À retenir en 30 secondes Voir Masquer
Cet article s'adresse aux dirigeants de PME qui évaluent une décision produit. En résumé :
- Double obligation AI Act + RGPD : ce que toute PME française doit mettre en place dès maintenant pour éviter les sanctions.
- Durée moyenne de lecture : 9 minutes.
- Écrit par Maxence Alehausse — IA & Ingénierie, basé sur notre expérience terrain.
En 2026, utiliser l'IA en entreprise implique de respecter simultanément le RGPD et l'AI Act européen. Ces deux textes s'appliquent de façon cumulative dès lors qu'un système d'IA traite des données personnelles. Concrètement : base légale identifiée, transparence envers les personnes concernées, contrats de sous-traitance (DPA) signés avec vos fournisseurs d'outils IA, et registre des traitements à jour. Les PME ne sont pas exemptées, mais bénéficient de parcours de conformité allégés.
L’IA RGPD entreprise n’est plus un sujet réservé aux juristes ou aux DSI de grands groupes. En 2026, toute PME qui utilise un chatbot, un outil de génération de contenu ou un logiciel d’automatisation basé sur l’IA est potentiellement concernée par un double cadre réglementaire. Ignorer ce double verrou, c’est s’exposer à des sanctions concrètes — et perdre la confiance de ses clients.
Cet article fait le point sur ce que vous devez savoir et, surtout, sur ce que vous pouvez faire dès maintenant.
IA RGPD entreprise : un double cadre réglementaire en 2026
L’AI Act ne remplace pas le RGPD : il s’y ajoute. C’est le point de départ de toute réflexion sur la conformité IA. Les deux règlements s’appliquent de manière cumulative lorsqu’un système d’IA traite des données personnelles.
Le RGPD : un cadre toujours central
Le RGPD ne mentionne pas explicitement l’IA, mais ses principes s’appliquent directement. L’article 22 encadre les décisions automatisées : toute personne a le droit de ne pas être soumise à une décision basée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs.
L’article 5 impose la minimisation des données : ne collectez que les données strictement nécessaires. L’article 13 exige la transparence : les personnes concernées doivent être informées de l’utilisation de l’IA dans le traitement de leurs données.
Concrètement, si votre outil analyse des CV, score des prospects ou automatise des réponses à des clients, le RGPD s’applique — sans exception.
L’AI Act : où en est-on exactement ?
Le règlement européen sur l’intelligence artificielle (règlement UE 2024/1689, dit IA Act) est entré en application progressive depuis 2024, avec des obligations pleinement applicables en 2026 pour plusieurs catégories d’opérateurs.
Le calendrier a toutefois évolué. Le 7 mai 2026, les négociateurs du Conseil de l’Union européenne, du Parlement européen et de la Commission européenne ont conclu un accord provisoire sur le Digital Omnibus, qui constitue le premier ensemble d’amendements à l’AI Act depuis son adoption en juin 2024. Ce paquet final reflète un mélange d’extensions pragmatiques des délais et de mesures de simplification ciblées.
En pratique : pour les systèmes IA à haut risque (dits HRAIS) de l’Annexe III, les obligations sont reportées du 2 août 2026 au 2 décembre 2027. Mais attention — ce texte n’est pas encore du droit positif, et les obligations de transparence (Article 50) restent inchangées au 2 août 2026.
Ce que l’AI Act exige concrètement de votre PME
En 2026, les obligations concernant les systèmes à haut risque sont pleinement applicables. Les PME ne sont pas exemptées mais bénéficient de certains allègements (sandbox réglementaires, support des autorités nationales).
Pour les PME, l’AI Act prévoit des parcours de conformité simplifiés pour certaines obligations lourdes, comme la documentation technique.
La classification par niveau de risque
L’AI Act classe tous les systèmes d’IA en quatre niveaux. Ce tableau vous aide à situer vos outils :
| Niveau de risque | Exemples d’usages | Obligations principales |
|---|---|---|
| Risque inacceptable (interdit) | Notation sociale, reconnaissance d’émotions en entreprise | Interdiction totale d’usage dans l’UE |
| Haut risque | Recrutement automatisé, scoring crédit, biométrie | Documentation, supervision humaine, enregistrement UE |
| Risque limité | Chatbots, contenus générés par IA | Transparence : l’utilisateur doit savoir qu’il interagit avec une IA |
| Risque minimal | Filtres anti-spam, recommandations, traduction | Aucune obligation spécifique |
Qu’il s’agisse d’un chatbot de service client, d’un outil d’aide au recrutement ou encore d’un générateur de code, chaque système d’IA générative utilisé en entreprise doit être classé en fonction de son niveau de risque.
Les sanctions : réelles et proportionnées
Les sanctions administratives de la CNIL peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Au-delà des amendes, l’entreprise peut faire l’objet d’une injonction de mise en conformité, d’une suspension du traitement, et de recours civils de la part des personnes dont les droits ont été violés.
Du côté de l’AI Act, le régime de sanctions peut aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites. Pour les PME, le règlement prévoit explicitement une application proportionnée (Article 62) — les autorités tiennent compte de la taille et des ressources de l’organisation. Ces chiffres sont indicatifs (2026) et restent à vérifier selon votre situation spécifique.
Ce que la CNIL attend de vous en 2026
La CNIL a publié entre 2024 et 2025 un corpus de 13 fiches pratiques sur le développement des systèmes d’intelligence artificielle, complétées d’une fiche de synthèse et d’une checklist. Ces recommandations constituent aujourd’hui le référentiel le plus complet pour concilier IA et protection des données personnelles en France.
En 2026, la CNIL poursuit son accompagnement des acteurs publics et privés dans leur mise en conformité avec le RGPD et de certaines dispositions du Règlement IA.
Trois points clés ressortent de ce cadre :
1. Identifier si votre IA traite des données personnelles. Avant toute chose, déterminez si votre système d’IA traite des données personnelles. La CNIL propose un arbre de décision : si des données personnelles sont utilisées en entrée (entraînement ou inférence) ou si le système génère des données personnelles en sortie, le RGPD s’applique.
2. Appliquer le privacy by design. La CNIL insiste sur le principe de protection des données dès la conception (privacy by design, art. 25 du RGPD). Cela signifie intégrer la conformité dans l’architecture de vos outils, pas l’ajouter après coup.
3. Nommer ou impliquer un DPO. Les DPO prennent une place de plus en plus importante à mesure que l’IA s’installe dans les organisations. Les entreprises qui n’ont pas encore structuré ce rôle ont tout intérêt à le faire avant que la pression réglementaire ne les y contraigne.
6 actions concrètes pour une PME conforme
Voici un plan d’action pragmatique, applicable quelle que soit votre taille.
1. Mettre à jour votre registre des traitements
Chaque outil IA que vous utilisez doit figurer dans votre registre RGPD. Précisez : la finalité, la base légale, les données traitées, la durée de conservation, et les sous-traitants impliqués. C’est la base — et c’est souvent ce que la CNIL vérifie en premier.
2. Signer un DPA avec chaque fournisseur d’IA
Le contrat de sous-traitance, appelé Data Processing Agreement (DPA), définit les obligations de chaque partie. Il précise où les données sont stockées, combien de temps elles sont conservées, si elles sont réutilisées pour entraîner le modèle, et quelles mesures de sécurité sont mises en place.
Si vous utilisez ChatGPT, Copilot ou tout autre LLM en version professionnelle, ce contrat doit être signé avant tout traitement de données clients ou RH.
3. Encadrer les usages internes par une charte
Pour utiliser des outils IA en conformité, ne soumettez jamais de données personnelles identifiables, désactivez l’historique des conversations si possible, et privilégiez les versions entreprise avec DPA. Informez vos employés des règles d’utilisation via une charte interne.
Une charte d’usage de l’IA, signée par chaque collaborateur, est un document simple à produire et très efficace en cas de contrôle.
4. Réaliser une AIPD pour les usages à risque élevé
L’AIPD (Analyse d’Impact relative à la Protection des Données) est obligatoire pour les IA à fort risque, notamment en RH, santé et scoring. Si vous automatisez des décisions qui concernent vos salariés ou vos clients, cet audit de risque est incontournable.
5. Informer les personnes concernées
La conformité IA suppose une information claire et accessible. Toute personne concernée doit comprendre comment ses données sont utilisées, traitées et intégrées dans un système automatisé. Pensez à mettre à jour vos mentions légales, politiques de confidentialité et formulaires de collecte.
6. Documenter, documenter, documenter
Contrôlez les données partagées, choisissez des outils fiables, informez les personnes concernées, et documentez vos pratiques. En cas de contrôle, c’est votre documentation qui prouve votre bonne foi et votre démarche proactive.
Conformité IA et logiciels sur-mesure : l’avantage du développement maîtrisé
Si vous avez fait développer un logiciel métier ou un SaaS sur-mesure intégrant de l’IA, vous avez un avantage réel : vous maîtrisez l’architecture et les données traitées. Il est alors possible d’intégrer nativement le privacy by design, de limiter la collecte aux seules données utiles, et de documenter précisément chaque traitement.
C’est précisément l’approche que nous adoptons chez Step lors du développement de logiciels métier sur-mesure ou de solutions CRM adaptées à votre secteur. La conformité n’est pas une contrainte ajoutée en fin de projet : elle fait partie du cahier des charges dès le départ.
À l’inverse, si vous empilez des outils SaaS tiers sans vérifier leurs DPA, vous multipliez les risques sans le savoir. Vous pouvez consulter notre article sur le coût d’un SaaS sur-mesure pour comprendre quand ce choix est justifié.
Pour les PME qui souhaitent automatiser des processus (relances, devis, facturation) tout en restant dans les clous, notre page sur l’automatisation par IA détaille les bonnes pratiques que nous appliquons. Vous pouvez également consulter notre guide sur l’intégration de l’IA en PME ou notre comparatif ChatGPT, Claude, Mistral en entreprise pour choisir les bons outils.
Récapitulatif : où en est votre PME ?
| Action | Obligatoire RGPD | Obligatoire AI Act 2026 | Priorité |
|---|---|---|---|
| Registre des traitements à jour | ✅ | — | 🔴 Urgente |
| DPA signé avec fournisseurs IA | ✅ | — | 🔴 Urgente |
| Information des personnes concernées | ✅ | ✅ (Art. 50) | 🔴 Urgente |
| Charte interne d’usage IA | Recommandé | Recommandé | 🟠 Importante |
| AIPD pour usages RH / scoring | ✅ si haut risque | ✅ si haut risque | 🟠 Importante |
| Classification de vos outils IA | — | ✅ | 🟡 À anticiper |
| Documentation technique (haut risque) | — | Reporté à déc. 2027* | 🟡 À anticiper |
*Sous réserve de l’adoption définitive du Digital Omnibus (accord provisoire du 7 mai 2026 — chiffres et délais indicatifs, à vérifier selon l’évolution du texte).
La conformité IA n’est pas un frein à l’innovation : c’est une condition pour déployer l’IA de façon durable et crédible auprès de vos clients. Une approche maîtrisée de la conformité RGPD transforme la contrainte en avantage concurrentiel : elle inspire confiance, protège contre les litiges, et permet de proposer des services intégrant l’IA sans exposer vos clients ou votre entreprise à des risques juridiques.
Vous souhaitez faire le point sur votre situation et identifier vos priorités de mise en conformité ? Échangeons 30 minutes, c’est gratuit et sans engagement.
Questions fréquentes
Le RGPD s'applique-t-il vraiment à l'IA ?
Oui. Le RGPD ne mentionne pas l'IA explicitement, mais ses principes s'appliquent à tout traitement de données personnelles, quel que soit l'outil utilisé. Si votre système d'IA collecte, traite ou génère des données sur des personnes identifiables, le RGPD entre en jeu — et la CNIL le contrôle activement.
L'AI Act concerne-t-il déjà les PME françaises en 2026 ?
Oui. Les obligations de transparence de l'AI Act (Article 50) sont applicables depuis le 2 août 2026. Les obligations sur les systèmes à haut risque (recrutement, scoring, etc.) sont quant à elles reportées au 2 décembre 2027 suite à l'accord Digital Omnibus du 7 mai 2026. Les PME ne sont pas exemptées mais bénéficient d'un régime de sanctions proportionnel à leur taille.
Dois-je signer un DPA avec ChatGPT ou Microsoft Copilot ?
Oui, si vous utilisez ces outils pour traiter des données personnelles (données clients, RH, etc.). Pour les versions grand public, évitez d'y saisir des données personnelles. Pour un usage professionnel régulier, passez par les versions entreprise (ChatGPT Enterprise, Microsoft 365 Copilot) qui proposent un Data Processing Agreement conforme au RGPD.
Qu'est-ce qu'une AIPD et quand est-elle obligatoire ?
L'Analyse d'Impact relative à la Protection des Données (AIPD) est un document d'évaluation des risques imposé par le RGPD pour tout traitement susceptible d'engendrer un risque élevé. En matière d'IA, elle est obligatoire notamment pour les outils de RH automatisés, de scoring ou d'analyse comportementale. La CNIL met à disposition un outil (PIA) pour la réaliser.
Quelles sont les sanctions encourues en cas de non-conformité IA + RGPD ?
Du côté RGPD, la CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Du côté AI Act, les sanctions pour pratiques interdites peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial (chiffres indicatifs 2026, à vérifier selon votre situation). Au-delà des amendes, une mise en demeure ou une publication de la sanction peut avoir un impact réputationnel significatif.
