Blog · Actualité IA

IA Act et RGPD :
ce que votre entreprise
doit savoir en 2026

Publié le 18 mars 2026 · 9 min de lecture · Par Emerik Bricaud

Depuis le 2 février 2025, les premières obligations de l'IA Act européen s'appliquent. Le 2 août 2026, ce sera au tour des obligations sur les modèles de fondation et la gouvernance IA en entreprise. Beaucoup d'entreprises françaises découvrent ces règles — et découvrent surtout qu'elles s'articulent avec le RGPD, pas en remplacement. Voici ce que tu dois vraiment savoir pour rester conforme sans paralyser tes projets IA.

IA Act, RGPD : deux règlements, un même objectif

Les deux règlements européens ne se concurrencent pas : ils se complètent.

  • RGPD (2018) : protège les données personnelles — comment on les collecte, traite, conserve, transmet.
  • IA Act (entré en vigueur en août 2024, obligations déployées en 3 phases jusqu'en 2027) : encadre les systèmes d'IA eux-mêmes — leur niveau de risque, leur transparence, leur contrôle humain.

En pratique : si ton IA traite de la donnée personnelle (ce qui est presque toujours le cas), les deux règlements s'appliquent en même temps. Ce n'est pas l'un ou l'autre.

Règle mnémotechnique : le RGPD te dit ce que tu as le droit de faire avec les données. L'IA Act te dit ce que tu as le droit de faire avec les systèmes qui les traitent.

Les 4 niveaux de risque de l'IA Act

L'IA Act classe tous les systèmes d'IA en 4 catégories. Identifier la tienne est la première étape.

1. Risque inacceptable (interdit)

Interdit en Europe depuis février 2025. Inclut : notation sociale généralisée, identification biométrique en temps réel dans l'espace public (sauf exceptions), manipulation comportementale subliminale, reconnaissance d'émotion sur le lieu de travail ou en milieu scolaire.

2. Risque élevé (obligations strictes)

C'est la catégorie qui concerne le plus d'entreprises. Sont classés à haut risque :

  • Systèmes de recrutement et tri de CV
  • Évaluation de performance et promotion
  • Octroi de crédit
  • Gestion d'infrastructures critiques (énergie, transport, santé)
  • Éducation (examens, accès à l'enseignement)
  • Justice et forces de l'ordre

Obligations : documentation technique complète, système de gestion des risques, supervision humaine obligatoire, qualité des données, robustesse, cybersécurité, transparence vers les personnes concernées, enregistrement dans la base européenne.

3. Risque limité (transparence)

Chatbots, générateurs de contenu, systèmes d'IA conversationnels « grand public ». Obligation principale : indiquer à l'utilisateur qu'il interagit avec une IA (ou que le contenu a été généré / manipulé par IA). Pour bien choisir vos outils et comprendre leurs garanties de confidentialité, consultez notre comparatif des LLM.

4. Risque minimal (pas d'obligation)

Filtres anti-spam, recommandation de produits, jeux vidéo. Aucune obligation au titre de l'IA Act — mais le RGPD s'applique toujours si des données personnelles sont traitées.

Le calendrier 2025-2027

  • 2 février 2025 : interdiction des IA à risque inacceptable + obligations de formation IA (« AI literacy ») pour les entreprises qui développent ou déploient de l'IA.
  • 2 août 2025 : obligations sur les modèles de fondation généraux (GPAI — pour OpenAI, Anthropic, Google, etc.).
  • 2 août 2026 : entrée en vigueur générale des obligations sur les IA à haut risque « autonomes ». C'est l'échéance majeure pour les entreprises.
  • 2 août 2027 : dernière phase, couvrant les IA à haut risque intégrées à des produits régulés (dispositifs médicaux, jouets, véhicules…).

Ce que la plupart des entreprises oublient

L'obligation de formation (déjà en vigueur)

Depuis février 2025, toute entreprise qui utilise de l'IA doit s'assurer que ses collaborateurs concernés ont un niveau suffisant de maîtrise IA (« AI literacy », article 4 de l'IA Act). Ce n'est pas un plan de formation symbolique : il faut pouvoir démontrer que les utilisateurs comprennent comment l'IA fonctionne, quelles sont ses limites, et comment garder le contrôle.

En pratique : un plan de formation documenté, des supports datés, des attestations de suivi. C'est exactement ce que nos formations parcours IA PRO et IA Vente, certifiées Qualiopi, permettent de mettre en place de manière conforme.

La classification des systèmes d'IA utilisés

Tu dois savoir quels systèmes d'IA sont utilisés dans ton entreprise, leur niveau de risque, et qui en est responsable. Un registre des IA, tenu à jour, devient l'équivalent de ton registre RGPD. Si tu n'as pas commencé, c'est le premier chantier à lancer.

La supervision humaine systématique

Pour les IA à haut risque, l'article 14 impose une supervision humaine effective : les utilisateurs doivent comprendre le système, pouvoir intervenir, pouvoir désactiver, pouvoir contester les sorties. Un humain dans la boucle, pas seulement dans la documentation.

Les sanctions (elles sont massives)

  • Jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites.
  • Jusqu'à 15 M€ ou 3 % du CA mondial pour les violations d'obligations (haut risque, transparence).
  • Jusqu'à 7,5 M€ ou 1 % du CA mondial pour fourniture d'informations inexactes aux autorités.

À titre de comparaison, les sanctions RGPD plafonnent à 4 % du CA. L'IA Act pique plus fort.

Le plan en 6 étapes pour être conforme

Étape 1 · Cartographie (2-4 semaines)

Recense tous les systèmes d'IA utilisés : abonnements ChatGPT, agents internes, outils SaaS qui embarquent de l'IA (HubSpot, Salesforce, Notion), intégrations custom. La plupart des entreprises sous-estiment x3 le nombre réel.

Étape 2 · Classification (2 semaines)

Pour chacun, identifie : niveau de risque IA Act, type de données traitées, base légale RGPD, fournisseur, responsable interne. Construis ton registre IA.

Étape 3 · Formation (en continu)

Mets en place un plan de formation IA pour les équipes utilisatrices. Attention : la sensibilisation d'une heure ne suffit pas — il faut du concret, adapté aux cas d'usage métier, avec des supports et attestations.

Étape 4 · Gouvernance (1-2 mois)

Désigne un référent IA (souvent DPO + DSI + juridique en comité). Formalise une charte d'usage, un process de validation des nouveaux outils, un canal de remontée des incidents.

Étape 5 · Mise en conformité technique (selon systèmes à haut risque)

Pour les systèmes classés haut risque : documentation technique, analyse d'impact, intégration de la supervision humaine, tests de robustesse. C'est le chantier long.

Étape 6 · Revue continue

Le paysage IA évolue vite. Prévois une revue semestrielle du registre et des pratiques. Ce n'est pas une conformité « one shot ».

Et concrètement, pour un usage courant de ChatGPT ?

La question la plus fréquente. Voici les 5 règles simples à respecter si ton entreprise utilise ChatGPT, Claude ou Gemini au quotidien :

  1. Offre Entreprise : passer à une offre ChatGPT Team/Enterprise, Claude Team/Enterprise ou Gemini Business/Enterprise qui désactive l'entraînement sur tes données et fournit un DPA conforme RGPD.
  2. Données personnelles : anonymiser avant saisie, ou restreindre les cas d'usage autorisés.
  3. Transparence : si un contenu diffusé à des tiers est généré par IA, l'indiquer (surtout emails clients, contenus marketing).
  4. Décision automatisée : aucune décision affectant significativement une personne (recrutement, notation, refus) ne doit être prise par l'IA seule (article 22 RGPD).
  5. Formation : former les utilisateurs et documenter la formation (AI literacy).

Pour aller plus loin

Cette mise en conformité est aussi une opportunité de structurer une vraie politique IA qui accélère tes projets au lieu de les freiner. Notre offre pour former ses équipes combine un volet formation Qualiopi (AI literacy conforme) et un volet gouvernance pour accompagner la mise en conformité globale.

FAQ

Questions fréquentes — IA Act et RGPD en entreprise

L'IA Act s'applique-t-il à toutes les entreprises ?
Oui dès que vous déployez un système d'IA dans l'UE, quelle que soit votre taille. Les obligations varient selon le niveau de risque du système (prohibé / haut risque / risque limité / minimal). La plupart des usages d'IA générative en PME tombent en risque limité ou minimal.
Utiliser ChatGPT en entreprise, c'est conforme au RGPD ?
Oui si vous utilisez une version Team/Enterprise (OpenAI, Anthropic, Google) qui contractualise les engagements data + isole de l'entraînement. Sur la version grand public, vous tombez dans une zone grise — évitez d'y coller des données personnelles identifiantes de tiers (clients, salariés).
Faut-il une charte IA interne ?
Fortement recommandé. Une charte IA de 1-2 pages : outils autorisés, données interdites de copie, obligation de relecture humaine, mention de l'usage IA quand pertinent. Elle doit aussi figurer au règlement intérieur si vous encadrez les usages.
Qui est responsable si l'IA produit une erreur diffusée en externe ?
L'entreprise utilisatrice. L'IA n'est pas une personne juridique. Toute sortie diffusée engage son émetteur. Le RGPD impose par ailleurs une intervention humaine significative sur toute décision produisant des effets juridiques.
Faut-il une AIPD (analyse d'impact) pour un déploiement IA ?
Oui si vous traitez des données personnelles à large échelle, des données sensibles, ou si vous automatisez des décisions RH, commerciales ou juridiques sur personnes physiques. La CNIL propose un modèle d'AIPD adapté à l'IA.
Comment former ses équipes à ces exigences ?
Une sensibilisation 2h suffit pour poser les règles. Une formation de fond (type parcours IA PRO) intègre le cadre RGPD + IA Act aux cas d'usage concrets. Détails sur former mes équipes.

À lire aussi

IA générative · 10 min

ChatGPT vs Claude vs Gemini : lequel choisir en 2026
Cas d'usage · 7 min

Comment les consultants RH intègrent l'IA dans leurs missions
Prompting · 9 min

La méthode CRAFT : écrire des prompts qui marchent à tous les coups
Et maintenant ?

Passer à l'action : maîtriser l'IA dans votre métier

Le parcours IA PRO vous fait passer du bricolage à une pratique structurée, avec la certification RS6776. 16h, 100% en ligne, éligible OPCO.

Voir le Parcours IA PRO → Rejoindre le Challenge IA (gratuit)