L’entrée en application de l’AI Act, le tout premier règlement européen encadrant l’intelligence artificielle, suscite une question de plus en plus fréquente dans les cercles juridiques, tech et conformité :
👉 Est-ce le nouveau RGPD ?
La réponse est simple : non, ce n’est pas une version 2.0 du RGPD, mais oui, c’est une révolution réglementaire tout aussi structurante. Et surtout : les entreprises vont devoir croiser les exigences de l’AI Act et du RGPD dans leurs projets utilisant l’intelligence artificielle.
Le RGPD (Règlement Général sur la Protection des Données) s’intéresse à la protection des données personnelles et impose des obligations fortes aux organisations en matière de transparence, de sécurité, de droit des personnes ou encore de limitation des finalités.
L’AI Act, lui, encadre les usages de l’intelligence artificielle selon une logique de gestion des risques. Le texte ne se limite donc pas à la protection des données, mais couvre un champ plus large incluant la transparence des algorithmes, leur impact éthique ou encore leur efficacité.
L’AI Act introduit une catégorisation des systèmes d’IA en quatre niveaux de risque :
Risque inacceptable : systèmes interdits (ex. : notation sociale de la population).
Risque élevé : systèmes soumis à de lourdes obligations (ex. : recrutement, santé, éducation, etc.).
Risque limité : obligations d’information à l’utilisateur.
Risque minimal : aucune contrainte spécifique.
👉 Oui, même si vous ne développez pas l’IA vous-même.
👉 Oui, même si vous êtes une PME.
👉 Et surtout : oui, même si vous êtes déjà conforme au RGPD.
Les obligations AI Act et RGPD entreprises varient selon :
La finalité du système d’IA (recrutement, sécurité, scoring, etc.)
Le niveau de risque associé au système
Le rôle de votre organisation : fournisseur, déployeur, utilisateur, importateur…
Dans de nombreux cas, vous devrez :
Assurer une analyse d’impact RGPD (AIPD)
Réaliser une évaluation de conformité AI Act
Garantir la qualité des données d’apprentissage
Mettre en œuvre des mesures de transparence
Documenter les tests et la supervision humaine
Les entreprises doivent adopter une approche intégrée qui prend en compte les exigences des deux règlements dès la phase de conception de leurs projets IA.
Cela signifie :
Anticiper la nature des données traitées (personnelles ou non)
Évaluer les risques éthiques, juridiques et techniques
Impliquer les équipes DPO, RSSI, juridiques et techniques
Chez DPO Consulting, nous accompagnons déjà de nombreuses structures confrontées à ces nouveaux enjeux. Notre force : une expertise hybride RGPD / IA, pour des démarches de conformité pragmatiques, sur mesure et alignées sur vos usages.
✅ Élaboration d’évaluations d’impact
✅ Cartographie des risques IA
✅ Stratégie de documentation
✅ Gouvernance de l’IA responsable
L’AI Act ne remplace pas le RGPD, il s’y ajoute. L’enjeu pour les entreprises est désormais clair : développer ou utiliser une IA, oui — mais pas sans cadre juridique.
C’est l’occasion d’intégrer la gouvernance de l’IA dans votre stratégie globale de conformité et de renforcer la confiance des utilisateurs, partenaires et autorités.
🔎 Pour aller plus loin, découvrez notre accompagnement RGPD + IA et prenez contact avec l’un de nos experts : cliquez ici.
Pour en savoir plus sur l’AI Act, cliquez ici.