Points clés : chevauchement entre le règlement IA de l'UE et le RGPD
Le règlement IA de l'UE et le RGPD convergent dans sept zones critiques que les équipes de conformité doivent gérer comme un programme unifié : analyses d'impact, transparence, documentation, gouvernance des données, application, complexité multi-entités et obligations dès la phase de conception. Les organisations qui traitent ces cadres comme des chantiers séparés s'exposent à des efforts redondants, à des registres incohérents et à un risque d'application cumulé de la part de régulateurs qui supervisent désormais les deux lois. Une architecture de conformité unifiée — et non davantage de tableurs — constitue la solution structurelle.
Définitions
Qu'est-ce que le règlement IA de l'UE ?
Le règlement IA de l'UE (règlement (UE) 2024/1689) est le premier cadre juridique complet au monde consacré à l'intelligence artificielle. Il classe les systèmes d'IA par niveau de risque — inacceptable, élevé, limité et minimal — et impose des obligations aux fournisseurs et aux déployeurs en conséquence. Les systèmes d'IA à haut risque sont soumis aux exigences les plus strictes, notamment des évaluations de conformité, une documentation technique et une supervision humaine. Source : EUR-Lex, règlement (UE) 2024/1689
Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?
Une AIPD est un processus requis au titre de l'article 35 du RGPD pour identifier et réduire au minimum les risques relatifs à la protection des données des activités de traitement à haut risque. Elle doit décrire le traitement, évaluer la nécessité et la proportionnalité, et apprécier les risques pour les droits et libertés des personnes.
Qu'est-ce qu'une analyse d'impact sur les droits fondamentaux (AIDF) ?
Une analyse d'impact sur les droits fondamentaux (AIDF) est requise au titre de l'article 27 du règlement IA de l'UE pour les déployeurs de systèmes d'IA à haut risque. Elle évalue l'impact du système d'IA sur les droits fondamentaux, notamment le droit à la vie privée, la non-discrimination et la dignité humaine. Lorsque le système d'IA traite également des données à caractère personnel, l'AIDF et l'AIPD partagent des intrants qui se recoupent.
Qu'est-ce qu'un registre des activités de traitement (registre des traitements) ?
Le registre des traitements est un registre obligatoire des activités de traitement de données à caractère personnel requis au titre de l'article 30 du RGPD. Les responsables du traitement et les sous-traitants doivent documenter les finalités, les catégories de données, les destinataires, les transferts et les durées de conservation pour chaque activité de traitement.
Qu'est-ce qu'un système d'IA à haut risque au titre du règlement IA de l'UE ?
Un système d'IA à haut risque est un système d'IA répertorié à l'annexe III du règlement IA de l'UE ou utilisé comme composant de sécurité d'un produit couvert par la législation d'harmonisation de l'UE figurant à l'annexe I. Les catégories incluent l'IA utilisée dans l'identification biométrique, les infrastructures critiques, l'emploi, l'éducation, le maintien de l'ordre et la migration. Source : règlement IA de l'UE, annexe III
Statistiques et données probantes
Selon le rapport IAPP-EY 2024 sur la gouvernance de la protection des données, 68% des professionnels de la protection des données s'attendent à assumer la gouvernance de l'IA, mais seuls 23% déclarent disposer d'un cadre unifié pour gérer à la fois les obligations du règlement IA et celles du RGPD. L'analyse d'impact du règlement IA de la Commission européenne estime qu'entre 6'000 et 10'000 systèmes d'IA à haut risque sont déjà déployés dans l'UE et doivent désormais être documentés au titre des deux cadres. Les amendes RGPD ont dépassé 4,5 milliards d'euros cumulés à fin 2024, et le règlement IA ajoute un second niveau de sanctions — jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial au titre de l'article 99 — appliqué par les mêmes autorités nationales.
Foire aux questions
Où le règlement IA de l'UE et le RGPD se chevauchent-ils ?
Les deux cadres convergent dans sept zones critiques : (1) les analyses d'impact — AIPD au titre de l'article 35 du RGPD et AIDF au titre de l'article 27 du règlement IA ; (2) les obligations de transparence — articles 13 et 14 du RGPD et articles 50 à 52 du règlement IA ; (3) la documentation — registre des traitements au titre de l'article 30 du RGPD et documentation technique au titre de l'annexe IV du règlement IA ; (4) la gouvernance des données pour les jeux de données d'entraînement au titre de l'article 10 du règlement IA recoupant la minimisation des données et la limitation des finalités du RGPD ; (5) la convergence de l'application, les autorités nationales de protection des données devenant autorités de surveillance du marché au titre du règlement IA en vertu de l'article 70 ; (6) la complexité multi-entités au sein des filiales réparties dans différents États membres ; et (7) la gouvernance dès la phase de conception, les deux cadres imposant des exigences avant le déploiement.
Ai-je besoin à la fois d'une AIPD et d'une analyse d'impact sur les droits fondamentaux pour une IA à haut risque ?
Oui. Lorsqu'un système d'IA à haut risque traite des données à caractère personnel, une AIPD (article 35 du RGPD) et une AIDF (article 27 du règlement IA) sont toutes deux requises. Ces analyses partagent des intrants qui se recoupent — catégories de données, dimensions de risque et populations concernées — mais répondent à des finalités réglementaires distinctes. Les mener comme des chantiers séparés crée un risque de redondance et d'incohérence. L'EDPB a souligné la nécessité de méthodologies d'analyse cohérentes entre les deux cadres. Source : EDPB
Quelles sont les sanctions maximales au titre du règlement IA de l'UE ?
Le règlement IA de l'UE établit un régime de sanctions à plusieurs niveaux au titre de l'article 99. Le niveau le plus élevé — pour les pratiques d'IA interdites — atteint 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour d'autres infractions, les sanctions peuvent atteindre 15 millions d'euros ou 3% du chiffre d'affaires. Elles s'ajoutent aux amendes RGPD (jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires au titre de l'article 83), créant une exposition à une double application. Source : règlement IA de l'UE, article 99
Qui applique le règlement IA de l'UE aux côtés du RGPD ?
Au titre de l'article 70 du règlement IA de l'UE, chaque État membre doit désigner des autorités nationales compétentes comme autorités de surveillance du marché. Plusieurs États membres ont désigné leurs autorités nationales de protection des données existantes pour ce rôle. Cela signifie que le même régulateur qui contrôle votre conformité au RGPD — examinant le registre des traitements, les AIPD et les notifications de violation de données — inspectera également votre documentation au titre du règlement IA, vos systèmes de gestion des risques et vos évaluations de conformité.
Comment le règlement IA de l'UE affecte-t-il la gouvernance des données d'entraînement au titre du RGPD ?
L'article 10 du règlement IA de l'UE exige que les jeux de données d'entraînement, de validation et de test des systèmes d'IA à haut risque répondent à des critères de qualité spécifiques, notamment la pertinence, la représentativité et l'absence d'erreurs. Lorsque ces jeux de données contiennent des données à caractère personnel — ce qui est presque toujours le cas — les principes du RGPD s'appliquent simultanément : minimisation des données (article 5, paragraphe 1, point c)), limitation des finalités (article 5, paragraphe 1, point b)) et exactitude (article 5, paragraphe 1, point d)). Ces obligations peuvent créer des tensions — par exemple, l'exigence de jeux de données représentatifs au titre du règlement IA peut entrer en conflit avec le principe de minimisation des données du RGPD — nécessitant une analyse transversale des deux cadres dès la phase de conception.
Puis-je gérer la conformité au règlement IA de l'UE et au RGPD au sein d'une seule plateforme ?
Oui. Les plateformes GRC unifiées comme Priverion sont conçues pour gérer les deux cadres dans un environnement unique. Des flux de travail d'AIPD et d'AIDF partagés éliminent les analyses redondantes, le recoupement du registre des traitements et de la documentation technique IA garantit la cohérence des audits, et des tableaux de bord à l'échelle du groupe offrent une visibilité sur l'ensemble des filiales. Priverion est hébergée entièrement en Suisse, garantissant la souveraineté des données dans un contexte post-Schrems II.
Quel est le calendrier d'application du règlement IA de l'UE ?
Le règlement IA de l'UE est entré en vigueur le 01.08.2024. Les pratiques d'IA interdites sont devenues applicables à partir du 02.02.2025. Les obligations relatives aux modèles d'IA à usage général s'appliquent à partir du 02.08.2025. L'ensemble des obligations applicables aux systèmes d'IA à haut risque s'applique à partir du 02.08.2026. Les organisations qui déploient des systèmes d'IA à haut risque traitant des données à caractère personnel doivent garantir leur conformité à la fois au règlement IA et au RGPD à ces dates. Source : règlement IA de l'UE, article 113
En quoi les exigences de transparence du RGPD diffèrent-elles des obligations de transparence du règlement IA ?
Les articles 13 et 14 du RGPD exigent que les responsables du traitement fournissent aux personnes concernées des informations utiles sur la logique des décisions automatisées, y compris le profilage. Le règlement IA ajoute des niveaux de transparence supplémentaires : l'article 50 exige que les personnes interagissant avec des systèmes d'IA soient informées qu'elles le font ; les systèmes de reconnaissance des émotions et de catégorisation biométrique doivent divulguer leur fonctionnement ; et les contenus générés par l'IA (y compris les hypertrucages) doivent être étiquetés. Ces exigences se recoupent sans être identiques — le RGPD se concentre sur les droits des personnes concernées tandis que le règlement IA aborde une transparence sociétale plus large. Les équipes de conformité ont besoin d'une source unique de vérité indiquant ce qui doit être divulgué, à qui et en vertu de quel règlement.
Comparaison : obligations RGPD et règlement IA de l'UE
| Domaine d'obligation | Exigence du RGPD | Exigence du règlement IA de l'UE | Impact du chevauchement |
|---|
| Analyses d'impact | AIPD au titre de l'article 35 | AIDF au titre de l'article 27 | Les deux sont déclenchées pour une IA à haut risque traitant des données à caractère personnel ; intrants partagés |
| Transparence | Articles 13 et 14 : logique des décisions automatisées | Article 50 : divulgation de l'interaction avec l'IA, étiquetage des hypertrucages | Se recoupent sans être identiques ; un cadre de divulgation unique est nécessaire |
| Documentation | Registre des traitements au titre de l'article 30 | Documentation technique au titre de l'annexe IV ; journaux d'activité | Doivent se recouper ; des registres cloisonnés créent des lacunes d'audit |
| Gouvernance des données | Minimisation, limitation des finalités, exactitude (art. 5) | Exigences de qualité des données d'entraînement (art. 10) | Conflits potentiels ; analyse transversale des deux cadres requise dès la conception |
| Application | Autorités nationales de protection des données | Autorités nationales de protection des données comme autorités de surveillance du marché (art. 70) | Le même régulateur contrôle les deux ; il attend des registres cohérents |
| Sanctions | Jusqu'à 20 M€ ou 4% du chiffre d'affaires mondial (art. 83) | Jusqu'à 35 M€ ou 7% du chiffre d'affaires mondial (art. 99) | Double exposition aux sanctions d'une seule autorité |
| Champ d'application | Traitement de données à caractère personnel | Cycle de vie du système d'IA (fournisseur + déployeur) | Presque toutes les IA à haut risque impliquent des données à caractère personnel |