C’est une des confusions les plus répandues chez les dirigeants que j’accompagne : beaucoup pensent que l’AI Act remplace le RGPD, ou qu’il faut choisir lequel des deux regarder. Ni l’un ni l’autre. Les deux textes s’appliquent en même temps, chacun sur son terrain, et c’est la même autorité qui les contrôle en France. Comprendre qui fait quoi vous évite à la fois la panique et les angles morts.
AI Act ou RGPD : lequel s’applique à mon usage de l’IA ?
Les deux, en même temps. La CNIL l’a écrit noir sur blanc : le règlement sur l’IA ne remplace pas le RGPD, il le complète. Le RGPD encadre le traitement des données personnelles ; l’AI Act encadre le système d’IA lui-même, selon son niveau de risque. Un même projet peut donc relever des deux, et vous ne pouvez pas être en règle avec l’un pour vous dispenser de l’autre.
Ce que le RGPD encadrait déjà
Le RGPD n’a pas attendu l’IA. Dès que votre outil traite des données personnelles (un nom, un CV, un mail client, une voix), il impose ce qu’il a toujours imposé :
- Une base légale claire pour le traitement.
- La minimisation : ne collecter que ce qui est nécessaire.
- Une analyse d’impact (AIPD) dès qu’un traitement présente un risque élevé pour les personnes.
- Un encadrement strict des décisions entièrement automatisées (article 22) : une personne ne peut pas être jugée par une machine seule, sans recours humain.
- Les droits des personnes (accès, rectification, effacement) et une durée de conservation limitée.
Si vous mettez des données clients dans un outil d’IA, c’est d’abord ce cadre-là qui s’applique, exactement comme avant.
Ce que l’AI Act ajoute par-dessus
L’AI Act regarde ailleurs : non pas la donnée, mais le système. Et il s’applique parfois là où le RGPD ne dit rien. Un visuel de synthèse sans aucune donnée personnelle échappe au RGPD, mais reste soumis à l’obligation de transparence de l’AI Act, que je détaille dans l’article sur l’article 50. Ce que le règlement IA ajoute :
- Une classification par risque (interdit, haut risque, transparence, minimal) qui commande vos obligations.
- Des obligations de transparence sur les contenus générés et les chatbots.
- Un régime lourd pour les systèmes à haut risque (documentation, contrôle humain, journaux).
- Une obligation de littératie (article 4) : votre équipe doit comprendre l’outil qu’elle utilise, le sujet que je traite ici.
Là où les deux se recouvrent
C’est le point utile à retenir : sur certains sujets, les deux textes se rejoignent, et vous pouvez traiter une seule fois ce qui les satisfait tous les deux.
- Les décisions automatisées : l’article 22 du RGPD et le régime « haut risque » de l’AI Act se cumulent (typiquement, un tri de CV ou un scoring client).
- L’analyse d’impact : l’AIPD du RGPD et l’évaluation des risques de l’AI Act partagent une grande partie de leur contenu (description du traitement, finalité, mesures de réduction du risque). Bien menée, une seule démarche nourrit les deux.
- La transparence : informer les personnes qu’une IA intervient satisfait un principe commun aux deux textes.
Un exemple concret : le tri de CV
Prenez le cas le plus parlant. Un logiciel qui note des candidats cumule les deux régimes de façon stricte : le RGPD (données personnelles des candidats, décision automatisée de l’article 22, AIPD) et l’AI Act (usage classé à haut risque en annexe III, obligations de l’employeur déployeur). Aucun des deux ne suffit seul. C’est exactement ce que je démonte dans l’article sur l’IA et le recrutement.
Bonne nouvelle : un seul interlocuteur en France
Vous n’avez pas deux gendarmes à gérer. En France, la CNIL est à la fois l’autorité du RGPD et l’autorité de référence désignée pour l’AI Act (loi dite DDADUE, volet numérique validé par le Sénat le 17 février 2026). Elle a d’ailleurs publié plusieurs recommandations sur la manière de concilier IA et protection des données. Un seul cadre de dialogue, donc, pour les deux textes.
Par où commencer ? Par le même geste que pour le reste de l’AI Act : une cartographie simple de vos usages d’IA (qui utilise quoi, sur quelles données, pour quelle finalité) et une charte IA d’une page qui pose vos règles. Ce document sert les deux régimes à la fois. Si vous voulez y voir clair sur votre situation précise, RGPD et AI Act mêlés, c’est ce qu’on regarde en trente minutes au diagnostic gratuit.
Sources : Entrée en vigueur du règlement IA, questions-réponses de la CNIL · Développement des systèmes d’IA, recommandations de la CNIL · Règlement (UE) 2024/1689, EUR-Lex · Règlement (UE) 2016/679 (RGPD), EUR-Lex.