DPO et IA Act :
la checklist conformité
2026

L'IA Act européen est entré en application par étapes depuis février 2025, et les obligations applicables aux modèles d'IA à usage général sont effectives depuis août 2025. 2026 est l'année où le DPO d'entreprise doit aligner son registre, ses AIPD, sa charte et ses procédures. Les textes s'empilent — RGPD, IA Act, lignes directrices CNIL, code de conduite des modèles généraux — mais les obligations concrètes, elles, se rangent en 12 points. Ce guide est la checklist que nous donnons aux DPO accompagnés par Revolia.

Le DPO face à l'IA Act : évolution du rôle

Le Délégué à la Protection des Données a été conçu par le RGPD comme le gardien des traitements de données personnelles. Avec l'IA Act, son périmètre s'élargit de facto à la gouvernance des systèmes d'IA — qu'ils traitent des données personnelles ou non. En pratique, rares sont les systèmes d'IA déployés en entreprise qui ne croisent pas de données personnelles : emails, CV, tickets support, transcriptions de réunion, notes RH. Le DPO devient donc, par extension naturelle, le référent IA de l'entreprise.

L'IA Act ne crée pas de fonction réglementée équivalente au DPO. Mais il impose des obligations de gouvernance, de transparence, de cartographie et de gestion des risques qui, dans 80 % des PME françaises, tombent sur la même personne. D'où l'importance de clarifier le mandat dès 2026 : qui pilote la conformité IA, avec quels moyens, quel budget, quelles responsabilités.

Un DPO en 2026 n'est plus seulement « conformité RGPD ». Il est chef d'orchestre de la conformité données et IA, souvent seul, souvent à temps partiel, souvent avec 0 ETP d'appui. La checklist ci-dessous est sa boussole.

Ce que l'IA Act ajoute au quotidien du DPO

Trois blocs de travail nouveaux arrivent en 2026. Premièrement, la cartographie des systèmes d'IA déployés dans l'entreprise, y compris ceux utilisés en mode SaaS par les équipes (ChatGPT Team, Copilot, Claude, Midjourney, Gemini). Deuxièmement, la qualification par niveau de risque selon l'IA Act : risque inacceptable (interdit), risque élevé (obligations lourdes), risque limité (transparence), risque minimal (liberté). Troisièmement, la contractualisation avec les fournisseurs au regard des obligations de l'IA Act, en plus du DPA RGPD classique.

Les 10 obligations IA Act qui touchent directement le DPO

1 — Interdictions de l'article 5

Depuis février 2025, certaines pratiques sont interdites : notation sociale, reconnaissance des émotions au travail ou en éducation hors cas de sécurité, catégorisation biométrique sur caractéristiques sensibles, scraping massif d'images faciales. Le DPO vérifie qu'aucun outil interne ou fournisseur ne tombe dans ces cas.

2 — Obligations sur les IA à usage général

Depuis août 2025, les fournisseurs de modèles à usage général (OpenAI, Anthropic, Google, Mistral) doivent produire une documentation technique, respecter le droit d'auteur et publier un résumé des données d'entraînement. Le DPO n'en est pas directement responsable, mais il doit exiger ces éléments de ses fournisseurs avant tout contrat.

3 — Systèmes à haut risque (applicables à partir d'août 2026)

Si votre entreprise utilise des IA dans des cas classés à haut risque (RH, notation de candidats, scoring de crédit, santé, éducation, justice), vous devez mettre en place un système de gestion des risques, documenter les données d'entraînement, assurer la traçabilité, permettre la supervision humaine, garantir la robustesse.

4 — Transparence envers les personnes (article 50)

Vous devez informer les personnes qu'elles interagissent avec une IA (chatbot), que le contenu est généré par IA (deepfake, image de synthèse), ou que leurs émotions sont analysées. Obligation applicable à partir d'août 2026.

5 — AIPD renforcée pour les usages IA

Le RGPD impose déjà une Analyse d'Impact relative à la Protection des Données pour les traitements à risque élevé. L'IA Act la complète en imposant une Fundamental Rights Impact Assessment (FRIA) pour certains déployeurs de systèmes à haut risque. Le DPO doit intégrer les deux.

6 — Littératie IA (article 4)

Depuis février 2025, toute entreprise doit s'assurer que son personnel utilisant des systèmes d'IA dispose d'un niveau suffisant de littératie IA. Le DPO pilote cette formation interne.

7 — Gouvernance des données d'entraînement

Si votre entreprise fine-tune un modèle ou entraîne son propre système, elle devient fournisseur au sens de l'IA Act. Les obligations de documentation, de qualité des données, de droits d'auteur s'appliquent.

8 — Journalisation

Les systèmes à haut risque doivent enregistrer automatiquement les événements (logs). Le DPO s'assure que cette journalisation existe et qu'elle est conservée conformément au règlement.

9 — Notification d'incidents graves

Les fournisseurs de systèmes à haut risque doivent notifier tout incident grave aux autorités. Les déployeurs (entreprises utilisatrices) doivent signaler au fournisseur et, le cas échéant, aux autorités compétentes.

10 — Sanctions

Jusqu'à 35 M€ ou 7 % du CA mondial pour une pratique interdite, 15 M€ ou 3 % pour une violation d'obligation applicable aux systèmes à haut risque. Le DPO rappelle à sa direction que l'IA Act « coûte plus cher » que le RGPD en valeur absolue.

La checklist en 12 points

Voici la checklist opérationnelle à passer au moins une fois en 2026, puis à revoir chaque semestre.

1. Cartographie

Inventaire complet des systèmes d'IA utilisés dans l'entreprise, qu'ils soient internes ou SaaS. Nom du système, fournisseur, périmètre fonctionnel, données traitées, utilisateurs, niveau de risque IA Act.

2. Registre des traitements

Ajoutez à votre registre RGPD une colonne « système IA impliqué ». Aucun traitement qui utilise de l'IA ne doit échapper au registre.

3. AIPD / FRIA

Pour chaque système à haut risque ou à risque RGPD élevé : AIPD à jour, FRIA initiée si déployeur d'un système IA Act haut risque. Document court, concret, validé par la direction.

4. Transparence

Information claire sur les sites et produits : chatbot IA identifié comme tel, mention « contenu généré ou assisté par IA » quand pertinent, politique de confidentialité à jour avec mention des systèmes d'IA utilisés.

5. Charte IA interne

Document d'une page minimum, validé par la direction, diffusé à tous les collaborateurs. Cinq sections : outils autorisés, données interdites, relecture humaine, mention IA, point de contact. Notre plan d'adoption 90 jours en propose un modèle.

6. Formation / littératie

Plan de formation IA validé, preuves de formation archivées. La littératie est une obligation IA Act article 4, pas une option. Le parcours IA PRO (RS6776) répond directement à cette exigence.

7. Contractualisation fournisseurs

DPA RGPD + addendum IA Act signé avec OpenAI, Anthropic, Microsoft, Google. Exclusion explicite de l'entraînement sur vos données. Clauses de sortie. Résidence des données documentée.

8. Audit interne

Audit annuel ou semestriel, réalisé par le DPO ou un prestataire, qui teste les procédures : où sont les prompts sensibles ? qui accède à quoi ? quels comptes shadow existent ? Un audit léger de 2 jours suffit dans une PME.

9. Sous-traitance

Si vos fournisseurs utilisent eux-mêmes de l'IA (agence marketing qui écrit vos contenus avec ChatGPT), exigez la transparence et la conformité. Clause contractuelle dédiée.

10. Journalisation

Pour les cas d'usage à haut risque, logs horodatés, accessibles, conservés. Pour les outils SaaS, vérifier la politique de logs du fournisseur et activer les options admin disponibles.

11. Incidents

Procédure de notification interne, point de contact, modèle de déclaration, délais calés sur RGPD (72 h) et IA Act. Exercice de simulation au moins une fois par an.

12. Revues périodiques

Comité IA trimestriel avec direction, DPO, métiers clés, IT. Ordre du jour : cartographie actualisée, incidents, nouveaux usages, formations, évolutions réglementaires.

Les 4 scénarios à risque haut pour une PME

Scénario 1 — Tri automatisé de CV

L'IA filtre ou note des candidats à un poste. Risque élevé au sens de l'IA Act (annexe III). Obligations : supervision humaine, documentation, absence de biais, AIPD et FRIA. Beaucoup de PME utilisent ChatGPT pour trier leurs CV « en mode pratique ». C'est formellement un usage à haut risque qu'il faut encadrer.

Scénario 2 — Scoring de clients ou de prospects

Notation automatique pour accorder un crédit, ouvrir un compte, déterminer un tarif. Haut risque. Votre DPO doit valider la conformité du système utilisé et vérifier que la décision finale reste humaine.

Scénario 3 — Analyse d'émotions ou de vidéos en entretien

Les outils qui analysent le ton, les micro-expressions, le langage corporel d'un candidat tombent dans une zone interdite (article 5). À proscrire purement et simplement.

Scénario 4 — Chatbot client qui prend des décisions contractuelles

Un chatbot qui accepte ou refuse une demande (remboursement, devis, adhésion) doit être supervisé, documenté, et informer l'utilisateur qu'il dialogue avec une IA. Risque limité à élevé selon les conséquences.

Coordonner CNIL et IA Act

La CNIL a publié en 2024-2025 plusieurs fiches pratiques sur l'IA, notamment sur le développement de systèmes, l'utilisation de données d'entraînement, la base légale, l'intérêt légitime et la minimisation. Ces fiches restent la référence opérationnelle pour les questions RGPD. L'IA Act, lui, s'applique au-dessus : il régit le produit IA indépendamment des données personnelles.

En pratique, dans une PME française, le DPO applique les deux régimes en parallèle. Une AIPD RGPD + une FRIA IA Act peuvent cohabiter dans un seul document, à condition qu'il couvre bien les deux dimensions. Notre guide IA Act et RGPD en entreprise détaille cette articulation.

Ce que dit la CNIL en 2026

La position CNIL est claire : pas de conflit entre RGPD et IA Act. Les deux textes se complètent. La CNIL reste l'autorité compétente pour les questions de données personnelles, y compris lorsqu'elles concernent des systèmes d'IA. Le régulateur IA Act en France est encore en cours de désignation, mais la CNIL joue un rôle pivot.

Plan d'action 90 jours pour un DPO

Semaines 1-2 — Cartographie

Recensement des systèmes IA, questionnaire à tous les métiers, extraction des logs SaaS (Microsoft, Google Workspace) pour détecter les usages non déclarés. Livrable : tableau Excel à 20 colonnes.

Semaines 3-4 — Qualification des risques

Chaque système est qualifié (inacceptable / haut / limité / minimal). Les cas à haut risque partent en priorité. Les cas minimal restent documentés mais ne mobilisent pas davantage.

Semaines 5-6 — Charte et contractualisation

Rédaction de la charte IA interne, signature par la direction, diffusion. Revue des contrats fournisseurs, avenants IA Act quand nécessaire.

Semaines 7-8 — AIPD et FRIA

Actualisation ou rédaction des AIPD pour les cas à risque. Ouverture des FRIA pour les déployeurs de systèmes IA Act haut risque.

Semaines 9-10 — Formation et littératie

Déploiement d'un plan de formation minimal à tous les utilisateurs d'IA (1 h obligatoire), plan approfondi pour les métiers exposés. Cadrage avec le plan de développement des compétences.

Semaines 11-12 — Procédures et comité IA

Procédures d'incident, point de contact, calendrier de revue trimestrielle. Premier comité IA réuni, ordre du jour validé.

Ressources officielles

Textes à garder sous la main : le règlement IA Act (Règlement UE 2024/1689), les fiches pratiques CNIL sur l'IA, les lignes directrices du Comité européen de la protection des données, le code de conduite des modèles à usage général publié par la Commission européenne. La plupart sont accessibles en français.

Pour la mise en pratique en entreprise, notre accompagnement Revolia Entreprises couvre le pilotage conformité en plus de la formation. Le parcours IA PRO (RS6776) inclut un module conformité adapté aux DPO et référents IA.