ConformiaCommencer l'audit gratuit
← Blog·EU AI Act

RGPD vs EU AI Act : quelles différences pour les entreprises ?

20 février 2026·8 min de lecture

Beaucoup d'entreprises françaises pensent que leur conformité RGPD suffit pour couvrir l'EU AI Act. C'est une erreur fréquente et potentiellement coûteuse. Les deux règlements ont des logiques, des périmètres et des obligations très différents. Voici comment les distinguer et les articuler.

Deux règlements, deux logiques fondamentalement différentes

Le RGPD (Règlement Général sur la Protection des Données, Règlement (UE) 2016/679) est centré sur les données personnelles : comment elles sont collectées, pour quelle finalité, comment elles sont protégées, quels droits ont les personnes sur leurs données. L'EU AI Act, lui, est centré sur les systèmes d'IA : quels risques ils présentent, comment ils doivent être conçus, documentés et supervisés, quelles catégories sont interdites ou soumises à des conditions strictes.

Un système d'IA peut ne pas traiter de données personnelles (et donc ne pas relever du RGPD) tout en étant soumis à l'EU AI Act. Inversement, un traitement de données personnelles sans IA relève du RGPD mais pas de l'EU AI Act. Et bien sûr, beaucoup de systèmes d'IA traitent des données personnelles — dans ce cas, les deux règlements s'appliquent cumulativement.

Tableau comparatif : RGPD vs EU AI Act

Objet :

  • RGPD : Protection des données personnelles
  • EU AI Act : Encadrement des systèmes d'intelligence artificielle

Périmètre :

  • RGPD : Tout traitement de données personnelles de résidents UE
  • EU AI Act : Tout système d'IA mis sur le marché ou utilisé dans l'UE

Concept central :

  • RGPD : La donnée personnelle et les droits des personnes concernées
  • EU AI Act : Le risque que présente le système d'IA pour les droits fondamentaux

Obligations principales :

  • RGPD : Base légale, minimisation des données, droits d'accès/rectification/suppression, sécurité, DPA
  • EU AI Act : Classification du risque, documentation technique, supervision humaine, transparence, enregistrement

Autorité de contrôle en France :

  • RGPD : CNIL (Commission Nationale de l'Informatique et des Libertés)
  • EU AI Act : CNIL + autorités sectorielles (ANSM, ACPR, etc.) selon le domaine

Sanctions maximales :

  • RGPD : 20 millions € ou 4 % du CA mondial
  • EU AI Act : 35 millions € ou 7 % du CA mondial

Les zones de chevauchement : quand les deux s'appliquent simultanément

La grande majorité des systèmes d'IA en entreprise traitent des données personnelles. Un chatbot client enregistre les conversations. Un outil RH traite les données des candidats. Un système de recommandation analyse les comportements d'achat. Dans tous ces cas, RGPD et EU AI Act s'appliquent en même temps, avec des obligations qui se complètent.

Exemples de chevauchements :

  • Les analyses d'impact : l'EU AI Act impose des évaluations de conformité pour les systèmes à risque élevé, le RGPD impose des analyses d'impact (AIPD) pour les traitements à risque élevé. Ces deux démarches peuvent être coordonnées.
  • La documentation : l'EU AI Act exige une documentation technique des systèmes IA, le RGPD exige un registre des traitements. Ces registres peuvent être intégrés.
  • La transparence : les deux règlements imposent d'informer les personnes. L'information RGPD sur le traitement des données peut intégrer l'information EU AI Act sur le recours à l'IA.
  • La supervision : l'EU AI Act exige une supervision humaine des décisions IA, le RGPD interdit les décisions entièrement automatisées sans intervention humaine (article 22).

Les différences pratiques pour votre organisation

Responsable désigné

Le RGPD impose un DPO (Délégué à la Protection des Données) dans certains cas. L'EU AI Act ne crée pas d'obligation similaire de désignation d'un responsable dédié, mais les entreprises qui utilisent des systèmes à risque élevé ont besoin d'une personne compétente pour piloter la conformité. En pratique, cette responsabilité peut être portée par le DPO existant, un responsable conformité, ou le DSI.

Droits des personnes

Le RGPD crée des droits individuels étendus (accès, rectification, suppression, portabilité, opposition). L'EU AI Act est moins centré sur les droits individuels directs — il porte davantage sur les obligations systémiques des opérateurs. Toutefois, l'article 86 de l'EU AI Act prévoit un droit à l'explication pour les personnes affectées par des systèmes à risque élevé.

Calendrier d'application

Le RGPD est applicable depuis mai 2018. L'EU AI Act est en cours de déploiement progressif : certaines obligations depuis février 2025, la majorité depuis août 2026, certaines obligations spécifiques jusqu'en 2027. L'urgence côté EU AI Act est donc plus immédiate pour les entreprises qui n'ont pas encore commencé leur démarche de conformité.

Comment articuler les deux démarches de conformité ?

  1. Inventaire conjoint : identifiez pour chaque traitement de données s'il implique de l'IA. Deux réponses : il est dans le périmètre RGPD seul, dans les deux périmètres, ou (rarement) dans l'EU AI Act seul.
  2. Coordination des équipes : DPO et responsable conformité IA doivent collaborer, pas travailler en silos.
  3. Documentation intégrée : cherchez à construire une documentation qui répond aux deux exigences, pour éviter les doublons et les contradictions.
  4. Formation commune : sensibilisez vos équipes aux deux règlements simultanément, en expliquant les complémentarités.
  5. Audit structuré : réalisez un audit EU AI Act spécifique (comme celui de Conformia) en complément de votre bilan RGPD existant.

Vous avez déjà votre conformité RGPD en place ? L'audit Conformia (/audit) vous permet d'évaluer rapidement ce qui manque côté EU AI Act, sans reprendre tout depuis zéro. Le rapport généré est complémentaire de votre documentation RGPD existante.

Ce qui ne change pas avec l'EU AI Act

Votre conformité RGPD existante reste valable et nécessaire. Elle n'est pas remplacée par l'EU AI Act — elle est complétée. Les investissements faits dans la protection des données, les registres de traitement, les politiques de confidentialité, la gestion des droits des personnes : tout cela reste pertinent et même renforcé dans un contexte où les systèmes d'IA traitent de plus en plus de données sensibles.

Conclusion

RGPD et EU AI Act sont deux cadres complémentaires, pas redondants. La conformité RGPD ne couvre pas les obligations EU AI Act, mais les deux démarches peuvent être coordonnées intelligemment pour maximiser l'efficacité. La priorité aujourd'hui : réaliser un audit EU AI Act pour identifier précisément ce qui s'ajoute à votre conformité RGPD existante.

Évaluez la conformité de votre IA maintenant

Audit gratuit en 10 minutes. Rapport de conformité EU AI Act à 49 € TTC.

Démarrer l'audit gratuit →

Sans inscription · Résultat immédiat · Rapport disponible à 49 €

Autres articles

15 mars 2026

L'EU AI Act expliqué simplement aux PME françaises

Le Règlement européen sur l'IA (EU AI Act) est entré dans le droit positif en 2024. Pour les PME françaises qui utilisent des outils d'intelligence artificielle, les obligations commencent à s'appliquer à partir de 2026. Voici un guide clair pour comprendre ce qui vous concerne vraiment.

10 mars 2026

Chatbot conforme à l'EU AI Act : la checklist 2026

Les chatbots sont parmi les outils d'IA les plus répandus en entreprise. Ils sont aussi directement visés par l'EU AI Act, notamment sur les obligations de transparence. Cette checklist vous aide à vérifier la conformité de votre chatbot avant la date butoir du 2 août 2026.

5 mars 2026

EU AI Act : 5 erreurs que font les PME (et comment les éviter)

Depuis que l'EU AI Act est entré en vigueur, beaucoup de PME françaises adoptent la même posture : attendre de voir ce qui se passe. C'est souvent la première erreur d'une série. Voici les 5 pièges les plus fréquents — et comment les éviter avant le 2 août 2026.