrée à un modèle, n'est pas toujours restituable en tant que telle.
- Droit à l'effacement (Art. 17 RGPD) : le « désapprentissage » d'un modèle reste techniquement complexe.
- Droit à la limitation (Art. 18 RGPD) : à arbitrer avec les contraintes de stabilité du modèle.
- Droit d'opposition aux décisions automatisées (Art. 22 RGPD) : nécessite un dispositif humain de réexamen.
Le DPO documente les procédures internes traitant ces cas, conformément à l'Article 12 §3 RGPD (réponse sous un mois).
5.3 Coordination avec les équipes techniques
Le DPO travaille en interface avec le RSSI, les responsables IA et les directions métier. Pour les systèmes à haut risque, il intervient à chaque étape du cycle de vie défini par l'AI Act : conception, développement, mise sur le marché, déploiement, surveillance post-marché (Art. 72 AI Act).
6. Bonnes pratiques pour les DPO
Les bonnes pratiques tirées des contrôles CNIL et des lignes directrices européennes convergent vers quelques principes opérationnels.
6.1 Programmation d'audits réguliers
L'audit ponctuel ne suffit pas. La CNIL recommande, dans ses fiches pratiques publiées sur cnil.fr, une démarche itérative. Une fréquence raisonnable pour une PME se situe entre une revue annuelle complète et des revues trimestrielles ciblées sur les systèmes les plus sensibles.
6.2 Protocoles de sécurité
L'Article 32 du RGPD impose des mesures techniques et organisationnelles appropriées. L'Article 15 de l'AI Act ajoute des exigences de cybersécurité spécifiques pour les systèmes à haut risque : robustesse, exactitude, résilience aux tentatives de manipulation. Le DPO s'appuie sur le RSSI pour vérifier l'effectivité de ces mesures.
6.3 Rapports d'impact périodiques
Un rapport d'impact annuel destiné à la direction renforce la position du DPO. Il doit inclure :
- l'inventaire des systèmes IA déployés ou en projet ;
- les AIPD réalisées et leurs conclusions ;
- les incidents constatés et les mesures correctives ;
- l'analyse des évolutions réglementaires.
Préparez votre audit RGPD IA 2026
regulia accompagne les DPO de PME françaises avec des modèles d'audit, des trames d'AIPD enrichies AI Act et des registres conformes Art. 30 RGPD × AI Act.
Recevoir un devis personnalisé7. Ressources et formations disponibles
L'écosystème de formation pour les DPO s'est densifié depuis 2024. La sélection ci-dessous privilégie les sources institutionnelles.
7.1 Sources institutionnelles
| Ressource | Format | Accès |
|---|---|---|
| Fiches pratiques IA CNIL | Documentation écrite | cnil.fr |
| AI Act Service Desk | FAQ et questions ouvertes | ai-act-service-desk.ec.europa.eu |
| Lignes directrices AI Office EU | Documents officiels | digital-strategy.ec.europa.eu |
| Guide Cigref AI Act janvier 2025 | Document de référence | cigref.fr [à vérifier disponibilité publique] |
| Guide Numeum AI Act mars 2025 | Document de référence | numeum.fr [à vérifier disponibilité publique] |
7.2 Normes ISO mobilisables
Trois normes structurent une démarche robuste :
- ISO/IEC 42001:2023 — système de management de l'intelligence artificielle ;
- ISO/IEC 23894:2023 — gestion du risque appliquée à l'IA ;
- ISO/IEC 27001:2022 — système de management de la sécurité de l'information.
Pour la liste complète des sources mobilisées par regulia, voir notre page sources officielles.
7.3 Sectoriels
Selon le secteur, le DPO consulte également les positions de l'ACPR (services financiers), de l'ANSM (santé), de la HAS (santé), de l'ARCEP (communications électroniques), de l'ARCOM (services audiovisuels et numériques) ou de la DGCCRF (protection du consommateur).
8. Étapes clés pour se préparer en 2026
Un plan de mise en conformité réaliste pour une PME se déploie sur 12 à 18 mois. La séquence suivante est éprouvée auprès des organisations accompagnées par regulia.
8.1 Cartographie initiale (mois 1 à 3)
- Recenser tous les systèmes d'IA en usage, y compris les outils SaaS intégrant de l'IA générative.
- Classifier chaque système selon l'AI Act : prohibé, haut risque, risque limité, risque minimal.
- Identifier la qualité de l'organisation : fournisseur, déployeur, importateur, distributeur (Art. 3 AI Act).
- Pour chaque traitement, vérifier la base légale RGPD (Art. 6).
8.2 Mise à niveau documentaire (mois 4 à 9)
- Mettre à jour le registre des activités de traitement (Art. 30 RGPD).
- Constituer le registre des systèmes d'IA.
- Réaliser ou actualiser les AIPD (Art. 35 RGPD).
- Pour les systèmes à haut risque, conduire les FRIA (Art. 27 AI Act).
- Réviser les politiques internes : usage de l'IA, supervision humaine, gestion des incidents.
8.3 Mise en œuvre opérationnelle (mois 10 à 15)
- Former le personnel à la maîtrise de l'IA (Art. 4 AI Act).
- Activer les contrôles techniques : journalisation, traçabilité, supervision humaine.
- Tester les procédures d'exercice des droits.
- Préparer la procédure de notification de violation (Art. 33 RGPD) adaptée aux incidents IA.
8.4 Surveillance post-déploiement (à partir du mois 15)
- Mettre en place le suivi post-commercialisation pour les fournisseurs de systèmes haut risque (Art. 72 AI Act).
- Conduire les revues périodiques d'AIPD et FRIA.
- Intégrer les retours d'incident dans le plan d'amélioration continue.
9. FAQ
Quelles sont les principales obligations du RGPD IA pour les DPO ?
Le DPO conserve les missions de l'Article 39 RGPD : information, conseil, contrôle, coopération avec la CNIL. L'AI Act y ajoute des contrôles sur les systèmes d'IA à haut risque : revue de la FRIA (Art. 27), vérification de la supervision humaine (Art. 14), contrôle de la transparence (Art. 13). Le DPO doit également veiller à la mise en œuvre de la maîtrise de l'IA prévue à l'Art. 4 AI Act.
Quelles sont les sanctions en cas de non-conformité ?
Les régimes se cumulent. Pour les manquements RGPD majeurs, l'Article 83 §5 prévoit jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour les pratiques d'IA prohibées, l'Article 99 §3 de l'AI Act monte à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Les manquements aux obligations sur les systèmes à haut risque sont sanctionnés jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires (Art. 99 §4).
Quels outils peuvent aider les DPO à assurer la conformité ?
Le logiciel PIA de la CNIL reste la référence pour l'AIPD. Les fiches pratiques IA de la CNIL fournissent un cadrage opérationnel. Pour la documentation AI Act, les modèles de registre des systèmes d'IA et les trames de FRIA sont indispensables. Les normes ISO/IEC 42001:2023, 23894:2023 et 27001:2022 structurent une démarche de management.
Quand doit-on commencer à se préparer pour 2026 ?
Dès maintenant. Les interdictions de l'Art. 5 AI Act s'appliquent depuis le 2 février 2025. Les obligations sur les modèles GPAI s'appliquent depuis le 2 août 2025. Les obligations sur les systèmes à haut risque s'appliqueront au 2 août 2026 (Art. 113 AI Act). Une PME qui démarre tardivement ne disposera pas du temps nécessaire pour cartographier, documenter et former.
Où trouver des ressources fiables ?
Les sources institutionnelles priment : cnil.fr pour la doctrine française, ai-act-service-desk.ec.europa.eu pour les questions d'interprétation, eur-lex.europa.eu pour le texte officiel des règlements. Les guides Cigref et Numeum apportent un éclairage opérationnel sectoriel. Les modèles documentaires regulia accélèrent la production interne sans se substituer à l'analyse du DPO.
10. Sources officielles
- Règlement (UE) 2016/679 (RGPD), texte consolidé : eur-lex.europa.eu
- Règlement (UE) 2024/1689 (AI Act), texte consolidé : eur-lex.europa.eu/eli/reg/2024/1689
- AI Act Service Desk, Commission européenne : ai-act-service-desk.ec.europa.eu
- Fiches pratiques IA, CNIL : cnil.fr/fr/les-fiches-pratiques-ia
- Logiciel PIA, CNIL : cnil.fr
- ISO/IEC 42001:2023, système de management de l'IA
- ISO/IEC 23894:2023, gestion du risque IA
- ISO/IEC 27001:2022, sécurité de l'information
Pour aller plus loin, consultez nos pages internes : AI Act pour les PME françaises, Sanctions AI Act et calculateur d'exposition, Glossaire RGPD × AI Act, Sources officielles regulia.
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.