--- title: "Règlement européen sur l'IA et RGPD : comment ils se combinent | Impetora" description: "Comparaison structurée du Règlement européen sur l'IA et du RGPD : périmètres, obligations cumulées, calendrier 2025 à 2027, AIPD, FRIA et évaluation de conformité." url: https://impetora.com/fr/reponses/reglement-ia-vs-rgpd locale: fr author: Impetora --- # Règlement européen sur l'IA et RGPD : périmètres distincts, obligations cumulées > Le Règlement européen sur l'IA (règlement (UE) 2024/1689) et le Règlement général sur la protection des données (règlement (UE) 2016/679) sont deux textes distincts, applicables simultanément, dont les obligations s'additionnent dès qu'un système IA traite des données à caractère personnel. Les confondre conduit à des erreurs coûteuses ; les traiter en silos conduit à du double travail. Ce guide expose la grille de lecture pratique en 2026. ## Quels sont les périmètres respectifs ? Le RGPD régit le traitement de données à caractère personnel quel que soit l'outil employé : tableur, base de données, système IA, automate. Il responsabilise le responsable du traitement et le sous-traitant. Le Règlement européen sur l'IA régit les systèmes d'intelligence artificielle quel que soit le type de données traitées : il responsabilise le fournisseur, le déployeur, l'importateur et le distributeur. Un même cas d'usage peut donc relever des deux régimes, ou d'un seul, ou d'aucun. Un système IA qui traite uniquement des données techniques anonymisées relève uniquement du Règlement européen sur l'IA. Un fichier client géré sans IA relève uniquement du RGPD. Un assistant IA qui répond à un client à partir de son dossier relève des deux. ## Comment s'articule la classification des risques ? Les classifications ne se recouvrent pas mais se renforcent. Le RGPD impose une analyse d'impact sur la protection des données (AIPD) lorsque le traitement présente un risque élevé pour les droits et libertés des personnes (article 35). Le Règlement européen sur l'IA classe les systèmes en quatre niveaux : risque inacceptable (interdit), risque élevé (annexe III), risque limité (transparence) et risque minimal. Un système classé risque élevé selon le Règlement européen sur l'IA appelle systématiquement une AIPD au sens RGPD lorsqu'il traite des données personnelles. Le Règlement européen sur l'IA introduit en outre une analyse d'impact spécifique aux droits fondamentaux (FRIA) à l'article 27, complémentaire à l'AIPD et non substituable. ## Quelles obligations s'additionnent en pratique ? Pour un système IA traitant des données personnelles classé risque élevé en 2026, les obligations cumulées comprennent : base légale et information préalable (RGPD), AIPD (RGPD article 35), FRIA (Règlement européen sur l'IA article 27), évaluation de conformité (Règlement européen sur l'IA articles 43-49), documentation technique annexe IV, système de gestion de la qualité (article 17), supervision humaine effective (article 14), respect de l'article 22 RGPD pour les décisions automatisées, surveillance post-déploiement (article 72), enregistrement dans la base de données européenne (article 71). Aucune de ces obligations ne se substitue à une autre. Les directions juridiques européennes adoptent en 2026 une grille combinée pour éviter la duplication des analyses sans perdre la spécificité de chaque texte. ## Quel calendrier pour les deux textes ? Le RGPD est en vigueur depuis mai 2018 et son régime de sanctions s'applique pleinement. Les amendes peuvent atteindre 4 pour cent du chiffre d'affaires mondial annuel ou 20 millions EUR. Le Règlement européen sur l'IA est entré en vigueur en août 2024 selon un calendrier progressif : interdictions applicables depuis février 2025, modèles à usage général depuis août 2025, systèmes à risque élevé en août 2026, intégralité du règlement en août 2027. Les amendes peuvent atteindre 7 pour cent du chiffre d'affaires mondial ou 35 millions EUR. Pour un projet IA cadré en 2026, la double conformité doit être documentée dès la phase de découverte, pas après la mise en production. ## Comment les autorités se coordonnent-elles ? En France, la CNIL est l'autorité de référence pour le RGPD et a publié plusieurs avis et recommandations sur l'IA depuis 2023. Pour le Règlement européen sur l'IA, les autorités de surveillance du marché sont en cours de désignation par les États membres ; la CNIL est largement pressentie pour assumer ce rôle en France pour les usages IA touchant aux données personnelles, en coordination avec l'ARCOM, l'ACPR et l'AMF selon les secteurs. Le Comité européen de la protection des données (CEPD) et le futur Comité européen de l'IA établissent une jurisprudence commune sur les zones de chevauchement. La règle pratique : un dossier solide pour la CNIL est généralement un dossier solide pour les autres autorités, à condition d'y ajouter explicitement les éléments propres au Règlement européen sur l'IA. ## FAQ ### Si je suis conforme RGPD, suis-je conforme au Règlement européen sur l'IA ? Non. Les deux textes ont des champs distincts. La conformité RGPD est nécessaire mais pas suffisante. Le Règlement européen sur l'IA introduit des obligations spécifiques (FRIA, évaluation de conformité, documentation IV) qui ne se déduisent pas du RGPD. ### Une AIPD remplace-t-elle une FRIA ? Non. L'AIPD couvre les risques pour les données personnelles. La FRIA couvre l'ensemble des droits fondamentaux (non-discrimination, dignité, accès aux services essentiels). Les deux sont complémentaires. ### Quel est le risque maximal d'amende ? Cumul possible. RGPD jusqu'à 20 millions EUR ou 4 pour cent du chiffre d'affaires mondial. Règlement européen sur l'IA jusqu'à 35 millions EUR ou 7 pour cent. Les deux peuvent s'appliquer pour un même incident s'il viole les deux régimes. ## Version anglaise complète ## CTA [Réserver un appel découverte](https://impetora.com/fr#discovery-call) Contact : info@ainora.lt