Règlement européen sur l'IA et RGPD : périmètres distincts, obligations cumulées

Le RGPD régit le traitement de données à caractère personnel quel que soit l'outil employé : tableur, base de données, système IA, automate. Il responsabilise le responsable du traitement et le sous-traitant [2]. Le Règlement européen sur l'IA régit les systèmes d'intelligence artificielle quel que soit le type de données traitées : il responsabilise le fournisseur, le déployeur, l'importateur et le distributeur [1].

Un même cas d'usage peut donc relever des deux régimes, ou d'un seul, ou d'aucun. Un système IA qui traite uniquement des données techniques anonymisées relève uniquement du Règlement européen sur l'IA. Un fichier client géré sans IA relève uniquement du RGPD. Un assistant IA qui répond à un client à partir de son dossier relève des deux.

Les classifications ne se recouvrent pas mais se renforcent. Le RGPD impose une analyse d'impact sur la protection des données (AIPD) lorsque le traitement présente un risque élevé pour les droits et libertés des personnes (article 35) [3]. Le Règlement européen sur l'IA classe les systèmes en quatre niveaux : risque inacceptable (interdit), risque élevé (annexe III), risque limité (transparence) et risque minimal.

Un système classé risque élevé selon le Règlement européen sur l'IA appelle systématiquement une AIPD au sens RGPD lorsqu'il traite des données personnelles. Le Règlement européen sur l'IA introduit en outre une analyse d'impact spécifique aux droits fondamentaux (FRIA) à l'article 27, complémentaire à l'AIPD et non substituable [1].

Pour un système IA traitant des données personnelles classé risque élevé en 2026, les obligations cumulées comprennent : base légale et information préalable (RGPD), AIPD (RGPD article 35), FRIA (Règlement européen sur l'IA article 27), évaluation de conformité (Règlement IA articles 43-49), documentation technique annexe IV, système de gestion de la qualité (article 17), supervision humaine effective (article 14), respect de l'article 22 RGPD pour les décisions automatisées [4], surveillance post-déploiement (article 72), enregistrement dans la base de données européenne (article 71).

Aucune de ces obligations ne se substitue à une autre. Les directions juridiques européennes adoptent en 2026 une grille combinée pour éviter la duplication des analyses sans perdre la spécificité de chaque texte.

Le RGPD est en vigueur depuis mai 2018 et son régime de sanctions s'applique pleinement. Les amendes peuvent atteindre 4 pour cent du chiffre d'affaires mondial annuel ou 20 millions EUR [2]. Le Règlement européen sur l'IA est entré en vigueur en août 2024 selon un calendrier progressif : interdictions applicables depuis février 2025, modèles à usage général depuis août 2025, systèmes à risque élevé en août 2026, intégralité du règlement en août 2027 [1].

Les amendes peuvent atteindre 7 pour cent du chiffre d'affaires mondial ou 35 millions EUR. Pour un projet IA cadré en 2026, la double conformité doit être documentée dès la phase de découverte, pas après la mise en production.

En France, la CNIL est l'autorité de référence pour le RGPD et a publié plusieurs avis et recommandations sur l'IA depuis 2023 [5]. Pour le Règlement européen sur l'IA, les autorités de surveillance du marché sont en cours de désignation par les États membres ; la CNIL est largement pressentie pour assumer ce rôle en France pour les usages IA touchant aux données personnelles, en coordination avec l'ARCOM, l'ACPR et l'AMF selon les secteurs.

Le Comité européen de la protection des données (CEPD) et le futur Comité européen de l'IA établissent une jurisprudence commune sur les zones de chevauchement. La règle pratique : un dossier solide pour la CNIL est généralement un dossier solide pour les autres autorités, à condition d'y ajouter explicitement les éléments propres au Règlement européen sur l'IA.