Introduction : deux piliers de la réglementation numérique européenne
Le Règlement général sur la protection des données (RGPD) et le Règlement sur l'intelligence artificielle (EU AI Act) constituent les deux piliers de l'approche européenne en matière de réglementation numérique. Le RGPD, en vigueur depuis mai 2018, encadre le traitement des données personnelles. Le Règlement IA, dont les obligations principales prennent effet en 2025-2027, réglemente les systèmes d'intelligence artificielle.
Ces deux textes ne sont pas en concurrence - ils sont complémentaires. Mais cette complémentarité crée une complexité réelle pour les entreprises qui doivent naviguer entre les deux cadres simultanément. Ce guide clarifie les différences, identifie les chevauchements et propose une stratégie de conformité intégrée.
Tableau comparatif synthétique
| Critère | RGPD | Règlement IA |
|---|---|---|
| Objet | Données personnelles | Systèmes d'IA |
| Entrée en vigueur | 25 mai 2018 | 1er août 2024 (progressif) |
| Application complète | 25 mai 2018 | 2 août 2027 |
| Approche | Fondée sur les principes | Fondée sur le risque |
| Champ territorial | Traitement de données de résidents UE | Systèmes d'IA sur le marché UE |
| Autorité de contrôle | Autorités nationales (CNIL en France) | Autorités nationales + Bureau de l'IA (UE) |
| Amende maximale | 20 M euros ou 4 % du CA | 35 M euros ou 7 % du CA |
| Base juridique | Consentement, intérêt légitime, etc. | Classification par niveau de risque |
| DPO/responsable | DPO obligatoire (certains cas) | Pas d'équivalent obligatoire |
| Registre | Registre des traitements | Base de données de l'UE |
| AIPD/Évaluation d'impact | AIPD (Article 35) | Évaluation droits fondamentaux (Article 27) |
Les différences fondamentales
1. Objet de la réglementation
La différence la plus fondamentale est l'objet même de chaque texte :
- RGPD : régit le traitement des données personnelles, quelle que soit la technologie utilisée. Un tableur Excel contenant des données clients est soumis au RGPD.
- Règlement IA : régit les systèmes d'intelligence artificielle, qu'ils traitent ou non des données personnelles. Un système d'IA de maintenance prédictive industrielle sans données personnelles est soumis au Règlement IA.
Conséquence pratique : un système d'IA traitant des données personnelles est soumis aux DEUX réglementations. Un système d'IA sans données personnelles n'est soumis qu'au Règlement IA. Un traitement de données personnelles sans IA n'est soumis qu'au RGPD.
2. Approche réglementaire
Le RGPD repose sur des principes applicables à tous les traitements : licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité, responsabilité (Article 5).
Le Règlement IA repose sur une classification des risques avec des obligations graduées :
- Risque inacceptable : interdiction
- Risque élevé : obligations exhaustives
- Risque limité : obligations de transparence
- Risque minimal : aucune obligation spécifique
Conséquence pratique : sous le RGPD, tout traitement de données personnelles implique des obligations (même minimales). Sous le Règlement IA, un système à risque minimal n'a aucune obligation légale spécifique.
3. Champ d'application territorial
Les deux textes ont une portée extraterritoriale, mais avec des mécanismes différents :
- RGPD (Article 3) : s'applique au traitement de données de personnes se trouvant dans l'UE, quel que soit le lieu d'établissement du responsable de traitement.
- Règlement IA (Article 2) : s'applique aux fournisseurs mettant sur le marché ou en service des systèmes d'IA dans l'UE, aux déployeurs établis dans l'UE, et aux fournisseurs/déployeurs hors UE dont les résultats sont utilisés dans l'UE.
4. Rôles et responsabilités
Les terminologies et structures de responsabilité diffèrent :
| RGPD | Règlement IA |
|---|---|
| Responsable de traitement | Fournisseur / Déployeur |
| Sous-traitant | Fournisseur (si développement pour le compte d'un tiers) |
| Personne concernée | Personne physique affectée |
| DPO | Pas d'équivalent obligatoire |
Le Règlement IA introduit aussi les rôles d'importateur, de distributeur et de mandataire, qui n'ont pas d'équivalent direct dans le RGPD.
Les zones de chevauchement
1. Transparence
RGPD (Articles 13-14) : le responsable de traitement doit informer les personnes concernées du traitement de leurs données, des finalités, de la base juridique, des destinataires, etc.
Règlement IA (Article 50) : les systèmes d'IA interagissant avec des personnes doivent les informer qu'elles interagissent avec un système d'IA. Les systèmes de reconnaissance d'émotions et de catégorisation biométrique doivent informer les personnes exposées.
Chevauchement : pour un chatbot traitant des données personnelles, vous devez satisfaire à la fois l'obligation d'information du RGPD (quelles données sont collectées, pourquoi, combien de temps) ET l'obligation de transparence du Règlement IA (l'utilisateur interagit avec une IA).
2. Décisions automatisées et contrôle humain
RGPD (Article 22) : la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs. Des exceptions existent (contrat, loi, consentement explicite), avec des garanties minimales (intervention humaine, explication, contestation).
Règlement IA (Article 14) : les systèmes à haut risque doivent être conçus pour permettre un contrôle humain effectif, incluant la capacité de comprendre, interpréter, corriger ou arrêter le système.
Chevauchement : pour un système de credit scoring (haut risque au sens du Règlement IA) traitant des données personnelles, vous devez :
- Respecter l'Article 22 du RGPD : permettre la contestation, fournir une intervention humaine
- Respecter l'Article 14 du Règlement IA : concevoir le système pour un contrôle humain effectif
L'Article 14 du Règlement IA va plus loin que l'Article 22 du RGPD en imposant des exigences de conception (pas seulement de processus).
3. Évaluation d'impact
RGPD (Article 35) : une analyse d'impact relative à la protection des données (AIPD) est requise lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Règlement IA (Article 27) : les déployeurs de systèmes à haut risque doivent réaliser une évaluation d'impact sur les droits fondamentaux avant la mise en service.
Chevauchement : ces deux évaluations se recoupent partiellement mais ne sont pas identiques. L'AIPD du RGPD se concentre sur la protection des données, tandis que l'évaluation du Règlement IA couvre l'ensemble des droits fondamentaux (non-discrimination, dignité, etc.).
Bonne pratique : fusionner les deux exercices en une évaluation d'impact intégrée. L'Article 27(4) du Règlement IA prévoit explicitement que l'évaluation d'impact sur les droits fondamentaux peut être menée conjointement avec l'AIPD du RGPD.
4. Biais et non-discrimination
RGPD : n'aborde pas directement la question des biais algorithmiques, mais le principe de loyauté (Article 5(1)(a)) et le droit à ne pas être soumis à une décision automatisée (Article 22) offrent une protection indirecte.
Règlement IA (Article 10) : impose explicitement que les données d'entraînement soient examinées pour les biais potentiels. L'Article 10(5) autorise même le traitement de données sensibles (origine ethnique, genre) aux fins de détection des biais.
Tension : le RGPD restreint le traitement des données sensibles (Article 9), tandis que le Règlement IA autorise leur traitement pour détecter les biais. L'Article 10(5) du Règlement IA résout cette tension en prévoyant une base juridique spécifique, sous conditions strictes.
5. Documentation et registres
RGPD (Article 30) : registre des activités de traitement.
Règlement IA (Article 49) : enregistrement dans la base de données de l'UE pour les systèmes à haut risque.
Bonne pratique : intégrer les informations relatives aux systèmes d'IA dans votre registre des traitements RGPD, et vice versa.
Stratégie de conformité intégrée
Étape 1 : cartographie unifiée
Créez un inventaire unique qui croise :
- Vos traitements de données personnelles (registre RGPD)
- Vos systèmes d'IA (inventaire Règlement IA)
Identifiez les systèmes qui sont à l'intersection des deux : systèmes d'IA traitant des données personnelles.
Étape 2 : évaluation des risques combinée
Pour les systèmes à l'intersection, réalisez une évaluation des risques qui couvre les deux perspectives :
- Risques pour les données personnelles (RGPD)
- Risques liés au système d'IA (Règlement IA)
- Risques pour les droits fondamentaux (les deux)
Utilisez une évaluation gratuite de conformité IA comme point de départ.
Étape 3 : gouvernance intégrée
Plutôt que de créer deux structures de gouvernance parallèles, mettez en place une gouvernance unifiée :
- Comité de gouvernance IA et données : un seul organe supervisant les deux domaines
- DPO augmenté : étendre le rôle du DPO pour couvrir la conformité IA, ou créer un binôme DPO/responsable IA
- Processus d'approbation unique : pour le déploiement de tout nouveau système d'IA traitant des données personnelles
Étape 4 : documentation harmonisée
Consolidez votre documentation :
- Évaluation d'impact intégrée : AIPD + évaluation des droits fondamentaux en un document
- Registre enrichi : registre des traitements incluant les informations relatives aux systèmes d'IA
- Politique de transparence unifiée : information des utilisateurs couvrant les deux réglementations
Étape 5 : formation conjointe
L'Article 4 du Règlement IA impose une obligation de culture de l'IA (AI literacy). Le RGPD impose une obligation de sensibilisation et de formation à la protection des données. Fusionnez ces programmes de formation.
Étape 6 : surveillance continue
Mettez en place un système de surveillance qui couvre :
- Les incidents de données (notification RGPD sous 72h)
- Les incidents IA (signalement conformément au Règlement IA)
- Les évolutions réglementaires des deux cadres
Matproof centralise la gestion de la conformité RGPD et Règlement IA dans une plateforme unique, avec suivi automatisé des évolutions réglementaires. Démarrez avec un essai gratuit.
Les erreurs courantes à éviter
Erreur 1 : "Nous sommes conformes au RGPD, donc nous sommes couverts pour le Règlement IA"
Faux. La conformité au RGPD est une condition nécessaire mais pas suffisante. Le Règlement IA impose des obligations spécifiques (documentation technique, gestion des risques, contrôle humain, marquage CE) qui vont bien au-delà du RGPD.
Erreur 2 : "Le Règlement IA remplace le RGPD pour les systèmes d'IA"
Faux. Les deux s'appliquent cumulativement. Un système d'IA traitant des données personnelles doit respecter les deux textes intégralement. Le Règlement IA ne crée pas de dérogation au RGPD (à l'exception notable de l'Article 10(5) sur les données sensibles pour la détection des biais).
Erreur 3 : "Notre AIPD RGPD suffit comme évaluation d'impact pour le Règlement IA"
Partiellement vrai. L'AIPD peut servir de base, mais l'évaluation d'impact du Règlement IA couvre des aspects spécifiques non couverts par l'AIPD : processus d'utilisation, catégories de personnes affectées, mesures de contrôle humain spécifiques au système d'IA.
Erreur 4 : "Le DPO peut gérer seul la conformité au Règlement IA"
Risqué. Le Règlement IA exige des compétences techniques (évaluation des risques algorithmiques, tests de biais, documentation d'architectures ML) qui ne font pas partie du profil classique d'un DPO. Un renforcement des compétences ou une collaboration avec des profils techniques est essentiel.
Cas d'utilisation : conformité double en pratique
Système de recrutement par IA
Un ATS (Applicant Tracking System) utilisant l'IA pour filtrer les CV :
Obligations RGPD :
- Base juridique : intérêt légitime ou consentement
- Information des candidats (Articles 13-14)
- Droit d'accès et de rectification des candidats
- AIPD obligatoire (profilage à grande échelle)
- Pas de décision entièrement automatisée sans garanties (Article 22)
- Conservation limitée des CV
Obligations Règlement IA (haut risque - Annexe III, domaine 4) :
- Système de gestion des risques (Article 9)
- Données d'entraînement sans biais (Article 10)
- Documentation technique complète (Article 11)
- Journalisation automatique (Article 12)
- Information du déployeur (Article 13)
- Contrôle humain effectif (Article 14)
- Marquage CE et enregistrement dans la base UE
Approche intégrée :
- Évaluation d'impact unique couvrant AIPD et droits fondamentaux
- Information des candidats incluant les obligations des deux textes
- Documentation technique intégrant les aspects RGPD
- Contrôle humain satisfaisant à la fois l'Article 22 RGPD et l'Article 14 du Règlement IA
FAQ
Q : Si nous traitons des données anonymisées avec notre système d'IA, sommes-nous exemptés du RGPD ?
A : Si les données sont véritablement anonymisées (et non simplement pseudonymisées), le RGPD ne s'applique pas à ces données. Cependant, le Règlement IA s'applique toujours si votre système est classé à haut risque, indépendamment de la nature des données traitées. De plus, le processus d'anonymisation lui-même est un traitement soumis au RGPD.
Q : Le consentement RGPD suffit-il comme base juridique pour déployer un système d'IA ?
A : Le consentement est une base juridique pour le traitement de données au sens du RGPD, mais il n'a aucun effet sur les obligations du Règlement IA. Même avec le consentement des personnes concernées, un système d'IA à haut risque doit respecter l'intégralité des obligations des Articles 8 à 15. Le consentement ne dispense pas non plus des pratiques interdites par l'Article 5.
Q : Notre DPO peut-il être également responsable de la conformité au Règlement IA ?
A : Rien ne l'interdit juridiquement, mais c'est rarement suffisant. Le Règlement IA exige des compétences en gestion des risques algorithmiques, en évaluation technique des systèmes d'IA et en gouvernance des données d'entraînement. Un DPO peut superviser la conformité IA, mais il aura besoin du soutien d'experts techniques. La création d'un rôle de "AI Compliance Officer" travaillant en tandem avec le DPO est recommandée.
Q : Comment gérer les demandes d'exercice de droits (accès, effacement) pour les données d'entraînement d'un modèle d'IA ?
A : C'est l'une des questions les plus complexes à l'intersection des deux textes. Le droit à l'effacement (Article 17 RGPD) s'applique aux données personnelles utilisées pour entraîner un modèle d'IA. En pratique, supprimer les données d'un modèle déjà entraîné est techniquement difficile (le modèle a "appris" des patterns). Les approches incluent le réentraînement du modèle sans les données concernées ou l'utilisation de techniques de "machine unlearning".
Q : Les transferts de données hors UE sont-ils affectés par le Règlement IA ?
A : Le Règlement IA ne régit pas directement les transferts de données - c'est le domaine du RGPD (Chapitre V). Cependant, si un système d'IA est hébergé ou traité hors UE, le transfert des données vers ce système reste soumis aux règles du RGPD. De plus, le fournisseur hors UE du système d'IA doit se conformer au Règlement IA s'il met le système sur le marché européen.
Conclusion : une conformité intégrée, pas silotée
Le RGPD et le Règlement IA ne sont pas des contraintes concurrentes - ils forment un cadre cohérent de protection des individus face aux technologies numériques. Les entreprises qui adoptent une approche intégrée de la conformité, plutôt que de traiter chaque réglementation en silo, gagneront en efficacité et en cohérence.
Matproof est conçu pour cette approche intégrée : gérez votre conformité RGPD, Règlement IA, DORA et NIS2 depuis une plateforme unique. Commencez votre parcours de conformité avec un essai gratuit.