← Ressources formation

AI Act & RGPD — Comment ça s'articule ?

Formation FCE Académie · Catherine Selosse · CS Consulting Stratégique

Les deux textes côte à côte
RGPD
En vigueur depuis mai 2018
Objet : protège les données personnelles des individus
Qui est concerné : toute organisation qui traite des données de personnes physiques dans l'UE
Approche : uniforme — mêmes règles pour tous les traitements
Obligations clés : base légale, consentement, droits des personnes, registre des traitements
Autorité : CNIL en France
+
complémentaires
pas concurrents
AI Act
Publié juillet 2024 — application progressive — Omnibus mai 2026 : haut risque repoussé à déc. 2027
Objet : encadre les systèmes d'IA selon leur niveau de risque
Qui est concerné : toute organisation qui développe, déploie ou utilise de l'IA dans l'UE
Approche : par niveaux de risque — obligations proportionnelles au danger
Obligations clés : classification, transparence, documentation, supervision humaine, formation équipes
Autorité : CNIL + ARCOM + ANSSI selon les secteurs

Ce qu'ils ont en commun — vos obligations croisées

Analyse d'impact (AIPD) Le RGPD l'exige pour les traitements à risque. L'AI Act l'élargit aux droits fondamentaux. Une seule analyse peut couvrir les deux.
Registre des usages RGPD : registre des traitements de données. AI Act : cartographie des outils IA utilisés. Fusionnez-les en un seul document.
Transparence obligatoire Vos clients et collaborateurs doivent savoir quand l'IA est utilisée sur leurs données. Les deux textes l'exigent.
Formation des équipes L'AI Act impose l'AI Literacy depuis février 2025. Le RGPD exigeait déjà la sensibilisation aux données. Même action, double conformité.
Calendrier — Ce qui est déjà en vigueur
Mai 2018
RGPD en vigueurToutes les obligations RGPD s'appliquent. Vos contrats clients, vos données RH, vos formulaires en ligne — tout est concerné.
Août 2024
AI Act publié au Journal officiel UELe texte entre en vigueur. L'application est progressive mais le cadre existe. Vous êtes concernée.
Fév. 2025 ✓
Interdictions en vigueur — MAINTENANTIA à risque inacceptable interdites. Obligation d'AI Literacy pour vos équipes déjà applicable. Vous devez former vos collaborateurs aux usages responsables de l'IA.
Août 2025
Modèles IA générale (GPAI)Claude, ChatGPT, Gemini sont des GPAI. Les fournisseurs ont des obligations de transparence et documentation. Vous devez savoir quels modèles vous utilisez et à quelles fins.
7 mai 2026 ✓
Digital Omnibus — accord provisoireReport des obligations haut risque du 2 août 2026 au 2 décembre 2027. Les interdictions (fév. 2025) et l'AI Literacy restent en vigueur. La fenêtre est ouverte — utilisez-la maintenant.
Déc. 2027
Haut risque — application repousséeAccord Omnibus du 7 mai 2026 : les obligations haut risque (Annexe III) sont reportées au 2 décembre 2027. Ce n'est pas une raison de reporter — c'est une fenêtre d'avance à saisir maintenant.
Les 4 niveaux de risque AI Act — Où se situent vos outils ?

🚫 Risque inacceptable

Interdit depuis fév. 2025

Notation sociale des individus, manipulation psychologique, surveillance biométrique de masse, reconnaissance faciale temps réel dans les espaces publics.

→ Vous ne les utilisez probablement pas. Mais vérifiez vos outils RH.

⚠ Risque élevé

Obligations strictes dès déc. 2027 (Omnibus)

IA de recrutement (tri de CV automatisé), scoring de crédit, outils d'évaluation scolaire, IA dans la santé.

→ Si vous utilisez un outil de recrutement avec IA : documentation et supervision humaine obligatoires.

ℹ Risque limité

Transparence obligatoire

Chatbots, assistants IA, outils qui génèrent du contenu. Vos interlocuteurs doivent savoir qu'ils parlent à une IA.

→ Si vous utilisez Claude pour répondre à des clients : mentionnez-le dans vos CGV.

✓ Risque minimal

Pas d'obligation spécifique

IA de traduction, filtres antispam, suggestions de contenu, outils de productivité classiques.

→ Claude pour rédiger un mail ou faire une veille = risque minimal. Mais le RGPD s'applique toujours si données perso.

Ce que vous risquez si vous ne faites rien
35 M€ ou 7% CA
AI Act — IA à risque inacceptable
15 M€ ou 3% CA pour les systèmes haut risque non conformes.
7,5 M€ ou 1% CA pour les manquements de transparence.

Note : pour une TPE, c'est le pourcentage qui s'applique — pas le montant fixe.
20 M€ ou 4% CA
RGPD — violations graves
10 M€ ou 2% CA pour les violations secondaires.
+ Mise en demeure, suspension d'activité, obligation de notification aux personnes concernées.

67% des cyberattaques touchent des TPE/PME (ANSSI 2024).
La réalité pour une TPE : Vous ne serez pas la première cible des régulateurs. Mais un incident client, une fuite de données, un concurrent qui vous dénonce — et la CNIL peut être saisie. La conformité protège aussi votre réputation.
Ce que vous faites concrètement — les 5 actions TPE
01
Cartographiez vos outils IA Listez tous les outils IA utilisés dans votre structure (y compris par vos collaborateurs). C'est votre registre AI Act + RGPD en un seul document.
02
Classez par niveau de risque Pour chaque outil : vert (minimal), orange (limité), rouge (élevé). Vérifiez si vos outils RH entrent dans la catégorie haut risque.
03
Rédigez 3 règles d'usage Quelles données ne sortent jamais. Quels outils sont autorisés. Comment informer vos clients quand l'IA est utilisée.
04
Formez vos équipes (AI Literacy) Obligatoire depuis février 2025. Une session d'1h sur les bons usages et les risques suffit pour une TPE. C'est ce qu'on fait ce soir.
05
Mettez à jour vos CGV / mentions légales Indiquez si vous utilisez l'IA dans vos processus clients. Une phrase suffit. C'est la transparence que la loi exige.
Sources officielles
Texte officiel AI Act — Règlement UE 2024/1689 Le texte complet, résumés et outils de conformité pour PME. CNIL CNIL — Questions-réponses AI Act Articulation RGPD / AI Act expliquée par l'autorité française. Sécurité ANSSI — Recommandations IA générative Guide sécurité officiel pour l'usage d'IA générative en entreprise. Guide pratique Leto Legal — Guide AI Act PME Obligations, calendrier, sanctions — version accessible pour non-juristes.
CS CONSULTING STRATÉGIQUE  ·  Catherine Selosse  ·  FCE Académie 2026