RGPD et outils IA : guide conformite 2026

Depuis l'entree en vigueur du Reglement europeen sur l'intelligence artificielle (Reg. UE 2024/1689) le 1er aout 2024, les entreprises europeennes vivent la plus profonde transformation de leur cadre numerique depuis le RGPD de 2018. En 2026, l'enjeu n'est plus de savoir si vous devez vous conformer, mais comment articuler concretement le RGPD et l'AI Act lorsque vos equipes utilisent ChatGPT, Claude, Microsoft Copilot, Mistral Le Chat ou Gemini au quotidien. La CNIL a publie en 2024 et 2025 plusieurs recommandations sur l'IA generative, et le Comite europeen de la protection des donnees (EDPB) a rendu son opinion 28/2024 sur les modeles d'IA. Le message est clair : un prompt mal pense peut couter jusqu'a 4% du chiffre d'affaires mondial au titre du RGPD, et jusqu'a 7% au titre de l'AI Act.

TL;DR : les 5 obligations cles 2026

1. Le cadre legal europeen 2026 : RGPD + AI Act

Le RGPD (Reglement UE 2016/679) reste la colonne vertebrale de la protection des donnees personnelles. Il s'applique des qu'un outil IA traite des donnees identifiantes : nom, email, IP, photo, voix, identifiant client. L'AI Act, lui, ne remplace pas le RGPD : il s'y ajoute. Il regule les systemes d'IA en tant que produits, independamment du fait qu'ils traitent ou non des donnees personnelles.

Calendrier d'application de l'AI Act : 2 fevrier 2025 pour les pratiques interdites, 2 aout 2025 pour les modeles d'IA a usage general (GPAI), 2 aout 2026 pour la majorite des obligations (gouvernance, haut risque non integre dans des produits regules), 2 aout 2027 pour le haut risque integre. Le texte officiel est consultable sur [EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) et le portail dedie [AI Act Explorer](https://artificialintelligenceact.eu/).

2. Classification AI Act : 4 niveaux de risque

L'AI Act classe les systemes en quatre categories, qui determinent vos obligations.

3. Bases legales RGPD pour utiliser un outil IA

L'article 6 du RGPD impose une base legale pour tout traitement. Pour les outils IA, trois bases dominent en pratique.

Consentement (art. 6.1.a) : la base la plus solide pour les services BtoC, mais la plus fragile car retractable a tout moment. Adaptee aux assistants conversationnels grand public, recommandee par la CNIL pour le scraping de donnees publiques d'entrainement.

Execution d'un contrat (art. 6.1.b) : valable quand l'IA est strictement necessaire a la prestation (transcription d'une reunion souscrite par le client, traduction d'un document fourni). Ne couvre pas les usages annexes comme l'analyse statistique.

Interet legitime (art. 6.1.f) : base la plus utilisee en BtoB. Elle exige un test de mise en balance documente (LIA - Legitimate Interest Assessment) demontrant que vos interets ne sont pas surpasses par les droits des personnes. La CNIL a publie en 2024 une grille d'analyse specifique IA, disponible sur [cnil.fr/ia](https://www.cnil.fr/fr/intelligence-artificielle).

4. Transferts hors UE : DPF, SCC, BCR

C'est l'angle mort le plus dangereux. Des qu'un prompt part vers OpenAI, Anthropic ou Google, vous transferez probablement des donnees hors UE. Trois mecanismes legitiment ce transfert (article 46 RGPD).

Data Privacy Framework (DPF) : decision d'adequation Commission europeenne du 10 juillet 2023 pour les Etats-Unis. Couvre uniquement les entreprises certifiees DPF (verifiables sur [dataprivacyframework.gov](https://www.dataprivacyframework.gov)). OpenAI, Anthropic et Microsoft sont certifies, mais la certification doit etre verifiee chaque annee.

Clauses contractuelles types (SCC) : modeles de la Commission europeenne (decision 2021/914) integres dans les DPA des fournisseurs. Exigent un Transfer Impact Assessment (TIA) documente, surtout depuis l'arret Schrems II de la CJUE.

Regles d'entreprise contraignantes (BCR) : pour les multinationales avec entites hors UE. Procedure longue mais robuste, validee par les autorites de controle.

L'EDPB rappelle dans ses [recommandations 01/2020](https://www.edpb.europa.eu/our-work-tools/our-documents/recommendations_en) qu'aucun de ces mecanismes ne dispense d'evaluer les mesures complementaires : chiffrement de bout en bout, pseudonymisation systematique, hebergement regional.

5. Article 22 RGPD : droit a l'explication et decisions automatisees

L'article 22 RGPD interdit toute decision exclusivement automatisee produisant des effets juridiques significatifs sur une personne, sauf exceptions encadrees (contrat necessaire, consentement explicite, autorisation legale). Concretement : refus de credit decide par un algorithme, tri automatique de CV qui elimine un candidat, fixation d'une prime d'assurance opaque.

Les obligations associees : informer la personne de l'existence du traitement automatise, fournir des informations utiles sur la logique sous-jacente (les criteres principaux, pas le code source), garantir l'intervention humaine, permettre de contester la decision. La CJUE a clarifie dans l'arret SCHUFA (C-634/21, decembre 2023) que le simple scoring constitue une decision au sens de l'article 22, meme si une personne valide ensuite formellement.

6. Minimisation et anonymisation avant le prompt

Principe cardinal du RGPD (article 5.1.c) : ne traiter que les donnees strictement necessaires. Pour l'IA generative, cela signifie nettoyer chaque prompt.

L'EDPB precise dans son opinion 28/2024 qu'un modele entraine peut etre considere comme non personnel si l'anonymisation est demontree, mais le seuil est eleve : risque de re-identification residuel evalue comme negligeable.

7. DPIA : l'analyse d'impact obligatoire

L'article 35 RGPD impose une analyse d'impact relative a la protection des donnees (DPIA / AIPD) pour tout traitement susceptible d'engendrer un risque eleve. La CNIL liste sur [cnil.fr](https://www.cnil.fr/fr/AIPD) les traitements pour lesquels une DPIA est obligatoire. Pour l'IA, cela inclut : profilage a grande echelle, surveillance systematique, donnees sensibles a grande echelle, decisions automatisees, evaluation des salaries, biometrie.

L'AI Act ajoute (article 27) une Fundamental Rights Impact Assessment (FRIA) pour les autorites publiques et certains operateurs prives deployant un systeme haut risque. Les deux analyses peuvent etre fusionnees dans un document unique, recommandation du Comite europeen.

8. Vendor due diligence : checklist 2026

Avant de signer avec un fournisseur IA, exigez les elements suivants. Notre [classement Trust Ranking](/fr/trust-ranking) evalue ces criteres pour les principaux outils du marche.

Pour aller plus loin sur la due diligence des fournisseurs IA, consultez [ai-due.com](https://ai-due.com), qui propose une methodologie d'audit specialisee pour les achats IA en entreprise.

9. Outils IA RGPD-friendly 2026

Notre [comparateur d'outils](/fr/tools) classe les principales solutions selon leur niveau de conformite. Synthese 2026.

Pour les PME suisses confrontees a la fois au RGPD (clients UE) et a la nLPD federale, [iapmesuisse.ch](https://iapmesuisse.ch) propose un accompagnement specifique sur le choix et le deploiement d'outils IA conformes au double cadre.

10. Sanctions encourues

RGPD (article 83) : jusqu'a 20 M EUR ou 4% du chiffre d'affaires annuel mondial, le montant le plus eleve etant retenu. La CNIL a inflige plusieurs sanctions superieures a 100 M EUR depuis 2023.

AI Act (article 99) : jusqu'a 35 M EUR ou 7% du CA mondial pour les pratiques interdites, 15 M EUR ou 3% pour la majorite des autres infractions, 7,5 M EUR ou 1% pour la fourniture d'informations incorrectes aux autorites.

S'ajoutent les sanctions civiles (actions de groupe possibles via l'action representative directive 2020/1828), le risque reputationnel et la suspension du traitement ordonnee par l'autorite de controle.

11. Checklist actionnable PME en 10 etapes

FAQ

Vous trouverez ci-dessous les questions les plus frequemment posees par les DPO, DSI et juristes sur la conformite IA en 2026.