RGPD vs AI Act : qui fait quoi

RGPD et AI Act : comment bâtir une gouvernance IA simple (et utile)

L’IA arrive partout. Et avec elle, deux cadres qui se complètent.

• Le RGPD encadre l’usage des données personnelles.

• L’AI Act encadre l’usage des systèmes d’IA selon leur niveau de risque.

L’objectif n’est pas de faire “plus de conformité”.
L’objectif est d’avoir des règles claires, des preuves, et des usages sûrs.

1) RGPD vs AI Act : qui fait quoi

Le RGPD : “données personnelles”

Le RGPD impose des principes (minimisation, finalité, sécurité) et des obligations de preuve.
Deux outils sont centraux :

• Registre des traitements (article 30).

• AIPD / DPIA si le traitement présente un risque élevé (article 35).

L’AI Act : “systèmes d’IA et risques”

L’AI Act suit une logique “risque” : certains usages sont interdits, d’autres sont “à haut risque”, d’autres ont des obligations de transparence, et le reste est peu ou pas encadré.

Il vise aussi plusieurs rôles dans la chaîne (fournisseur, déployeur, importateur, distributeur, etc.).

2) Le point clé : ils sont complémentaires

EQS résume bien la logique : RGPD et AI Act poursuivent un objectif commun (droits, transparence, confiance), mais avec des champs différents.

Exemple simple : un outil de recrutement automatisé.

• Il touche des données personnelles (CV, évaluations) → RGPD.

• Il peut impacter fortement des personnes → souvent AI Act (haut risque) selon les cas d’usage.

3) Ce qu’ils ont en commun (et que tu peux mutualiser)

EQS liste des “blocs” de gouvernance très proches : évaluation des risques, mesures de protection, gestion des incidents, registre, policies écrites (accountability).

Traduction opérationnelle : tu peux créer un socle unique qui sert aux deux cadres.

A. Analyse de risques

• RGPD : AIPD (article 35) quand nécessaire.

• AI Act : approche risque, et pour le haut risque, exigences de gestion des risques et autres obligations.

B. Mesures de sécurité et d’organisation

Pseudonymisation, chiffrement, contrôle d’accès, formation. EQS les cite comme exemples de mesures.

C. Gestion d’incident

RGPD : notification des violations de données (article 33, et cas échéant 34).
AI Act : obligations de suivi et logique de conformité, selon catégorie.

4) Ce qui diffère (et où on se trompe souvent)

Différence 1 : “pas de données perso” ≠ “pas de règles”

Un système peut relever de l’AI Act même sans données personnelles. EQS le rappelle.

Différence 2 : l’AI Act vise toute la chaîne

L’AI Act cible fournisseurs et déployeurs, et pas seulement “celui qui collecte des données”.

Différence 3 : calendrier d’application

Fait : l’AI Act est entré en vigueur le 1er août 2024 et s’applique progressivement.
Fait : la Commission (AI Act Service Desk) indique notamment :

• 2 février 2025 : interdictions + définitions + “AI literacy” applicables,

• 2 août 2025 : gouvernance + obligations pour modèles IA “general-purpose”,

• 2 août 2026 : obligations “haut risque” (annexe III) + transparence (art. 50),

• 2 août 2027 : haut risque intégré à des produits régulés (annexe I).

À surveiller : la Commission évoque aussi des propositions d’ajustements (“Digital Omnibus”). Les dates peuvent donc évoluer.

FAQ

RGPD et AI Act se recouvrent-ils toujours ?
Non. Un système peut relever de l’AI Act sans données personnelles. Et un traitement de données peut relever du RGPD sans être de l’IA.

Si j’utilise un grand modèle (type chatbot), suis-je concerné ?
Le calendrier et les obligations varient selon ton rôle (fournisseur vs déployeur) et la catégorie du système. La Commission détaille les grandes familles et le calendrier.

Quel est le minimum à faire en PME ?
Inventaire, règles de données, registre, et une procédure simple d’incident. Ce socle sert aux deux cadres.

Le calendrier est-il figé ?
Il existe des jalons officiels, mais des ajustements sont discutés au niveau UE. Sur ce point, il faut suivre les mises à jour de la Commission.