Le couple IA RGPD est devenu, en quelques années, l’un des sujets juridiques les plus stratégiques pour les entreprises françaises. Dès qu’un système d’intelligence artificielle traite des informations concernant des personnes, le Règlement général sur la protection des données s’applique pleinement, et il se superpose désormais au nouveau règlement européen sur l’IA, l’AI Act. Résultat : développer, déployer ou simplement utiliser un outil d’IA suppose de respecter un cadre légal précis, sous la surveillance de la CNIL. Dans ce guide, vous découvrez de façon claire ce que la loi exige, comment articuler les deux textes et quelles étapes concrètes suivre pour rester conforme.
Mis à jour le 18 juin 2026
Qu’est-ce que la conformité « IA RGPD » ?
La conformité IA RGPD désigne le respect des règles de protection des données personnelles lorsqu’un système d’intelligence artificielle collecte, entraîne ou exploite des informations relatives à des personnes identifiables. Elle combine les obligations du RGPD et celles de l’AI Act européen.
Concrètement, dès qu’un modèle apprend à partir de données clients, analyse des CV, profile des utilisateurs ou génère du contenu à partir d’informations personnelles, vous entrez dans le champ d’application du RGPD. La question n’est donc pas « suis-je concerné ? » mais « comment me mettre en règle ? ». C’est tout l’enjeu de ce que l’on regroupe sous l’expression IA RGPD.
Pourquoi le RGPD encadre-t-il l’intelligence artificielle ?
Une IA n’est pas un objet juridique à part : elle reste un traitement de données comme un autre aux yeux de la loi. Le RGPD s’applique dès qu’il y a des données personnelles en jeu, à chaque étape du cycle de vie du système. La CNIL rappelle que le règlement encadre trois moments clés :
- L’entraînement : les jeux de données utilisés pour apprendre au modèle.
- Le fonctionnement : les données traitées au quotidien par l’outil en production.
- Les résultats : les sorties générées, qui peuvent elles aussi révéler des informations personnelles.
Cette approche large explique pourquoi presque tout projet d’IA « utile » en entreprise finit par croiser la protection des données. Ignorer ce volet expose à des sanctions, mais aussi à une perte de confiance des utilisateurs.
RGPD et AI Act : deux cadres qui se cumulent
Beaucoup espéraient que l’AI Act remplacerait le RGPD pour l’intelligence artificielle. Il n’en est rien : les deux textes coexistent et s’additionnent. Le RGPD protège les données personnelles ; l’AI Act, lui, encadre les systèmes d’IA en fonction de leur niveau de risque, qu’ils traitent ou non des données. Le tableau ci-dessous résume leurs différences essentielles.
| Critère | RGPD | AI Act |
|---|---|---|
| Objet protégé | Les données personnelles | Les systèmes d’IA |
| Logique | Droits des personnes | Niveau de risque du système |
| Entrée en vigueur | 2018 | 2024-2026 (progressive) |
| Autorité en France | CNIL | CNIL (et autorités sectorielles) |
| Sanction maximale | 4 % du CA mondial | Jusqu’à 35 M€ ou 7 % du CA |
En pratique, un système d’IA à haut risque qui traite des données personnelles devra respecter les deux régimes en même temps : la conformité IA RGPD d’un côté, les obligations de documentation et de contrôle humain de l’AI Act de l’autre.
Le calendrier d’application de l’AI Act jusqu’en 2026
L’AI Act est entré en vigueur en 2024, mais ses obligations s’appliquent par paliers. Comprendre ce calendrier vous aide à anticiper vos chantiers de mise en conformité.
- 2 février 2025 : interdiction des systèmes d’IA à risque inacceptable (notation sociale, manipulation, certaines biométries).
- 2 août 2025 : entrée en application des règles pour les modèles d’IA à usage général (modèles de fondation).
- 2 août 2026 : application des obligations pour les systèmes d’IA à haut risque listés à l’annexe III (RH, scoring, biométrie).
Pour en savoir plus sur le texte officiel, vous pouvez consulter les premières questions-réponses de la CNIL sur le règlement européen.
Le rôle central de la CNIL en France
Depuis l’été 2025, la CNIL s’est imposée comme l’autorité de référence pour encadrer l’intelligence artificielle en France. Un amendement déposé début 2026 dans le cadre du projet de loi d’adaptation au droit de l’Union européenne confie officiellement à la commission la mise en œuvre de l’AI Act en droit interne, en complément de sa mission historique de gardienne du RGPD.
La CNIL a d’ailleurs publié plusieurs séries de recommandations sur l’IA et le RGPD destinées à sécuriser l’innovation sans sacrifier les droits des personnes. Pour les entreprises, ces lignes directrices constituent une feuille de route précieuse, car elles précisent ce que l’autorité attend en matière de base légale, de transparence ou de réutilisation des données.
Les grands principes du RGPD appliqués à l’IA
La conformité IA RGPD repose sur les principes fondateurs du règlement, transposés au contexte de l’intelligence artificielle. Chaque projet doit respecter la finalité (un objectif défini et légitime), la minimisation (ne collecter que les données nécessaires), l’exactitude, la limitation de conservation et la sécurité.
Le principe de minimisation est souvent le plus délicat : un modèle performant a tendance à « vouloir » toujours plus de données. Il faut donc arbitrer entre performance et sobriété dans le traitement des données personnelles. Ces enjeux rejoignent ceux de l’éthique algorithmique, que nous détaillons dans notre article sur l’éthique de l’IA, les biais et la désinformation.
Quelle base légale pour entraîner et exploiter une IA ?
Tout traitement de données personnelles doit reposer sur l’une des bases légales prévues par le RGPD. Pour un projet d’IA, trois fondements reviennent le plus souvent :
- Le consentement : pertinent quand vous demandez explicitement l’accord des personnes, par exemple pour un assistant personnalisé.
- L’intérêt légitime : souvent invoqué pour l’entraînement, mais il impose une mise en balance documentant que vos intérêts ne portent pas une atteinte disproportionnée aux droits des personnes.
- L’exécution d’un contrat ou une obligation légale : utiles dans des cas précis (détection de fraude, services contractuels).
Le choix de la base légale n’est pas un détail administratif : il conditionne les droits des personnes et la solidité juridique de votre système. Une base mal choisie peut suffire à invalider tout un projet.
L’analyse d’impact (AIPD) : quand est-elle obligatoire ?
L’analyse d’impact relative à la protection des données, ou AIPD (parfois appelée DPIA), est un document qui évalue les risques d’un traitement pour les droits et libertés des personnes. Pour les projets d’IA, elle est très souvent obligatoire.
Vous devez en principe réaliser une AIPD lorsque votre système implique un profilage à grande échelle, le traitement de données sensibles, une surveillance systématique ou des décisions automatisées ayant un effet significatif sur les personnes. Dans le doute, mieux vaut la conduire : elle structure votre réflexion, prouve votre bonne foi et constitue une pièce maîtresse en cas de contrôle de la CNIL. L’AIPD doit être réalisée avant le déploiement, puis mise à jour à chaque évolution majeure du modèle.
Les droits des personnes face aux systèmes d’IA
Le RGPD garantit aux individus des droits que l’usage de l’IA ne suspend jamais. Vos utilisateurs conservent le droit d’accès, de rectification, d’effacement, d’opposition et de portabilité de leurs données personnelles. S’y ajoute un droit spécifique : celui de ne pas faire l’objet d’une décision entièrement automatisée produisant des effets juridiques, sauf exceptions encadrées.
Concrètement, si une IA refuse un crédit, trie une candidature ou module un tarif, la personne doit pouvoir obtenir une intervention humaine, exprimer son point de vue et contester la décision. Prévoir ce « contrôle humain » dès la conception est à la fois une exigence RGPD et un principe clé de l’AI Act pour les systèmes à haut risque.
Données d’entraînement : le point le plus sensible
La phase d’entraînement concentre l’essentiel des risques juridiques. Aspirer massivement des données du web, réutiliser des bases clients pour un usage non prévu à l’origine ou mélanger des sources sans traçabilité sont autant de pratiques exposées. La CNIL admet la réutilisation de données sous conditions, mais exige une finalité compatible et des garanties solides.
Deux leviers techniques réduisent fortement le risque : l’anonymisation, qui retire tout caractère personnel aux données, et la pseudonymisation, qui limite leur ré-identification. Certaines architectures, comme les approches de recherche augmentée (RAG), permettent aussi de garder les données sensibles à l’écart du modèle tout en exploitant vos contenus. Documenter l’origine de chaque jeu de données reste, dans tous les cas, indispensable.
IA générative et RGPD : les précautions spécifiques
Les outils d’IA générative (ChatGPT, assistants rédactionnels, copilotes) posent des questions inédites. Lorsque vous saisissez une requête, les informations transmises peuvent quitter votre organisation et, selon les paramètres, alimenter l’entraînement du modèle. Pour rester conforme, ne soumettez jamais de données personnelles identifiables dans un outil grand public, privilégiez les versions entreprise assorties d’un contrat de sous-traitance (DPA) et désactivez l’historique des conversations.
Ces précautions valent aussi pour les systèmes plus avancés capables d’agir seuls. Notre dossier sur les agents IA autonomes montre que plus un système gagne en autonomie, plus la traçabilité et la maîtrise des données deviennent critiques.
Mettre votre IA en conformité : la méthode en 7 étapes
Atteindre la conformité IA RGPD n’a rien d’insurmontable si vous procédez avec méthode. Voici une feuille de route opérationnelle, applicable à la plupart des projets.
- Cartographiez les données traitées par votre IA, leur origine et leur finalité.
- Définissez une base légale claire pour chaque traitement.
- Réalisez une AIPD dès qu’un risque élevé est probable.
- Minimisez et sécurisez les données : anonymisation, chiffrement, contrôle d’accès.
- Informez les personnes de manière transparente sur l’usage de l’IA.
- Prévoyez un contrôle humain et une procédure de contestation des décisions.
- Documentez tout et révisez régulièrement votre dispositif.
Cette démarche, loin de freiner l’innovation, la sécurise. Une IA conforme inspire confiance à vos clients comme à vos partenaires, et résiste bien mieux à un contrôle.
Sanctions et risques en cas de non-conformité
Ignorer le cadre IA RGPD expose à des conséquences lourdes. Au titre du RGPD, les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel. L’AI Act ajoute son propre barème, avec des sanctions pouvant grimper jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires pour les manquements les plus graves, comme l’usage de systèmes interdits.
Mais le risque ne se limite pas à l’amende. Une non-conformité révélée publiquement entame la réputation, fragilise les relations commerciales et peut entraîner la suspension du système. À l’inverse, une démarche de conformité bien menée devient un argument de confiance et un avantage concurrentiel durable.
Vidéo : pour aller plus loin
Pour visualiser concrètement l’articulation entre RGPD et AI Act et les obligations qui en découlent, voici une vidéo explicative qui complète ce guide.
Questions fréquentes sur l’IA et le RGPD
Le RGPD s’applique-t-il à toutes les intelligences artificielles ?
Non, uniquement à celles qui traitent des données personnelles. Une IA qui n’exploite que des données totalement anonymes ou industrielles échappe au RGPD. Mais dès qu’une information permet d’identifier directement ou indirectement une personne, même lors de l’entraînement, le règlement s’applique pleinement et vous devez respecter ses obligations.
Peut-on utiliser ChatGPT au travail sans enfreindre le RGPD ?
Oui, sous conditions. Vous ne devez jamais y saisir de données personnelles identifiables ou confidentielles dans la version grand public. Privilégiez une offre entreprise avec contrat de sous-traitance, désactivez l’historique d’entraînement et formez vos équipes. Une charte d’usage interne reste le meilleur garde-fou pour encadrer ces outils au quotidien.
Une analyse d’impact (AIPD) est-elle toujours obligatoire ?
Pas systématiquement, mais très souvent pour l’IA. Elle devient obligatoire en cas de profilage à grande échelle, de traitement de données sensibles, de surveillance systématique ou de décisions automatisées à fort impact. En cas de doute sur le niveau de risque, réaliser une AIPD reste la démarche la plus prudente et la mieux valorisée lors d’un contrôle.
Quelle différence entre le RGPD et l’AI Act ?
Le RGPD protège les données personnelles et les droits des individus, quel que soit l’outil. L’AI Act, lui, encadre les systèmes d’IA selon leur niveau de risque, qu’ils traitent ou non des données. Les deux textes se cumulent : un système à haut risque manipulant des données doit respecter simultanément les deux régimes.
Qui contrôle le respect du cadre IA RGPD en France ?
C’est la CNIL. Gardienne historique du RGPD, elle a été désignée autorité de référence pour l’application de l’AI Act en France. Elle publie des recommandations, mène des contrôles et peut prononcer des sanctions. Des autorités sectorielles interviennent en complément sur certains domaines spécifiques.
Comment prouver ma conformité en cas de contrôle ?
Par la documentation. Tenez à jour votre registre des traitements, vos AIPD, vos bases légales, vos mesures de sécurité et vos procédures d’information des personnes. Cette traçabilité, appelée « accountability », est au cœur du RGPD : c’est elle qui démontre votre bonne foi et votre maîtrise du dispositif.
Conclusion : faire de la conformité un atout
Le cadre IA RGPD n’est pas un frein à l’innovation, mais une condition de sa pérennité. En articulant correctement le RGPD et l’AI Act, en choisissant une base légale solide, en réalisant vos analyses d’impact et en préservant les droits des personnes, vous transformez une contrainte réglementaire en gage de confiance. À l’heure où l’intelligence artificielle s’invite dans tous les métiers, maîtriser ce cadre légal devient un avantage stratégique autant qu’une obligation. Anticipez dès aujourd’hui : la conformité construite en amont coûte toujours moins cher que celle imposée après un contrôle.