AI Act vs RGPD : différences, complémentarités et obligations cumulées pour les PME
Mis à jour le 15 mai 2026 · 10 min de lecture · Sources : règlement UE 2024/1689, RGPD, CNIL, AI Office
Beaucoup de PME pensent avoir déjà "fait le sujet conformité" parce qu'elles tiennent un registre de traitements, ont désigné un DPO et savent répondre à une demande RGPD. Cette maturité est précieuse, mais elle ne suffit plus. En 2026, le cadre européen de l'IA et celui de la protection des données se cumulent. Autrement dit, un projet peut être acceptable au regard d'un texte et insuffisamment préparé au regard de l'autre.
C'est particulièrement vrai pour les PME qui utilisent des outils tiers : chatbot RH, scoring commercial, analyse documentaire, moteur d'aide à la décision, copilote support ou automatisation de dossiers. Le RGPD regarde principalement les données personnelles et les droits des personnes. L'AI Act regarde le système d'IA, son niveau de risque, ses domaines d'usage, la supervision humaine et la preuve documentaire associée.
L'enjeu n'est donc pas de choisir entre AI Act et RGPD, mais de comprendre comment les deux se complètent. Pour une PME, cette lecture croisée est la seule manière d'éviter les angles morts avant août 2026.
Tableau comparatif : AI Act et RGPD ne parlent pas de la même chose
| Critère | RGPD | AI Act |
|---|---|---|
| Objet | Données personnelles | Systèmes IA |
| Entrée en vigueur | Mai 2018 | Août 2024 / Août 2026 |
| Sanctions max | 4% CA mondial | 7% CA mondial |
| Autorité FR | CNIL | CNIL + AI Office |
| Registre | Registre traitements | Registre usages IA |
Ce tableau résume le point essentiel : les deux règlements n'ont ni le même objet, ni la même porte d'entrée. Le RGPD pose les bases de licéité, minimisation, sécurité, droits des personnes et responsabilité sur les traitements de données. L'AI Act introduit une couche supplémentaire, centrée sur la classification des systèmes d'IA, les usages haut risque, la transparence et les obligations propres au déployeur.
Les convergences : DPIA, registres, accountability et preuve
Les PME ont tout intérêt à voir les convergences plutôt que les doublons. Le premier point commun est l'accountability : dans les deux cas, il ne suffit pas d'affirmer que l'on fait attention ; il faut pouvoir démontrer ses choix. Le registre de traitements du RGPD et le registre des usages IA jouent ainsi un rôle comparable : ils transforment la conformité en matière pilotable.
Deuxième convergence, l'analyse d'impact. Côté RGPD, la DPIA permet d'évaluer les risques pour les droits et libertés des personnes. Côté AI Act, l'approche par le risque impose de regarder l'effet du système sur les personnes, la robustesse, les biais, la supervision humaine et les conséquences d'une erreur. Dans un projet RH ou scoring, ces deux lectures doivent être conduites en parallèle, sinon l'évaluation reste bancale.
Troisième convergence, la gouvernance. Un projet IA bien tenu repose sur des rôles clairs, une documentation versionnée, une revue fournisseurs et une procédure de remontée des incidents. Ce sont des réflexes déjà familiers aux équipes matures sur le RGPD. L'AI Act ne les remplace pas ; il les étend à la couche algorithmique et au niveau de risque du système.
J-80 avant l'échéance AI Act
Évaluez votre conformité en 10 minutes avec notre Quick Check gratuit.
Commencer l'évaluation gratuite →Les différences clés : objet, sanctions, autorités et rôle du déployeur
La différence la plus visible tient à l'objet. Une entreprise peut utiliser un système d'IA sans données personnelles, et donc avoir peu d'enjeux RGPD, tout en entrant dans la logique AI Act si ce système influence une décision sensible. À l'inverse, un traitement de données personnelles sans IA reste hors du champ AI Act mais pleinement soumis au RGPD. Les deux périmètres se croisent souvent, mais jamais parfaitement.
Deuxième différence, l'échelle des sanctions. Le RGPD culmine à 4% du chiffre d'affaires mondial ; l'AI Act peut atteindre 7% du CA mondial pour certaines infractions liées aux pratiques interdites, 3% pour d'autres violations et 1% pour les fausses informations selon le barème synthétique retenu dans les guides opérationnels 2026. Cela change la lecture comité de direction : la conformité IA devient un sujet de risque d'entreprise, pas seulement un sujet vie privée.
Troisième différence, la gouvernance institutionnelle. En France, la CNIL reste naturellement un acteur central dès que des données personnelles sont traitées. Mais l'AI Act s'inscrit aussi dans un cadre européen coordonné avec l'AI Office et les autorités compétentes nationales. Une PME doit donc préparer des preuves qui parlent à la fois protection des données et gouvernance IA.
Enfin, le rôle de déployeur est bien plus explicite dans l'AI Act. La PME qui intègre un outil IA tiers n'est pas un simple utilisateur passif. Elle doit vérifier la conformité avant déploiement, tenir un registre d'usages, informer les personnes concernées lorsque nécessaire, mettre en place une surveillance humaine et coopérer avec l'autorité compétente.
Comment gérer les deux conformités dans une PME sans doubler les efforts
La bonne méthode consiste à travailler à partir des cas d'usage, pas à partir des textes. Prenez chaque système IA utilisé par l'entreprise et posez les questions suivantes : quelles données traite-t-il, quelle décision influence-t-il, à quelles personnes s'applique-t-il, quel service le pilote, quel fournisseur le documente et quelle preuve interne existe aujourd'hui ? À partir de là, vous pouvez déclencher les bons modules : registre RGPD, DPIA, registre AI Act, demande contractuelle au fournisseur, procédure de supervision humaine.
Cette approche évite deux écueils. Le premier est le travail en silos : le DPO traite les données, la DSI traite l'outil, les RH traitent l'usage, et personne ne voit le système complet. Le second est la surproduction documentaire : politiques générales, chartes internes et clauses standards qui ne répondent à aucun cas d'usage réel. La conformité efficace est celle qui part des flux métier et recompose ensuite les obligations.
Le contexte 2026 renforce encore cet impératif. Le règlement UE 2024/1689 est en vigueur depuis le 1er août 2024, le calendrier haut risque est piloté à court terme, et l'accord politique du Digital Omnibus du 7 mai 2026 promet des simplifications pour les PME élargies jusqu'à 750 salariés. Cela va dans le bon sens, mais ne change pas la règle de base : sans cartographie et sans gouvernance croisée AI Act-RGPD, la PME reste exposée.
Matrice pratique : qui fait quoi entre DPO, DSI, RH et direction
Dans les PME, les échecs de conformité viennent rarement d'un manque de bonne volonté. Ils viennent surtout d'une mauvaise répartition des rôles. Le DPO sait cadrer la transparence, la base juridique, la conservation et la DPIA, mais il n'a pas toujours la main sur les contrats SaaS ou l'architecture des outils. La DSI comprend les intégrations, les journaux, les versions et les dépendances fournisseur, mais elle ne porte pas toujours la relation aux personnes concernées. Les RH ou les équipes métier connaissent l'usage réel, mais n'ont pas toujours la lecture réglementaire. Et la direction seule peut arbitrer entre rapidité, risque et budget.
La bonne méthode consiste à formaliser une matrice simple. Le DPO pilote les points RGPD et la cohérence documentaire. La DSI centralise la cartographie applicative, les intégrations et les exigences techniques adressées au fournisseur. Les métiers décrivent la finalité, les personnes concernées et la place réelle de l'humain dans la décision. La direction valide les usages acceptables, tranche les cas sensibles et garantit que la conformité ne reste pas un sujet purement déclaratif. Cette matrice évite qu'un outil IA soit déployé parce que "tout le monde pensait que quelqu'un d'autre regardait".
Lorsqu'elle est bien organisée, cette gouvernance croisée réduit les efforts au lieu de les multiplier. Le registre des usages AI Act nourrit la mise à jour du registre de traitements. La revue fournisseur sert à la fois la sécurité, le RGPD et l'AI Act. La DPIA alimente l'analyse de risques IA. Les procédures d'incident et de supervision humaine consolident à la fois la protection des personnes et la maîtrise du système. C'est précisément cette logique qui permet à une PME d'absorber deux règlements sans doubler sa charge.
Questions fréquentes
Le RGPD suffit-il si mon entreprise utilise déjà des données personnelles ?
Non. Le RGPD encadre les traitements de données personnelles, tandis que l'AI Act cible les systèmes d'IA et leur niveau de risque. Une PME peut donc être conforme sur un volet données et insuffisamment préparée sur la gouvernance de l'IA.
Quand faut-il faire une DPIA dans un projet IA ?
Dès qu'un usage implique des données personnelles dans un contexte susceptible de créer un risque élevé pour les personnes. En pratique, les usages RH, scoring, surveillance ou décision sensible justifient une revue croisée RGPD et AI Act.
Qui pilote ce double chantier dans une PME ?
Le meilleur schéma est souvent un binôme DPO-DSI ou DPO-direction produit, avec arbitrage de direction. Le sujet est trop transversal pour rester isolé dans une seule équipe.
Pourquoi faut-il un registre IA si j'ai déjà un registre de traitements ?
Parce que les objets ne sont pas identiques. Le registre RGPD décrit des traitements de données ; le registre AI Act documente les usages IA, leur niveau de risque, le rôle de l'entreprise, les preuves de conformité et la supervision humaine.
Sources
- Règlement UE 2024/1689 (JOUE L 2024/1689)
- Règlement général sur la protection des données
- CNIL - analyses d'impact, IA et conformité
- European AI Office - cadre de gouvernance de l'AI Act
Prêt à évaluer votre conformité AI Act ?
10 minutes · Gratuit · Rapport personnalisé immédiat
Démarrer l'évaluation gratuite →Audit complet PDF 16 pages disponible à 199€