Vous utilisez un logiciel qui trie les candidatures, attribue un score à vos clients ou automatise une décision ? Vous êtes peut-être déjà concerné par deux réglementations à la fois, et la facture, en cas de manquement, peut grimper bien au-delà de ce que vous imaginez.
Pendant des années, la conformité numérique se résumait pour beaucoup au RGPD. Désormais, un second texte s'empile : le règlement européen sur l'intelligence artificielle, l'AI Act (règlement UE 2024/1689). Et contrairement à une idée répandue, il ne concerne pas seulement les géants de la tech. Toute entreprise qui déploie un outil d'IA, même acheté à un tiers, peut en relever.
Le risque nouveau, c'est le cumul. Un même usage, par exemple un tri de CV automatisé, peut être examiné sous l'angle du RGPD pour le traitement des données des candidats, et sous l'angle de l'AI Act pour le système d'IA qui réalise ce tri. Deux régimes, deux autorités, deux grilles de sanction. C'est ce que nous allons décortiquer, sans catastrophisme mais sans angle mort.
Deux textes qui ne protègent pas la même chose
Pour comprendre le cumul, il faut d'abord saisir que RGPD et AI Act ne visent pas le même objet. Ils se recoupent souvent, mais ils ne font pas double emploi.
Protéger les données personnelles
- S'applique dès qu'il y a des données personnelles
- Base légale, information, droits des personnes
- Encadre la décision automatisée (art. 22)
- Jusqu'à 20 M€ ou 4 % du chiffre d'affaires
Encadrer le système d'IA
- S'applique au système d'IA, même sans données perso
- Classement par niveau de risque
- Documentation, transparence, supervision humaine
- Jusqu'à 35 M€ ou 7 % du chiffre d'affaires
Le RGPD se déclenche dès qu'un traitement porte sur des données personnelles. L'AI Act, lui, classe les systèmes d'IA selon quatre niveaux de risque : inacceptable (interdit), haut risque (obligations lourdes), risque limité (transparence), et risque minimal (libre). C'est ce classement qui détermine vos obligations.
Bon à savoir : dans le vocabulaire de l'AI Act, l'entreprise qui utilise un système d'IA fourni par un tiers est un "déployeur". Vous n'avez pas développé l'outil ? Vous restez tout de même soumis à des obligations propres, et co-responsable de sa conformité dans la chaîne.
D'où vient la "double sanction"
Venons-en au cœur du sujet, et à l'honnêteté qu'il impose. Le chiffre choc qui circule, une addition des plafonds des deux règlements, n'est pas une amende unique que vous recevriez d'un coup. C'est un cumul théorique de deux risques distincts.
Concrètement, un manquement à l'AI Act sur un système à haut risque peut être sanctionné jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires, et jusqu'à 35 millions ou 7 % pour une pratique interdite. En parallèle, un manquement au RGPD sur le même outil, par exemple une base légale absente ou une information défaillante des personnes, peut être sanctionné jusqu'à 20 millions ou 4 %. Les deux procédures sont indépendantes.
La même IA peut violer le RGPD (traitement des données) et l'AI Act (système d'IA). Ce ne sont pas deux fois la même faute, mais deux fautes sur deux fondements, chacune avec sa sanction.
C'est cette superposition qui justifie de parler de double exposition. Pour une grande entreprise, le total théorique peut atteindre plusieurs dizaines de millions d'euros. Pour une PME, les montants réels seront sans commune mesure, mais le principe demeure : un seul outil mal maîtrisé peut déclencher deux contrôles, deux mises en demeure, deux sanctions.
Attention : additionner mécaniquement les plafonds pour annoncer un chiffre unique serait juridiquement inexact. Chaque autorité instruit son propre dossier selon ses propres critères. Le vrai message n'est pas "vous risquez 55 millions", mais "vous êtes désormais exposé sur deux fronts au lieu d'un".
Les usages d'IA classés à haut risque
La question décisive est de savoir si votre outil tombe dans la catégorie "haut risque". L'annexe III de l'AI Act en dresse la liste, et plusieurs usages très répandus en entreprise y figurent. Ce ne sont pas des cas exotiques.
Recrutement automatisé
Tri de CV, présélection de candidats, évaluation par IA. Un usage RH extrêmement courant, désormais sous surveillance.
Scoring et crédit
Évaluation de la solvabilité, attribution d'un score client, décisions financières assistées par algorithme.
Évaluation des salariés
Notation de performance, surveillance ou orientation des employés par des systèmes automatisés.
Si votre entreprise utilise l'un de ces dispositifs, vous êtes très probablement déployeur d'un système à haut risque. Cela enclenche des obligations renforcées : documentation technique, transparence vis-à-vis des personnes concernées, supervision humaine effective, et gestion des risques tout au long du cycle de vie de l'outil.
Ces obligations rejoignent d'ailleurs une exigence que le RGPD pose déjà depuis 2018. Son article 22 encadre les décisions entièrement automatisées produisant des effets significatifs sur les personnes, et impose notamment un droit à une intervention humaine. La supervision humaine n'est donc pas une nouveauté de l'AI Act, c'est un point de convergence des deux textes.
Vos traitements de données sont-ils déjà en règle ?
Avant même l'AI Act, le socle RGPD doit être solide. Vérifiez en quelques minutes où en est la conformité de votre site et de vos traitements.
Le calendrier, et pourquoi il ne faut pas trop s'y fier
L'AI Act s'applique de manière échelonnée, et c'est ici qu'il faut être particulièrement prudent, car le calendrier a récemment évolué.
Pratiques interdites et littératie IA
Les systèmes à risque inacceptable sont interdits. L'obligation de former le personnel à un usage éclairé de l'IA entre en application.
Modèles d'IA à usage général
Les fournisseurs de modèles type IA générative doivent respecter de nouvelles obligations de transparence et de documentation.
Activation des pouvoirs de sanction
Les pouvoirs de sanction liés au règlement s'activent. C'est l'échéance qui transforme les obligations en risque financier concret.
Obligations haut risque (annexe III)
Initialement prévues pour août 2026, ces obligations pourraient être reportées selon l'accord provisoire Digital Omnibus de mai 2026. À confirmer après publication officielle.
Un texte appelé Digital Omnibus, issu d'un accord provisoire entre le Conseil et le Parlement en mai 2026, propose de repousser l'application des obligations haut risque de l'annexe III au 2 décembre 2027. Mais attention : à la rédaction de cet article, cette modification n'était pas encore définitivement publiée au Journal officiel de l'Union européenne. Le calendrier reste donc mouvant.
Attention : se reposer sur un report non encore publié serait une stratégie risquée. Le report éventuel ne concerne ni les pratiques interdites, ni l'obligation de formation à l'IA, ni a priori les pouvoirs de sanction qui s'activent. Préparer sa conformité dès maintenant reste la seule position prudente.
Votre plan d'action en cinq étapes
La bonne nouvelle, c'est que la démarche de mise en conformité à l'AI Act ressemble beaucoup à celle du RGPD. Si vous avez déjà fait ce travail pour vos données, vous avez les réflexes. Voici les étapes prioritaires.
- Cartographiez vos systèmes d'IA : recensez tous les outils utilisant de l'IA, y compris ceux fournis par des prestataires, et notez ce qu'ils font.
- Qualifiez leur niveau de risque : déterminez si chaque outil relève du haut risque (annexe III), du risque limité ou minimal.
- Vérifiez la base RGPD : base légale, information des personnes, droits, et conformité de l'article 22 sur les décisions automatisées.
- Garantissez une supervision humaine : aucune décision significative ne doit reposer entièrement sur la machine sans contrôle humain réel.
- Encadrez vos prestataires : exigez la documentation de conformité de vos fournisseurs d'IA et formalisez les responsabilités par contrat.
Sur le volet contractuel, la logique rejoint celle de la sous-traitance que vous connaissez peut-être déjà. Vérifier les garanties d'un prestataire d'IA s'apparente à la vérification que vous devriez mener sur tout sous-traitant traitant vos données. Pour approfondir le socle commun aux deux régimes, notre guide complet des obligations de l'AI Act pour votre entreprise détaille chaque niveau de risque et les démarches associées.
Enfin, n'oubliez pas que tout commence par un socle RGPD solide. Un système d'IA conforme à l'AI Act mais bâti sur un traitement de données illégal reste sanctionnable. Avant de viser l'AI Act, assurez-vous que vos fondations sont saines, à commencer par une politique de confidentialité conforme qui informe correctement les personnes sur l'usage de leurs données, y compris par des outils automatisés.
Questions fréquentes
Peut-on être sanctionné deux fois pour le même usage d'IA ?
Oui, sur des fondements différents. Un même outil d'IA traitant des données personnelles peut relever à la fois du RGPD (pour le traitement des données) et de l'AI Act (pour le système d'IA lui-même). Les deux régimes ont leurs propres autorités, obligations et plafonds de sanction, qui peuvent se cumuler en théorie.
Quel est le montant maximal des sanctions de l'AI Act ?
L'article 99 du règlement prévoit trois paliers. Les pratiques interdites peuvent être sanctionnées jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Le non-respect des obligations applicables aux systèmes à haut risque peut atteindre 15 millions d'euros ou 3 %. Les informations trompeuses fournies aux autorités, jusqu'à 7,5 millions ou 1 %. Le montant le plus élevé est retenu.
Le tri de CV par IA est-il considéré comme à haut risque ?
Oui. Le recrutement automatisé, l'évaluation des salariés et le scoring de crédit figurent parmi les usages classés à haut risque par l'annexe III de l'AI Act. Ces systèmes sont soumis à des obligations renforcées de documentation, de transparence, de supervision humaine et de gestion des risques.
Quand les obligations haut risque de l'AI Act s'appliquent-elles ?
Le calendrier a évolué. Initialement prévues pour le 2 août 2026, les obligations relatives aux systèmes à haut risque de l'annexe III pourraient être reportées au 2 décembre 2027, selon l'accord provisoire dit Digital Omnibus de mai 2026. Ce report n'était pas définitivement publié au Journal officiel à la rédaction de cet article, donc se reposer dessus serait risqué.
Une PME est-elle vraiment concernée par l'AI Act ?
Oui. L'AI Act prévoit une application proportionnée pour les PME, mais pas une dispense. Si une PME utilise un outil de recrutement automatisé, de scoring ou de profilage, elle est déployeur au sens du règlement et doit respecter les obligations correspondantes, y compris quand l'outil est fourni par un tiers.
Le RGPD suffit-il si je suis déjà conforme ?
Non, les deux textes sont complémentaires. Être conforme au RGPD couvre le traitement des données personnelles, mais pas les obligations propres au système d'IA (documentation technique, gestion des risques, marquage de conformité). À l'inverse, un système d'IA conforme à l'AI Act mais reposant sur des données collectées illégalement reste sanctionnable au titre du RGPD.
Recevez la checklist de conformité RGPD (12 points)
La liste complète des éléments à vérifier sur votre site, point par point, pour vous mettre en conformité. Envoi immédiat par e-mail.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.