Conformité au règlement IA de l'UE et au RGPD

Le chevauchement entre le règlement IA de l'UE et le RGPD crée un angle mort de conformité. Voici comment le combler

Mis à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui unifie la conformité au règlement IA de l'UE et au RGPD à l'échelle des groupes multi-entités, en éliminant les analyses redondantes et les lacunes d'audit.

Votre organisation gère déjà le RGPD au sein de plusieurs entités et juridictions. Le règlement IA de l'UE introduit désormais de nouvelles obligations qui recoupent directement votre programme de protection des données existant, des analyses d'impact relatives à la protection des données aux exigences de transparence, en passant par la documentation des traitements à haut risque. La plupart des équipes de conformité ne disposent pas d'une cartographie claire des points de convergence de ces deux cadres, et c'est précisément là que les risques s'accumulent.

Cette page détaille les zones de chevauchement critiques entre le règlement IA de l'UE et le RGPD, explique pourquoi les gérer en silos est le chemin le plus court vers l'échec d'un audit, et vous propose un cadre pratique pour une conformité unifiée. Nous l'avons condensé dans un guide gratuit et téléchargeable, conçu pour les DPD et les responsables conformité qui pilotent des programmes multi-entités.

68%

des professionnels de la protection des données s'attendent à assumer la gouvernance de l'IA

Enquête IAPP, 2024

23%

disposent d'un cadre unifié pour gérer ensemble le règlement IA et le RGPD

Enquête IAPP, 2024

7%

du chiffre d'affaires mondial, la sanction maximale prévue par le règlement IA

Règlement IA de l'UE, article 99

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Deux cadres réglementaires. Une seule équipe de conformité. Aucune marge d'erreur.

Votre programme RGPD a mis des années à se construire. Le règlement IA de l'UE introduit désormais des obligations parallèles qui se recoupent à chaque point critique : analyses, documentation, transparence, gouvernance. Voici où l'écart se creuse.

Des analyses d'impact parallèles qui doublent votre charge de travail

Le RGPD exige des AIPD pour les traitements à haut risque. Le règlement IA exige des analyses d'impact sur les droits fondamentaux pour les systèmes d'IA à haut risque. Lorsqu'un système d'IA traite des données à caractère personnel, les deux sont déclenchées et partagent les mêmes intrants, catégories de données et dimensions de risque. Sans flux de travail unifié, les équipes mènent des analyses redondantes sur les mêmes activités de traitement, créant des incohérences que les auditeurs ne manqueront pas de relever.

68% des professionnels de la protection des données s'attendent à assumer la gouvernance de l'IA, mais seuls 23% disposent d'un cadre unifié pour gérer les deux.

Source : enquête IAPP 2024 sur la gouvernance de la protection des données

Des obligations de transparence qui ne s'alignent pas tout à fait

Les articles 13 et 14 du RGPD exigent des informations utiles sur la logique des décisions automatisées. Le règlement IA ajoute de nouveaux niveaux de transparence pour les systèmes d'IA interagissant avec des personnes, la reconnaissance des émotions et les contenus générés par l'IA. Ces exigences se recoupent sans être identiques, et votre équipe de conformité a besoin d'une source unique de vérité indiquant ce qui doit être divulgué, à qui et en vertu de quel règlement. Une erreur ici, et vous manquez à vos obligations envers deux régulateurs à la fois.

Les autorités nationales de protection des données sont désignées comme autorités de surveillance du marché au titre du règlement IA dans plusieurs États membres de l'UE : le même régulateur examine les deux cadres.

Source : règlement IA de l'UE, article 70, désignations des États membres 2024

Une documentation cloisonnée échouera à un audit

L'article 30 du RGPD exige un registre des activités de traitement. Le règlement IA impose aux fournisseurs et aux déployeurs de tenir une documentation technique, des journaux d'activité et des registres de gestion des risques. Pour tout système d'IA traitant des données à caractère personnel, ces registres doivent se recouper. Si votre registre des traitements vit dans un tableur et votre documentation IA dans un autre, à travers 10, 20 ou plus de 50 filiales, les auditeurs trouveront les lacunes avant vous.

Les sanctions prévues par le règlement IA peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Source : règlement IA de l'UE, article 99, régime de sanctions

Les groupes multi-entités font face à une complexité exponentielle

Chaque filiale qui déploie ou achète des systèmes d'IA doit être évaluée à la fois au regard du RGPD et du règlement IA, avec des nuances propres à chaque juridiction dans chaque État membre. Lorsque vous gérez la conformité de dizaines d'entités, la combinaison de deux cadres convergents et de plusieurs régulateurs rend les tableurs et les disques partagés structurellement inadaptés. Le problème n'est pas l'effort, c'est l'architecture.

On estime que 6'000 à 10'000 systèmes d'IA à haut risque sont déjà déployés dans l'UE et doivent désormais être documentés au titre des deux cadres.

Source : analyse d'impact du règlement IA de la Commission européenne, 2024

L'application se rapproche : vos régulateurs attendent de la cohérence

Ce n'est pas un risque théorique. Les autorités nationales de protection des données sont désignées comme autorités de surveillance du marché au titre du règlement IA. Le même régulateur qui contrôle votre registre des traitements RGPD examinera votre documentation au titre du règlement IA. Il attendra de ces registres qu'ils racontent une histoire cohérente. Si votre programme de protection des données et votre programme de gouvernance de l'IA fonctionnent comme des chantiers séparés, les incohérences deviennent des constats d'audit.

Les amendes RGPD ont dépassé 4,5 milliards d'euros cumulés à fin 2024, et l'application du règlement IA ajoute un second niveau de sanctions par les mêmes autorités.

Source : GDPR Enforcement Tracker, CMS Law, cumul jusqu'à décembre 2024

Des collisions de gouvernance des données dès la phase de conception

L'article 10 du règlement IA impose des exigences de gouvernance spécifiques pour les jeux de données d'entraînement, de validation et de test des IA à haut risque. Lorsque ces jeux de données contiennent des données à caractère personnel (et c'est presque toujours le cas), les principes du RGPD de minimisation des données, de limitation des finalités et d'exactitude s'appliquent simultanément. Ces obligations peuvent entrer en conflit. Les résoudre exige une analyse transversale des deux cadres dès la phase de conception du système, et non un correctif de conformité a posteriori.

Les flux de travail d'AIPD et d'analyse d'impact sur les droits fondamentaux assistés par l'IA de Priverion partagent leurs intrants par conception, éliminant la redondance qui crée le risque d'audit.

Capacité de la plateforme Priverion : l'IA assiste, les humains décident

Gérer ces obligations qui se chevauchent à coups de tableurs et d'outils cloisonnés, c'est ainsi que les lacunes de conformité deviennent des actions répressives.

Télécharger le guide gratuit sur le chevauchement

200+

Heures gagnées sur la gestion du registre des traitements

Medtec a récupéré plus de 200 heures auparavant consacrées aux mises à jour manuelles du registre des traitements lors de sa préparation à l'ISO 27001, du temps réorienté vers un travail stratégique sur la protection des données.

60%

de coûts en moins par rapport aux plateformes héritées

Sur la base de comparaisons de tarifs publiés avec OneTrust pour des organisations de taille intermédiaire gérant plus de 10 entités. Pas de frais par utilisateur, pas d'extension facturée par module.

3 mois

d'avance sur le calendrier ISO 27001

Medtec a accéléré de trois mois son calendrier de certification ISO 27001 grâce à la constitution automatisée de preuves et à la documentation prête pour l'audit de Priverion.

Pourquoi les entreprises changent

Une gestion de la protection des données de niveau entreprise, sans la complexité d'une entreprise

Les organisations de taille intermédiaire ont besoin d'outils de conformité puissants, pas de 300 fonctionnalités qu'elles n'utiliseront jamais. Voici pourquoi les équipes qui gèrent la protection des données au sein de plusieurs entités choisissent Priverion plutôt que OneTrust.

Avec Priverion

Souveraineté des données suisse, garantie

Conçue et hébergée entièrement en Suisse. Dans un contexte post-Schrems II, vos données ne quittent jamais la juridiction européenne. L'hébergement suisse n'est pas une case à cocher, c'est notre fondation.

Pensée pour la gestion à l'échelle du groupe

Cartographie des données transversale, recertification automatisée du registre des traitements entre filiales, et un tableau de bord unique qui donne à votre DPD une visibilité sur chaque entité. AXA a atteint un taux de recertification du registre des traitements de 100%, entièrement automatisé.

AXA, recertification automatisée sur l'ensemble des entités du groupe

Opérationnelle en quelques semaines, pas en quelques mois

Une expérience utilisateur intuitive signifie que votre équipe l'utilise vraiment. Pas de projet de mise en œuvre de six mois, pas d'administrateur dédié. Un constructeur aéronautique a réduit de 60% son temps d'administration de la conformité dès les six premiers mois.

Constructeur aéronautique, réduction de 60% dès les 6 premiers mois

Une tarification prévisible qui évolue avec vous

Tarification fondée sur le nombre d'entreprises et la taille de l'organisation, et non sur des licences par utilisateur ni des modules complémentaires. Votre directeur financier peut budgéter l'année à venir sans craindre de frais d'extension.

Une IA qui assiste, jamais qui décide

Rédaction d'AIPD assistée par l'IA, notation des risques et cartographie réglementaire, le tout traité au sein de l'infrastructure suisse. Chaque résultat de l'IA est revu avant de devenir un registre de conformité. Aucune donnée client n'est jamais utilisée pour entraîner les modèles.

L'expérience type d'une plateforme d'entreprise

Hébergement aux États-Unis, mécanismes de transfert complexes

La plupart des plateformes d'entreprise ont leur siège et leur hébergement aux États-Unis. Cela implique des CCT, des analyses d'impact des transferts et des évaluations continues, juste pour utiliser votre outil de conformité, ajoutant une charge juridique au système censé la réduire.

Conçues pour les entreprises mono-entité

La gestion multi-entités est souvent une réflexion après coup, ajoutée par des contournements plutôt qu'intégrée à l'architecture. Les DPD finissent par gérer la conformité des filiales comme ils le faisaient dans des tableurs, mais dans un outil plus coûteux.

Des mises en œuvre de 6 mois, des administrateurs dédiés

Les plateformes complexes exigent une formation spécialisée, des administrateurs dédiés et des mois de configuration avant d'apporter de la valeur. Les équipes de taille intermédiaire n'ont pas ces ressources ; elles ont besoin d'outils qui fonctionnent dès le premier jour.

Une tarification par utilisateur qui pénalise la croissance

Une tarification par utilisateur et par module signifie que chaque nouveau collaborateur, chaque nouvelle filiale et chaque flux de travail supplémentaire alourdit votre facture. Ce qui commence comme un investissement raisonnable devient un centre de coûts imprévisible.

Une IA opaque aux pratiques de données floues

De nombreuses plateformes vantent des fonctionnalités « propulsées par l'IA » sans préciser où les données sont traitées, si les résultats sont revus, ou si les données client entraînent leurs modèles. Pour un outil de conformité, c'est un angle mort ironique.

Votre équipe de conformité mérite mieux que des tableurs

Arrêtez de courir après vos filiales. Commencez à gérer la protection des données.

Un constructeur aéronautique a réduit de 60% son temps d'administration de la conformité en six mois. AXA a atteint 100% de recertification du registre des traitements, entièrement automatisée. Medtec a gagné plus de 200 heures en préparant l'ISO 27001.

En 30 minutes, nous vous montrerons exactement comment fonctionne la gestion de la protection des données à l'échelle du groupe lorsqu'elle est conçue pour les organisations multi-entités, et non ajoutée après coup. Hébergée en Suisse, assistée par l'IA et tarifée sans mauvaises surprises par utilisateur.

Réserver une présentation de 30 minutes

Sans engagement. Sans argumentaire commercial. Juste un aperçu clair de ce qui change pour votre équipe.

Des semaines, pas des mois

Délai moyen de mise en service, d'après les déploiements clients

Hébergé en Suisse

Tout le traitement des données au sein de l'infrastructure suisse

Tarification prévisible

Tarification par entreprise, sans pièges d'extension par utilisateur ou par module

Téléchargez le guide sur le chevauchement entre le règlement IA de l'UE et le RGPD

Un cadre pratique pour les DPD et les responsables conformité qui gèrent les deux réglementations au sein de plusieurs entités. Issu d'une expérience de mise en œuvre concrète, et non de conseils théoriques.

  • Les 7 zones critiques où le règlement IA de l'UE et le RGPD convergent
  • Un flux d'analyse unifié pour les AIPD et les analyses d'impact sur les droits fondamentaux
  • Une liste de contrôle des recoupements documentaires pour être prêt à l'audit
  • Un guide pratique de coordination multi-entités assorti de considérations propres à chaque juridiction
  • Un calendrier des échéances d'application jusqu'en 2027

En soumettant ce formulaire, vous acceptez de recevoir le guide ainsi que des analyses ponctuelles sur la conformité en matière de protection des données de la part de Priverion. Nous respectons vos données. Consultez notre politique de confidentialité. Désabonnez-vous à tout moment.

À propos de cette page — références, définitions et FAQ

Points clés : chevauchement entre le règlement IA de l'UE et le RGPD

Le règlement IA de l'UE et le RGPD convergent dans sept zones critiques que les équipes de conformité doivent gérer comme un programme unifié : analyses d'impact, transparence, documentation, gouvernance des données, application, complexité multi-entités et obligations dès la phase de conception. Les organisations qui traitent ces cadres comme des chantiers séparés s'exposent à des efforts redondants, à des registres incohérents et à un risque d'application cumulé de la part de régulateurs qui supervisent désormais les deux lois. Une architecture de conformité unifiée — et non davantage de tableurs — constitue la solution structurelle.

Définitions

Qu'est-ce que le règlement IA de l'UE ?

Le règlement IA de l'UE (règlement (UE) 2024/1689) est le premier cadre juridique complet au monde consacré à l'intelligence artificielle. Il classe les systèmes d'IA par niveau de risque — inacceptable, élevé, limité et minimal — et impose des obligations aux fournisseurs et aux déployeurs en conséquence. Les systèmes d'IA à haut risque sont soumis aux exigences les plus strictes, notamment des évaluations de conformité, une documentation technique et une supervision humaine. Source : EUR-Lex, règlement (UE) 2024/1689

Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?

Une AIPD est un processus requis au titre de l'article 35 du RGPD pour identifier et réduire au minimum les risques relatifs à la protection des données des activités de traitement à haut risque. Elle doit décrire le traitement, évaluer la nécessité et la proportionnalité, et apprécier les risques pour les droits et libertés des personnes.

Qu'est-ce qu'une analyse d'impact sur les droits fondamentaux (AIDF) ?

Une analyse d'impact sur les droits fondamentaux (AIDF) est requise au titre de l'article 27 du règlement IA de l'UE pour les déployeurs de systèmes d'IA à haut risque. Elle évalue l'impact du système d'IA sur les droits fondamentaux, notamment le droit à la vie privée, la non-discrimination et la dignité humaine. Lorsque le système d'IA traite également des données à caractère personnel, l'AIDF et l'AIPD partagent des intrants qui se recoupent.

Qu'est-ce qu'un registre des activités de traitement (registre des traitements) ?

Le registre des traitements est un registre obligatoire des activités de traitement de données à caractère personnel requis au titre de l'article 30 du RGPD. Les responsables du traitement et les sous-traitants doivent documenter les finalités, les catégories de données, les destinataires, les transferts et les durées de conservation pour chaque activité de traitement.

Qu'est-ce qu'un système d'IA à haut risque au titre du règlement IA de l'UE ?

Un système d'IA à haut risque est un système d'IA répertorié à l'annexe III du règlement IA de l'UE ou utilisé comme composant de sécurité d'un produit couvert par la législation d'harmonisation de l'UE figurant à l'annexe I. Les catégories incluent l'IA utilisée dans l'identification biométrique, les infrastructures critiques, l'emploi, l'éducation, le maintien de l'ordre et la migration. Source : règlement IA de l'UE, annexe III

Statistiques et données probantes

Selon le rapport IAPP-EY 2024 sur la gouvernance de la protection des données, 68% des professionnels de la protection des données s'attendent à assumer la gouvernance de l'IA, mais seuls 23% déclarent disposer d'un cadre unifié pour gérer à la fois les obligations du règlement IA et celles du RGPD. L'analyse d'impact du règlement IA de la Commission européenne estime qu'entre 6'000 et 10'000 systèmes d'IA à haut risque sont déjà déployés dans l'UE et doivent désormais être documentés au titre des deux cadres. Les amendes RGPD ont dépassé 4,5 milliards d'euros cumulés à fin 2024, et le règlement IA ajoute un second niveau de sanctions — jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial au titre de l'article 99 — appliqué par les mêmes autorités nationales.

Foire aux questions

Où le règlement IA de l'UE et le RGPD se chevauchent-ils ?

Les deux cadres convergent dans sept zones critiques : (1) les analyses d'impact — AIPD au titre de l'article 35 du RGPD et AIDF au titre de l'article 27 du règlement IA ; (2) les obligations de transparence — articles 13 et 14 du RGPD et articles 50 à 52 du règlement IA ; (3) la documentation — registre des traitements au titre de l'article 30 du RGPD et documentation technique au titre de l'annexe IV du règlement IA ; (4) la gouvernance des données pour les jeux de données d'entraînement au titre de l'article 10 du règlement IA recoupant la minimisation des données et la limitation des finalités du RGPD ; (5) la convergence de l'application, les autorités nationales de protection des données devenant autorités de surveillance du marché au titre du règlement IA en vertu de l'article 70 ; (6) la complexité multi-entités au sein des filiales réparties dans différents États membres ; et (7) la gouvernance dès la phase de conception, les deux cadres imposant des exigences avant le déploiement.

Ai-je besoin à la fois d'une AIPD et d'une analyse d'impact sur les droits fondamentaux pour une IA à haut risque ?

Oui. Lorsqu'un système d'IA à haut risque traite des données à caractère personnel, une AIPD (article 35 du RGPD) et une AIDF (article 27 du règlement IA) sont toutes deux requises. Ces analyses partagent des intrants qui se recoupent — catégories de données, dimensions de risque et populations concernées — mais répondent à des finalités réglementaires distinctes. Les mener comme des chantiers séparés crée un risque de redondance et d'incohérence. L'EDPB a souligné la nécessité de méthodologies d'analyse cohérentes entre les deux cadres. Source : EDPB

Quelles sont les sanctions maximales au titre du règlement IA de l'UE ?

Le règlement IA de l'UE établit un régime de sanctions à plusieurs niveaux au titre de l'article 99. Le niveau le plus élevé — pour les pratiques d'IA interdites — atteint 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour d'autres infractions, les sanctions peuvent atteindre 15 millions d'euros ou 3% du chiffre d'affaires. Elles s'ajoutent aux amendes RGPD (jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires au titre de l'article 83), créant une exposition à une double application. Source : règlement IA de l'UE, article 99

Qui applique le règlement IA de l'UE aux côtés du RGPD ?

Au titre de l'article 70 du règlement IA de l'UE, chaque État membre doit désigner des autorités nationales compétentes comme autorités de surveillance du marché. Plusieurs États membres ont désigné leurs autorités nationales de protection des données existantes pour ce rôle. Cela signifie que le même régulateur qui contrôle votre conformité au RGPD — examinant le registre des traitements, les AIPD et les notifications de violation de données — inspectera également votre documentation au titre du règlement IA, vos systèmes de gestion des risques et vos évaluations de conformité.

Comment le règlement IA de l'UE affecte-t-il la gouvernance des données d'entraînement au titre du RGPD ?

L'article 10 du règlement IA de l'UE exige que les jeux de données d'entraînement, de validation et de test des systèmes d'IA à haut risque répondent à des critères de qualité spécifiques, notamment la pertinence, la représentativité et l'absence d'erreurs. Lorsque ces jeux de données contiennent des données à caractère personnel — ce qui est presque toujours le cas — les principes du RGPD s'appliquent simultanément : minimisation des données (article 5, paragraphe 1, point c)), limitation des finalités (article 5, paragraphe 1, point b)) et exactitude (article 5, paragraphe 1, point d)). Ces obligations peuvent créer des tensions — par exemple, l'exigence de jeux de données représentatifs au titre du règlement IA peut entrer en conflit avec le principe de minimisation des données du RGPD — nécessitant une analyse transversale des deux cadres dès la phase de conception.

Puis-je gérer la conformité au règlement IA de l'UE et au RGPD au sein d'une seule plateforme ?

Oui. Les plateformes GRC unifiées comme Priverion sont conçues pour gérer les deux cadres dans un environnement unique. Des flux de travail d'AIPD et d'AIDF partagés éliminent les analyses redondantes, le recoupement du registre des traitements et de la documentation technique IA garantit la cohérence des audits, et des tableaux de bord à l'échelle du groupe offrent une visibilité sur l'ensemble des filiales. Priverion est hébergée entièrement en Suisse, garantissant la souveraineté des données dans un contexte post-Schrems II.

Quel est le calendrier d'application du règlement IA de l'UE ?

Le règlement IA de l'UE est entré en vigueur le 01.08.2024. Les pratiques d'IA interdites sont devenues applicables à partir du 02.02.2025. Les obligations relatives aux modèles d'IA à usage général s'appliquent à partir du 02.08.2025. L'ensemble des obligations applicables aux systèmes d'IA à haut risque s'applique à partir du 02.08.2026. Les organisations qui déploient des systèmes d'IA à haut risque traitant des données à caractère personnel doivent garantir leur conformité à la fois au règlement IA et au RGPD à ces dates. Source : règlement IA de l'UE, article 113

En quoi les exigences de transparence du RGPD diffèrent-elles des obligations de transparence du règlement IA ?

Les articles 13 et 14 du RGPD exigent que les responsables du traitement fournissent aux personnes concernées des informations utiles sur la logique des décisions automatisées, y compris le profilage. Le règlement IA ajoute des niveaux de transparence supplémentaires : l'article 50 exige que les personnes interagissant avec des systèmes d'IA soient informées qu'elles le font ; les systèmes de reconnaissance des émotions et de catégorisation biométrique doivent divulguer leur fonctionnement ; et les contenus générés par l'IA (y compris les hypertrucages) doivent être étiquetés. Ces exigences se recoupent sans être identiques — le RGPD se concentre sur les droits des personnes concernées tandis que le règlement IA aborde une transparence sociétale plus large. Les équipes de conformité ont besoin d'une source unique de vérité indiquant ce qui doit être divulgué, à qui et en vertu de quel règlement.

Comparaison : obligations RGPD et règlement IA de l'UE

Domaine d'obligationExigence du RGPDExigence du règlement IA de l'UEImpact du chevauchement
Analyses d'impactAIPD au titre de l'article 35AIDF au titre de l'article 27Les deux sont déclenchées pour une IA à haut risque traitant des données à caractère personnel ; intrants partagés
TransparenceArticles 13 et 14 : logique des décisions automatiséesArticle 50 : divulgation de l'interaction avec l'IA, étiquetage des hypertrucagesSe recoupent sans être identiques ; un cadre de divulgation unique est nécessaire
DocumentationRegistre des traitements au titre de l'article 30Documentation technique au titre de l'annexe IV ; journaux d'activitéDoivent se recouper ; des registres cloisonnés créent des lacunes d'audit
Gouvernance des donnéesMinimisation, limitation des finalités, exactitude (art. 5)Exigences de qualité des données d'entraînement (art. 10)Conflits potentiels ; analyse transversale des deux cadres requise dès la conception
ApplicationAutorités nationales de protection des donnéesAutorités nationales de protection des données comme autorités de surveillance du marché (art. 70)Le même régulateur contrôle les deux ; il attend des registres cohérents
SanctionsJusqu'à 20 M€ ou 4% du chiffre d'affaires mondial (art. 83)Jusqu'à 35 M€ ou 7% du chiffre d'affaires mondial (art. 99)Double exposition aux sanctions d'une seule autorité
Champ d'applicationTraitement de données à caractère personnelCycle de vie du système d'IA (fournisseur + déployeur)Presque toutes les IA à haut risque impliquent des données à caractère personnel