Comprendre l'articulation : trois niveaux
Les deux règlements ont des champs d'application différents qui se recouvrent partiellement.
Champ d'application du RGPD
Le RGPD s'applique à tout traitement de données personnelles par un responsable établi dans l'UE ou ciblant des personnes en UE. Il impose : base légale (article 6), protection renforcée des données sensibles (article 9), droit à l'information, droit d'accès, droit d'opposition, droit à l'effacement, droit à l'explication des décisions automatisées (article 22). La sanction maximale est de 20 M€ ou 4 % du CA mondial.
Champ d'application de l'AI Act
L'AI Act s'applique aux systèmes d'IA mis sur le marché ou en service dans l'UE, quelle que soit la nature des données traitées. La pertinence d'une donnée personnelle dans l'entraînement ou la sortie n'est pas un critère : un système qui ne traite aucune donnée personnelle (ex. maintenance prédictive sur capteurs industriels) reste soumis à l'AI Act s'il entre en annexe III. Sanction maximale : 35 M€ ou 7 % CA pour les pratiques interdites, 15 M€ ou 3 % pour les manquements haut risque.
Zone de superposition
Quand un système d'IA traite des données personnelles et entre en haut risque (annexe III), les deux régimes se cumulent. C'est le cas typique du scoring de CV (annexe III §4 + données RH RGPD), du scoring crédit (annexe III §5 + données financières RGPD), de la dictée médicale (haut risque potentiel + RGPD article 9 sur données de santé). Voir notre hub AI Act pour le détail des cas.
Cas n°1 — Scoring de CV automatisé
Question RGPD
Le traitement repose-t-il sur une base légale valide ? La décision automatisée (article 22 RGPD) est-elle conforme : information préalable du candidat, droit d'intervention humaine, droit de contester ? Y a-t-il une AIPD au sens de l'article 35 ? La CNIL a publié plusieurs fiches sur le recrutement et l'IA qui détaillent ces obligations.
Question AI Act
Le système est-il classé haut risque au sens de l'annexe III §4(a) du règlement (UE) 2024/1689 ? Si oui : documentation annexe IV obligatoire, supervision humaine effective (article 14), FRIA (article 27), enregistrement dans la base de données européenne (article 49), plan article 4 (AI literacy).
Pratique IAPRO
Sur les cabinets RH que j'ai audités, le réflexe est de produire une AIPD combinée RGPD-FRIA consolidée. Volume : 35-50 pages. Validation conjointe CNIL (déclarative) et DPO interne. C'est la méthode recommandée par le pôle conformité de notre partenaire Regulia.fr.
Cas n°2 — Chatbot client grand public
Question RGPD
Si le chatbot enregistre des conversations (cas typique), traitement de données personnelles avec base légale = exécution du contrat ou intérêt légitime. Information sur la finalité, durée de conservation, sous-traitants. Si le chatbot est hébergé hors UE (OpenAI, Anthropic, Google), transferts à examiner article 44 RGPD.
Question AI Act
Article 50 du règlement (UE) 2024/1689 : obligation de transparence — la personne doit être informée qu'elle interagit avec une IA, sauf si c'est évident. Le chatbot n'est en général ni interdit ni haut risque, mais à risque limité. Les contenus générés doivent être signalés comme tels (output watermarking imposé aux fournisseurs GPAI).
Pratique IAPRO
Un encart visible en début de conversation : « Vous échangez avec un assistant IA — vous pouvez à tout moment demander un conseiller humain ». Plus une politique de confidentialité actualisée. Pour les sujets sensibles (santé, finance), je recommande un assistant souverain on-premise basé sur Mistral 7B-Instruct fine-tuné.
Cas n°3 — Dictée médicale en cabinet
Question RGPD
Données de santé = article 9 RGPD, base légale renforcée (article 9(2)(h) pour la médecine préventive et le diagnostic). Hébergement de Données de Santé (HDS) certifié obligatoire (référentiel ANS). Secret médical, article L. 1110-4 du code de la santé publique.
Question AI Act
Si la dictée propose un brouillon de diagnostic ou de prescription, possible classement haut risque (article 6 + annexe I si dispositif médical au sens MDR). Sinon, risque limité avec obligation de transparence article 52 et plan article 4 minimal. La HAS publie des recommandations sur l'IA en santé qui convergent avec l'AI Act.
Pratique IAPRO
Pour 3 médecins libéraux que j'accompagne, j'ai installé un serveur on-premise (Mistral Small + Whisper) avec stockage local chiffré. Aucun transfert vers cloud. Plan article 4 de 7h par praticien, charte signée. Coût total : 9 800 € installation + 280 € / mois maintenance. Voir notre future fiche dictée médicale locale.
Cas n°4 — Maintenance prédictive industrielle
Question RGPD
Souvent aucune donnée personnelle traitée (capteurs machines, vibrations, température). Le RGPD est marginal — mais attention si l'opérateur est identifiable via badge ou clavier (alors article 6 RGPD applicable).
Question AI Act
Si la maintenance prédictive est un système d'IA au sens article 3(1), elle entre dans le périmètre AI Act. Classement : généralement risque minimal (annexe III non visée). Obligations légères, principalement art. 4 (plan de formation) et art. 50 (transparence pour les opérateurs).
Pratique IAPRO
Sur les PME industrielles HDF que j'accompagne, on documente un mini-registre AI Act (3 pages), une formation 4h des opérateurs, et c'est tout. Le coût total de conformité reste sous 5 000 €. Voir notre pre-saisie comptable.
Cas n°5 — Scoring crédit bancaire
Question RGPD
Décision entièrement automatisée avec effet juridique pour la personne = article 22 RGPD strictement applicable. Droit à l'information, droit d'obtenir une intervention humaine, droit d'exprimer son point de vue, droit de contester. AIPD obligatoire. Données sensibles si on intègre l'historique judiciaire (interdit par défaut sans base légale renforcée).
Question AI Act
Annexe III §5(b) du règlement : scoring de solvabilité explicitement classé haut risque (sauf vérification basique de fraude). Documentation annexe IV, supervision humaine art. 14, FRIA, enregistrement base européenne, surveillance post-marché. Cumul avec la supervision ACPR sur le risque modèle.
Pratique IAPRO
Triple AIPD/FRIA/dossier ACPR consolidé en un dossier maître de 80-120 pages. C'est la pratique qui se met en place dans les établissements de crédit moyens depuis janvier 2026. Voir notre article détaillé scoring crédit conforme AI Act.
Cas n°6 — Surveillance vidéo IA en entreprise
Question RGPD
Vidéosurveillance = traitement de données biométriques au sens large. Article 6 + article 9 RGPD si reconnaissance faciale ou biométrie comportementale. Information renforcée des salariés (code du travail article L. 1222-4). Consultation CSE obligatoire. Doctrine CNIL stricte.
Question AI Act
Identification biométrique à distance en temps réel dans lieux accessibles au public = pratique interdite article 5 sauf exceptions très limitées (recherche victimes, menace terroriste imminente). Sur les lieux de travail, la détection d'émotions est interdite. La catégorisation biométrique sensible (origine, opinions, orientation sexuelle) est interdite.
Pratique IAPRO
Beaucoup d'entreprises ignorent que leur dispositif anti-vol ou de comptage visiteurs peut tomber sous l'art. 5. Audit obligatoire avant tout nouveau déploiement. Pour un cadrage : voir notre cas d'usage interdits art. 5.
Cas n°7 — Assistant IA juridique en cabinet d'avocats
Question RGPD
Données traitées : dossiers clients = données sensibles (secret professionnel). Base légale : exécution du mandat. Article 6 + secret professionnel (article 226-13 du code pénal). Transferts hors UE interdits sans garanties suffisantes.
Question AI Act
Si le système assiste la rédaction d'actes ou la stratégie procédurale, risque limité à modéré. Mais l'avis CNB du 26 juin 2024 impose une supervision humaine systématique de toute production IA. Plan article 4 renforcé pour les associés et collaborateurs.
Pratique IAPRO
Mistral Small + RAG sur Qdrant en local, avec accès à la base jurisprudence en local. Aucun transfert hors cabinet. Plan article 4 de 21h pour le DPO, 14h pour les collaborateurs, 7h pour les associés. Voir Cabinet d'avocats : due diligence souveraine.
La grille synthétique en un coup d'œil
| Cas | RGPD | AI Act | AIPD | FRIA | Plan art. 4 |
|---|---|---|---|---|---|
| Scoring CV | Art. 22 strict | Annexe III §4 haut risque | Obligatoire | Obligatoire | Renforcé |
| Chatbot | Art. 6 + 44 | Art. 50 transparence | Selon volume | Non | Sensibilisation |
| Dictée médicale | Art. 9 + HDS | Possible haut risque | Obligatoire | Si haut risque | Opérationnel |
| Maintenance prédictive | Souvent NA | Risque minimal | Non | Non | Sensibilisation |
| Scoring crédit | Art. 22 strict | Annexe III §5(b) | Obligatoire | Obligatoire | Renforcé |
| Surveillance vidéo IA | Art. 9 strict | Souvent interdit art. 5 | Si traité | Audit avant déploiement | Audit interne |
| Assistant juridique | Secret pro | Risque limité-modéré | Selon | Non | Renforcé |
La méthode IAPRO en 6 étapes
- Cartographier les systèmes d'IA déployés (registre AI Act art. 60).
- Croiser avec le registre RGPD article 30.
- Qualifier chaque système : catégorie RGPD + catégorie AI Act.
- Conduire AIPD + FRIA consolidées par système haut risque.
- Bâtir le plan article 4 par profil (sensibilisation, opérationnel, expert).
- Installer une architecture souveraine on-premise quand les enjeux le justifient.
Durée moyenne de l'audit complet : 4 à 6 semaines pour une PME, 8 à 12 pour une ETI. Cofinancement Bpifrance Diag Data IA jusqu'à 80 % sur les missions diagnostic — voir bpifrance.fr et notre hub aides.
L'apport du Comité européen de la protection des données
Le Comité européen de la protection des données (EDPB) a publié plusieurs avis sur l'articulation AI Act / RGPD, notamment sur les bases légales pour l'entraînement des modèles, sur le scraping massif et sur l'anonymisation. La CNIL participe activement à ces travaux et publie ses propres lignes directrices nationales — la page IA de la CNIL consolide ces ressources.
FAQ — AI Act vs RGPD en pratique
Une AIPD remplace-t-elle une FRIA AI Act ?
Non. L'AIPD (RGPD article 35) est centrée sur les risques pour les personnes dont les données sont traitées. La FRIA (AI Act article 27) est centrée sur les droits fondamentaux affectés par le système, indépendamment du traitement de données personnelles. Les deux analyses ont des grilles partiellement disjointes — il faut donc soit deux documents séparés, soit un document consolidé couvrant les deux référentiels.
Quel régulateur français contrôle l'articulation des deux régimes ?
La CNIL est désignée coordinatrice nationale pour la protection des droits fondamentaux dans le cadre de l'AI Act. Elle applique une grille unifiée AI Act / RGPD lors des contrôles. La DGCCRF intervient sur la surveillance du marché des produits IA, l'ACPR sur le secteur financier, l'ANSM sur les dispositifs médicaux, l'ARCOM sur les contenus. La CNIL anime le dialogue inter-autorités.
Les sanctions se cumulent-elles vraiment ?
Oui. Pour un même système, l'autorité peut prononcer une sanction RGPD (jusqu'à 4 % CA) et une sanction AI Act (jusqu'à 3 % ou 7 % CA selon nature de l'infraction). La CNIL et l'AI Office coordonnent pour éviter le double comptage du même comportement, mais des infractions distinctes (par exemple manquement art. 22 RGPD et manquement art. 14 AI Act) restent cumulables.
Le RGPD couvre-t-il les biais algorithmiques ?
Indirectement. L'article 22 RGPD impose une intervention humaine sur les décisions automatisées et un droit à l'explication, ce qui contraint à détecter et corriger les biais. Mais le RGPD n'a pas de cadre dédié aux biais comme tel. L'AI Act, lui, traite explicitement la qualité des données d'entraînement (article 10) et la robustesse (article 15). Les deux sont complémentaires.
Un système d'IA sans donnée personnelle est-il hors RGPD ?
Oui, si aucune donnée personnelle n'est traitée à aucune étape (entraînement, inférence, journalisation). En pratique c'est rare — les journaux applicatifs contiennent souvent des identifiants utilisateur. Mais un système purement industriel (maintenance prédictive sur capteurs, contrôle qualité sur images de produits sans humain) peut effectivement être hors RGPD tout en restant dans l'AI Act.
Le RGPD a-t-il préséance sur l'AI Act ?
Non, les deux règlements s'appliquent indépendamment. Le considérant 9 de l'AI Act précise explicitement que le règlement ne modifie pas le RGPD. En cas de divergence opérationnelle (par exemple sur la conservation des logs), il faut respecter les deux régimes — c'est-à-dire suivre la règle la plus protectrice. La CNIL publie des recommandations pour résoudre les cas concrets.
Comment formaliser une AIPD-FRIA combinée ?
J'utilise dans nos missions IAPRO une trame consolidée structurée en 7 sections : description du système, finalité, données traitées, risques pour les personnes (volet RGPD), risques pour les droits fondamentaux (volet AI Act), mesures d'atténuation, plan de surveillance. Volume typique : 35-80 pages. Cette trame est validée par le DPO et le référent IA, signée par la direction.
Les contrôles CNIL prennent-ils en compte l'AI Act dès maintenant ?
Oui. Depuis 2025, les contrôles CNIL intègrent systématiquement la dimension AI Act quand un système d'IA est en cause. Sur les sanctions publiées en 2025-2026, plusieurs visent à la fois le RGPD et l'AI Act. La CNIL publie régulièrement des analyses d'affaires et des fiches pratiques sur la page IA dédiée.
Quelle priorité de chantier en PME ?
Pour une PME démarrant la conformité, je recommande l'ordre suivant : (1) registre des systèmes, (2) audit art. 5 (pratiques interdites), (3) plan article 4 minimal, (4) AIPD-FRIA consolidée sur les systèmes les plus exposés, (5) supervision humaine documentée. Cet ordre couvre 80 % du risque en 3-4 mois. Le reste (documentation annexe IV exhaustive) peut s'étaler sur 6-12 mois.
Faut-il un DPO renforcé ou un référent IA distinct ?
Les deux fonctions peuvent être portées par la même personne en PME, à condition de prévoir une formation 35h pour le profil. En ETI à partir de 250 salariés, je recommande de séparer DPO (RGPD) et référent IA (AI Act + supervision humaine + plan art. 4), tout en assurant une coordination hebdomadaire. Voir notre article Rôle du DPO face à l'AI Act.
Pour aller plus loin avec IAPRO
Vous voulez une grille AI Act / RGPD consolidée sur votre périmètre, avec AIPD-FRIA prêtes à signer et plan article 4 financé OPCO ? Notre formule Audit conformité combiné se livre en 4 à 6 semaines, cofinancement Bpifrance et OPCO inclus. Cadrage initial 30 minutes via le formulaire IAPRO.
Liens utiles
- Hub AI Act IAPRO — analyses complètes
- Hub aides publiques IA — financements de la conformité
- Hub métiers réglementés — RH, santé, finance, juridique
- Calculateur ROI IA
- Sanctions AI Act 2026 — 10 décisions
- Contact IAPRO
- Règlement (UE) 2024/1689 — texte officiel
- CNIL — Intelligence artificielle
- CNIL — IA et la CNIL (doctrine consolidée)
- Comité européen de la protection des données
- ACPR — supervision bancaire et assurance
- Agence du Numérique en Santé — HDS
- Regulia.fr — audit AI Act partenaire IAPRO