Blog · Conformité
DPO et IA Act :
la checklist conformité
2026
Publié le 15 mars 2026 · 13 min de lecture · Par Emerik Bricaud
L'IA Act européen est entré en application par étapes depuis février 2025, et les obligations applicables aux modèles d'IA à usage général sont effectives depuis août 2025. 2026 est l'année où le DPO d'entreprise doit aligner son registre, ses AIPD, sa charte et ses procédures. Les textes s'empilent (RGPD, IA Act, lignes directrices CNIL, code de conduite des modèles généraux) mais les obligations concrètes, elles, se rangent en 12 points. Ce guide est la checklist que nous donnons aux DPO accompagnés par Revolia.
En résumé : en 2026, le DPO devient de facto le référent IA de l'entreprise. Dix obligations de l'IA Act le concernent (interdictions de l'article 5, transparence, AIPD/FRIA, littératie, journalisation, sanctions). La checklist se range en 12 points — cartographie, registre, AIPD/FRIA, charte, formation, contractualisation, audit, incidents, revues — et se déploie sur un plan de 90 jours. Les sanctions montent jusqu'à 35 M€ ou 7 % du CA mondial.
En quoi l'IA Act change-t-il le rôle du DPO ?
L'IA Act élargit le rôle du DPO de la seule protection des données à la gouvernance de tous les systèmes d'IA de l'entreprise. Le DPO (Délégué à la Protection des Données) a été conçu par le RGPD — le Règlement général sur la protection des données (Règlement UE 2016/679) — comme le gardien des traitements de données personnelles. L'IA Act est le règlement européen (Règlement UE 2024/1689) qui encadre les systèmes d'intelligence artificielle selon leur niveau de risque. Avec lui, le périmètre du DPO s'élargit de facto à la gouvernance des systèmes d'IA, qu'ils traitent des données personnelles ou non. En pratique, rares sont les systèmes d'IA déployés en entreprise qui ne croisent pas de données personnelles : emails, CV, tickets support, transcriptions de réunion, notes RH. Le DPO devient donc, par extension naturelle, le référent IA de l'entreprise.
L'IA Act ne crée pas de fonction réglementée équivalente au DPO. Mais il impose des obligations de gouvernance, de transparence, de cartographie et de gestion des risques qui, dans la plupart des PME que nous accompagnons chez Revolia, tombent sur la même personne. D'où l'importance de clarifier le mandat dès 2026 : qui pilote la conformité IA, avec quels moyens, quel budget, quelles responsabilités.
Un DPO en 2026 n'est plus seulement « conformité RGPD ». Il est chef d'orchestre de la conformité données et IA, souvent seul, souvent à temps partiel, souvent avec 0 ETP d'appui. La checklist ci-dessous est sa boussole.
Le calendrier d'application de l'IA Act
L'IA Act ne s'applique pas d'un bloc : ses obligations s'activent par paliers entre 2025 et 2027. Le DPO cale son plan sur ces échéances.
| Date | Ce qui devient applicable |
|---|---|
| 2 février 2025 | Interdictions (article 5) et obligation de littératie IA (article 4) |
| 2 août 2025 | Modèles d'IA à usage général, gouvernance et régime de sanctions |
| 2 août 2026 | Systèmes à haut risque de l'annexe III et transparence (article 50) |
| 2 août 2027 | Haut risque intégré à des produits déjà soumis à une réglementation sectorielle |
Une réserve à garder en tête à date (juin 2026) : un projet de la Commission, le « Digital Omnibus », propose de décaler l'échéance des systèmes à haut risque de l'annexe III au-delà d'août 2026. Tant qu'il n'est pas formellement adopté, le calendrier ci-dessus reste celui qui s'applique. À surveiller donc, sans suspendre ta mise en conformité.
Ce que l'IA Act ajoute au quotidien du DPO
Trois blocs de travail nouveaux arrivent en 2026. Premièrement, la cartographie des systèmes d'IA déployés dans l'entreprise, y compris ceux utilisés en mode SaaS par les équipes (ChatGPT Team, Copilot, Claude, Midjourney, Gemini). Deuxièmement, la qualification par niveau de risque selon l'IA Act : risque inacceptable (interdit), risque élevé (obligations lourdes), risque limité (transparence), risque minimal (liberté). Troisièmement, la contractualisation avec les fournisseurs au regard des obligations de l'IA Act, en plus du DPA RGPD classique.
Quelles obligations de l'IA Act touchent directement le DPO ?
Avant de lister les obligations, une question décide de tout : quel rôle joue ton entreprise au sens de l'IA Act ? Le règlement répartit les obligations entre fournisseur, déployeur, importateur et distributeur. La plupart des PME françaises sont « déployeur » (elles utilisent une IA conçue par un tiers), mais une PME qui fine-tune un modèle ou met son nom sur un système bascule côté fournisseur, avec des obligations bien plus lourdes.
| Rôle | Qui c'est | Charge d'obligations |
|---|---|---|
| Fournisseur | Développe un système d'IA, ou le met sur le marché sous son nom (y compris après fine-tuning ou modification substantielle) | La plus lourde : documentation, gestion des risques, conformité, marquage |
| Déployeur | Utilise un système d'IA dans le cadre de son activité (cas de la majorité des PME : ChatGPT, Copilot, Gemini en SaaS) | Supervision humaine, transparence, littératie, FRIA si concerné |
| Importateur | Met sur le marché UE un système d'IA d'un fournisseur établi hors UE | Vérifier la conformité du fournisseur avant mise sur le marché |
| Distributeur | Met un système d'IA à disposition sur le marché sans être fournisseur ni importateur | Vérifier marquage et documentation, agir en cas de non-conformité |
Pose cette question pour chaque système cartographié : un même outil peut te placer dans deux rôles à la fois. Ensuite seulement, déroulez les dix obligations qui concernent directement le DPO : les interdictions de l'article 5, les exigences sur les modèles à usage général, les systèmes à haut risque, la transparence (article 50), l'AIPD/FRIA, la littératie IA (article 4), la gouvernance des données d'entraînement, la journalisation, la notification d'incidents et le régime de sanctions. Les voici une par une.
1 : Interdictions de l'article 5
Depuis février 2025, certaines pratiques sont interdites : notation sociale, reconnaissance des émotions au travail ou en éducation hors cas de sécurité, catégorisation biométrique sur caractéristiques sensibles, scraping massif d'images faciales. Le DPO vérifie qu'aucun outil interne ou fournisseur ne tombe dans ces cas.
2 : Obligations sur les IA à usage général
Depuis août 2025, les fournisseurs de modèles à usage général (OpenAI, Anthropic, Google, Mistral) doivent produire une documentation technique, respecter le droit d'auteur et publier un résumé des données d'entraînement. Le DPO n'en est pas directement responsable, mais il doit exiger ces éléments de ses fournisseurs avant tout contrat.
3 : Systèmes à haut risque (applicables à partir d'août 2026)
Si ton entreprise utilise des IA dans des cas classés à haut risque (RH, notation de candidats, scoring de crédit, santé, éducation, justice), tu dois mettre en place un système de gestion des risques, documenter les données d'entraînement, assurer la traçabilité, permettre la supervision humaine, garantir la robustesse.
4 : Transparence envers les personnes (article 50)
Tu dois informer les personnes qu'elles interagissent avec une IA (chatbot), que le contenu est généré par IA (deepfake, image de synthèse), ou que leurs émotions sont analysées. Obligation applicable à partir d'août 2026.
5 : AIPD renforcée pour les usages IA
Le RGPD impose déjà une Analyse d'Impact relative à la Protection des Données pour les traitements à risque élevé. L'IA Act la complète en imposant une FRIA (analyse d'impact sur les droits fondamentaux) pour certains déployeurs de systèmes à haut risque. Le DPO doit intégrer les deux. C'est le point qui crée le plus de confusion : la sous-section suivante le détaille.
La FRIA en pratique : qui, quoi, quand (article 27)
La FRIA (Fundamental Rights Impact Assessment, analyse d'impact sur les droits fondamentaux) est prévue par l'article 27 de l'IA Act. Contrairement à l'AIPD du RGPD, elle ne s'impose pas à tous les déployeurs de systèmes à haut risque, seulement à un périmètre précis.
Qui est concerné. Trois catégories de déployeurs, selon l'article 27 : les organismes de droit public, les acteurs privés qui fournissent des services publics, et tout déployeur (public ou privé) d'un système à haut risque servant à évaluer la solvabilité ou le scoring de crédit, ou à tarifer et évaluer les risques en assurance vie et santé. Une PME qui n'entre dans aucune de ces cases n'a pas de FRIA à produire au titre de l'article 27, même si elle reste tenue à l'AIPD RGPD le cas échéant.
Ce que contient une FRIA. L'article 27 fixe un contenu minimal : description des processus où le système à haut risque sera utilisé, période et fréquence d'usage, catégories de personnes et de groupes susceptibles d'être affectés, risques de préjudice spécifiques pour ces personnes, mesures de supervision humaine prévues, et mesures à prendre si les risques se matérialisent.
Quand la mener. Avant la première mise en service du système à haut risque. La FRIA s'actualise si l'un de ses éléments change en cours d'exploitation.
Lien avec l'AIPD. Les deux analyses se recouvrent en partie mais ne se confondent pas : l'AIPD regarde les données et leur traitement, la FRIA regarde les personnes et l'atteinte à leurs droits. Quand une AIPD a déjà été faite, la FRIA peut la compléter au lieu de tout reprendre, à condition que la dimension droits fondamentaux soit clairement traitée.
Notification. Une fois la FRIA réalisée, le déployeur en notifie le résultat à l'autorité de surveillance du marché, au moyen du modèle qui sera fourni par le Bureau européen de l'IA. Le manquement à l'article 27 expose aux sanctions des systèmes à haut risque (jusqu'à 15 M€ ou 3 % du CA mondial).
6 : Littératie IA (article 4)
Depuis février 2025, toute entreprise doit s'assurer que son personnel utilisant des systèmes d'IA dispose d'un niveau suffisant de littératie IA. Le DPO pilote cette formation interne.
7 : Gouvernance des données d'entraînement
Si ton entreprise fine-tune un modèle ou entraîne son propre système, elle devient fournisseur au sens de l'IA Act. Les obligations de documentation, de qualité des données, de droits d'auteur s'appliquent.
8 : Journalisation
Les systèmes à haut risque doivent enregistrer automatiquement les événements (logs). Le DPO s'assure que cette journalisation existe et qu'elle est conservée conformément au règlement.
9 : Notification d'incidents graves
Les fournisseurs de systèmes à haut risque doivent notifier tout incident grave aux autorités. Les déployeurs (entreprises utilisatrices) doivent signaler au fournisseur et, le cas échéant, aux autorités compétentes.
10 : Sanctions
Jusqu'à 35 M€ ou 7 % du CA mondial pour une pratique interdite, 15 M€ ou 3 % pour une violation d'obligation applicable aux systèmes à haut risque. Le DPO rappelle à sa direction que l'IA Act « coûte plus cher » que le RGPD en valeur absolue.
Quels sont les 12 points de la checklist conformité DPO ?
La checklist conformité du DPO tient en 12 points à passer au moins une fois en 2026, puis à revoir chaque semestre : cartographie, registre des traitements, AIPD/FRIA, transparence, charte IA, formation, contractualisation fournisseurs, audit interne, sous-traitance, journalisation, incidents et revues périodiques. Le tableau ci-dessous les résume ; le détail suit.
| # | Point de contrôle | Livrable attendu |
|---|---|---|
| 1 | Cartographie | Inventaire des systèmes d'IA (internes + SaaS) avec niveau de risque |
| 2 | Registre des traitements | Colonne « système IA impliqué » ajoutée au registre RGPD |
| 3 | AIPD / FRIA | AIPD à jour, FRIA initiée pour les déployeurs haut risque |
| 4 | Transparence | Mentions IA sur sites/produits, politique de confidentialité à jour |
| 5 | Charte IA interne | Document validé par la direction, diffusé à tous |
| 6 | Formation / littératie | Plan de formation validé, preuves archivées (article 4) |
| 7 | Contractualisation fournisseurs | DPA RGPD + addendum IA Act, exclusion d'entraînement |
| 8 | Audit interne | Audit annuel ou semestriel des procédures |
| 9 | Sous-traitance | Clause transparence/conformité pour les prestataires utilisant l'IA |
| 10 | Journalisation | Logs horodatés conservés pour les cas à haut risque |
| 11 | Incidents | Procédure de notification, délais RGPD (72 h) et IA Act |
| 12 | Revues périodiques | Comité IA trimestriel (direction, DPO, métiers, IT) |
1. Cartographie
Inventaire complet des systèmes d'IA utilisés dans l'entreprise, qu'ils soient internes ou SaaS. Nom du système, fournisseur, périmètre fonctionnel, données traitées, utilisateurs, niveau de risque IA Act.
2. Registre des traitements
Ajoute à ton registre RGPD une colonne « système IA impliqué ». Aucun traitement qui utilise de l'IA ne doit échapper au registre.
3. AIPD / FRIA
Pour chaque système à haut risque ou à risque RGPD élevé : AIPD à jour, FRIA initiée si déployeur d'un système IA Act haut risque. Document court, concret, validé par la direction.
4. Transparence
Information claire sur les sites et produits : chatbot IA identifié comme tel, mention « contenu généré ou assisté par IA » quand pertinent, politique de confidentialité à jour avec mention des systèmes d'IA utilisés.
5. Charte IA interne
Document d'une page minimum, validé par la direction, diffusé à tous les collaborateurs. Cinq sections : outils autorisés, données interdites, relecture humaine, mention IA, point de contact. Notre plan d'adoption 90 jours en propose un modèle.
6. Formation / littératie
Plan de formation IA validé, preuves de formation archivées. La littératie est une obligation IA Act article 4, pas une option. Le parcours IA PRO (RS6776) répond directement à cette exigence.
7. Contractualisation fournisseurs
DPA RGPD + addendum IA Act signé avec OpenAI, Anthropic, Microsoft, Google. Exclusion explicite de l'entraînement sur tes données. Clauses de sortie. Résidence des données documentée.
8. Audit interne
Audit annuel ou semestriel, réalisé par le DPO ou un prestataire, qui teste les procédures : où sont les prompts sensibles ? qui accède à quoi ? quels comptes shadow existent ? Un audit léger de 2 jours suffit dans une PME.
9. Sous-traitance
Si tes fournisseurs utilisent eux-mêmes de l'IA (agence marketing qui écrit tes contenus avec ChatGPT), exige la transparence et la conformité. Clause contractuelle dédiée.
10. Journalisation
Pour les cas d'usage à haut risque, logs horodatés, accessibles, conservés. Pour les outils SaaS, vérifier la politique de logs du fournisseur et activer les options admin disponibles.
11. Incidents
Procédure de notification interne, point de contact, modèle de déclaration, délais calés sur RGPD (72 h) et IA Act. Exercice de simulation au moins une fois par an.
12. Revues périodiques
Comité IA trimestriel avec direction, DPO, métiers clés, IT. Ordre du jour : cartographie actualisée, incidents, nouveaux usages, formations, évolutions réglementaires.
Quels sont les scénarios à haut risque pour une PME ?
Quatre usages de l'IA basculent une PME en zone à haut risque (ou interdite) au sens de l'IA Act : le tri automatisé de CV, le scoring de clients ou prospects, l'analyse d'émotions en entretien (purement interdite, article 5) et le chatbot client qui prend des décisions contractuelles. Chacun impose supervision humaine, documentation et, le cas échéant, AIPD et FRIA.
Scénario 1 : Tri automatisé de CV
L'IA filtre ou note des candidats à un poste. Risque élevé au sens de l'IA Act (annexe III). Obligations : supervision humaine, documentation, absence de biais, AIPD et FRIA. Beaucoup de PME utilisent ChatGPT pour trier leurs CV « en mode pratique ». C'est formellement un usage à haut risque qu'il faut encadrer ; notre article sur les cas d'usage IA en RH détaille le cadre à respecter.
Scénario 2 : Scoring de clients ou de prospects
Notation automatique pour accorder un crédit, ouvrir un compte, déterminer un tarif. Haut risque. Ton DPO doit valider la conformité du système utilisé et vérifier que la décision finale reste humaine.
Scénario 3 : Analyse d'émotions ou de vidéos en entretien
Les outils qui analysent le ton, les micro-expressions, le langage corporel d'un candidat tombent dans une zone interdite (article 5). À proscrire purement et simplement.
Scénario 4 : Chatbot client qui prend des décisions contractuelles
Un chatbot qui accepte ou refuse une demande (remboursement, devis, adhésion) doit être supervisé, documenté, et informer l'utilisateur qu'il dialogue avec une IA. Risque limité à élevé selon les conséquences.
Allègements et appuis pour les PME
L'IA Act prévoit des aménagements pour les petites structures, mais ils sont plus ciblés qu'on ne le croit. Deux mécanismes à connaître :
- Documentation simplifiée pour les micro-entreprises (article 63). Une micro-entreprise (sans entreprise partenaire ni liée) peut se conformer de façon simplifiée à certains éléments du système de gestion de la qualité. Cet allègement reste étroit : il n'exonère d'aucune autre obligation, ni des exigences de fond applicables aux systèmes à haut risque. Une PME au sens large (jusqu'à 250 salariés) n'en bénéficie pas automatiquement.
- Mesures et bacs à sable réglementaires pour les PME et start-up (article 62). Les États membres doivent réserver aux PME et start-up établies dans l'UE un accès prioritaire aux bacs à sable réglementaires de l'IA, des frais d'évaluation de la conformité réduits, et des actions d'information et de formation adaptées. Le bac à sable est un cadre encadré par une autorité qui permet de développer et tester un système d'IA avant sa mise sur le marché.
Au-delà de ces deux articles, le règlement applique un principe de proportionnalité : la charge attendue est censée rester en rapport avec la taille et les moyens de l'acteur. Cela ne supprime pas les obligations, cela en module l'exécution.
Comment articuler CNIL et IA Act ?
La CNIL et l'IA Act ne se contredisent pas : ils se complètent et s'appliquent en parallèle. La CNIL (Commission nationale de l'informatique et des libertés) est l'autorité française de protection des données personnelles ; elle reste compétente sur le volet RGPD, y compris pour les systèmes d'IA. L'IA Act, lui, régit le produit IA indépendamment des données personnelles. La CNIL a publié en 2024-2025 plusieurs fiches pratiques sur l'IA, notamment sur le développement de systèmes, l'utilisation de données d'entraînement, la base légale, l'intérêt légitime et la minimisation. Ces fiches restent la référence opérationnelle pour les questions RGPD. L'IA Act, lui, s'applique au-dessus : il régit le produit IA indépendamment des données personnelles.
En pratique, dans une PME française, le DPO applique les deux régimes en parallèle. Une AIPD RGPD + une FRIA IA Act peuvent cohabiter dans un seul document, à condition qu'il couvre bien les deux dimensions. Notre guide IA Act et RGPD en entreprise détaille cette articulation.
Ce que dit la CNIL en 2026
La position CNIL est claire : pas de conflit entre RGPD et IA Act. Les deux textes se complètent. La CNIL reste l'autorité compétente pour les questions de données personnelles, y compris lorsqu'elles concernent des systèmes d'IA. Le régulateur IA Act en France est encore en cours de désignation, mais la CNIL joue un rôle pivot.
Quel plan d'action 90 jours pour mettre un DPO en conformité ?
Le plan se déroule en six phases de deux semaines, de la cartographie au premier comité IA : recenser les systèmes (semaines 1-2), qualifier les risques (3-4), produire charte et contrats (5-6), AIPD et FRIA (7-8), formation et littératie (9-10), procédures et comité (11-12).
Semaines 1-2 : Cartographie
Recensement des systèmes IA, questionnaire à tous les métiers, extraction des logs SaaS (Microsoft, Google Workspace) pour détecter les usages non déclarés. Livrable : tableau Excel à 20 colonnes.
Semaines 3-4 : Qualification des risques
Chaque système est qualifié (inacceptable / haut / limité / minimal). Les cas à haut risque partent en priorité. Les cas minimal restent documentés mais ne mobilisent pas davantage.
Semaines 5-6 : Charte et contractualisation
Rédaction de la charte IA interne, signature par la direction, diffusion. Revue des contrats fournisseurs, avenants IA Act quand nécessaire.
Semaines 7-8 : AIPD et FRIA
Actualisation ou rédaction des AIPD pour les cas à risque. Ouverture des FRIA pour les déployeurs de systèmes IA Act haut risque.
Semaines 9-10 : Formation et littératie
Déploiement d'un plan de formation minimal à tous les utilisateurs d'IA (1 h obligatoire), plan approfondi pour les métiers exposés. Cadrage avec le plan de développement des compétences.
Semaines 11-12 : Procédures et comité IA
Procédures d'incident, point de contact, calendrier de revue trimestrielle. Premier comité IA réuni, ordre du jour validé.
Quelles sont les ressources officielles à garder sous la main ?
Quatre sources officielles font référence pour le DPO : le règlement IA Act lui-même, les fiches pratiques de la CNIL, les lignes directrices du Comité européen de la protection des données et le code de conduite des modèles à usage général. Textes à garder sous la main : le règlement IA Act (Règlement UE 2024/1689), les fiches pratiques CNIL sur l'IA, les lignes directrices du Comité européen de la protection des données, le code de conduite des modèles à usage général publié par la Commission européenne. La plupart sont accessibles en français.
Pour la mise en pratique en entreprise, notre accompagnement Revolia Entreprises couvre le pilotage conformité en plus de la formation. Le parcours IA PRO (RS6776) inclut un module conformité adapté aux DPO et référents IA.
Questions fréquentes DPO et IA Act
Le DPO doit-il devenir obligatoirement référent IA dans l'entreprise ?
Mon entreprise est-elle concernée par l'IA Act si elle n'utilise que ChatGPT en SaaS ?
Une AIPD RGPD suffit-elle, ou faut-il une FRIA séparée ?
Quelles sanctions concrètes risque-t-on en 2026 ?
Un DPO externe mutualisé peut-il gérer la conformité IA Act ?
Revolia forme-t-il les DPO à l'IA Act ?
Passer à l'action : maîtriser l'IA dans votre métier
Le parcours IA PRO vous fait passer du bricolage à une pratique structurée, avec la certification RS6776. 16h, 100% en ligne, éligible OPCO.