J'ai ouvert l'AI Act et le RGPD côte à côte. J'ai cherché le tableau qui croise les obligations des deux textes pour une PME ou ETI qui utilise un chatbot, un agent IA commercial ou un CRM avec scoring intégré.
Il n'existe pas. Nulle part.
Pas sur le site de la CNIL. Pas dans les guides des cabinets d'avocats, qui écrivent pour des directions juridiques de groupes du CAC 40. Pas dans les livres blancs des éditeurs SaaS, qui traitent l'AI Act seul comme si le RGPD avait disparu. Deux textes qui se cumulent dès que l'IA touche à des données personnelles, et personne ne les met en face pour les PME et ETI ?
Alors je l'ai construit.
Avertissement. Je suis CTO, pas juriste. Cet article traduit l'AI Act et le RGPD en actions concrètes pour les PME et ETI, mais ce n'est pas un avis juridique. La réglementation évolue vite (Digital Omnibus en trilogue, lignes directrices EDPB à venir) et chaque situation est spécifique. Pour un audit de conformité engageant votre responsabilité, faites-vous accompagner par un professionnel du droit spécialisé en données personnelles et IA.
55 % utilisent l'IA, 90 % ne savent pas ce qu'elles déclenchent
55 % des TPE-PME françaises utilisent l'IA générative fin 2025 1. C'est 24 points de plus qu'un an plus tôt. Le baromètre France Num confirme la tendance : 26 % des TPE/PME déclarent utiliser l'IA, un chiffre qui a doublé en douze mois 2.
C'est un basculement, pas une tendance douce.
Le problème, c'est ce qui se passe de l'autre côté du tableau. 90 % des PME peinent à comprendre leur statut de "Déployeur" sous l'AI Act 3. Seulement 17 % des organisations ont mis en place une gouvernance IA au niveau de la direction 4. Et 78 % des usages IA en entreprise relèvent du shadow IT, des outils installés par les salariés sans validation, sans documentation, sans que la DSI le sache 5.
La moitié des PME utilisent de l'IA. Presque aucune ne sait ce que ça déclenche juridiquement.
En préparant ma propre veille réglementaire, parce que j'ai des clients PME et ETI qui me posent ces questions chaque semaine, j'ai constaté un trou béant dans les contenus français. Soit ce sont des analyses juridiques de 40 pages écrites par des cabinets pour des directeurs juridiques de grands groupes. Soit ce sont des articles de blog qui survolent l'AI Act sans jamais mentionner le RGPD. Comme si les deux textes vivaient dans des univers parallèles.
Sauf que dès qu'un système IA entre dans le champ de l'AI Act et traite des données personnelles (un nom, un email, un comportement de navigation), les obligations des deux textes se cumulent. Et c'est la majorité des cas d'usage en PME et ETI.
Pourquoi c'est AI Act ET RGPD, pas l'un ou l'autre
La CNIL le rappelle : l'AI Act ne remplace pas le RGPD, il s'y ajoute 6. Quand un même usage entre à la fois dans le champ d'application de l'AI Act et dans celui du RGPD, les obligations des deux textes se cumulent.
L'AI Act encadre la sécurité, la transparence et les risques des systèmes d'IA, y compris quand ils traitent des données anonymisées. Le RGPD protège les données personnelles. Un chatbot qui collecte le nom et l'email d'un prospect pour qualifier un lead ? Si l'usage entre dans le champ de l'AI Act (ce qui est le cas pour la plupart des chatbots IA) et traite des données perso, les deux s'appliquent. Un agent IA qui analyse des CV ? Les deux. Un CRM avec scoring IA ? En principe aussi, sous réserve de vérifier le champ d'application concret de chaque texte.
Quand un texte de loi dit "supervision humaine", moi je traduis : quel dashboard, quel seuil de confiance, quel workflow d'escalade quand le modèle se trompe. Les avocats commentent les articles de loi. Mon métier de CTO, c'est de les transformer en actions techniques qu'une entreprise peut exécuter.
Les sanctions : pas d'addition mécanique, mais pas de protection absolue non plus
C'est le point que personne n'explique clairement. L'AI Act prévoit ses propres plafonds d'amende, par palier 7 :
- Jusqu'à 35 M EUR (ou 7 % du CA mondial) pour les pratiques interdites (article 99(3))
- Jusqu'à 15 M EUR (ou 3 %) pour la plupart des autres obligations, y compris la transparence (article 99(4))
- Jusqu'à 7,5 M EUR (ou 1 %) pour la fourniture d'informations incorrectes (article 99(5))
Le RGPD, lui, prévoit jusqu'à 20 M EUR (ou 4 % du CA mondial).
L'article 99(7) de l'AI Act impose aux autorités de tenir compte des sanctions déjà infligées, que ce soit pour la même infraction ou pour des infractions résultant de la même activité. Ce n'est pas une règle de non-cumul absolu, mais une obligation de coordination et de proportionnalité. Concrètement, les plafonds ne s'additionnent pas mécaniquement. Mais des manquements distincts relevant de textes différents peuvent donner lieu à des sanctions parallèles.
Pour mettre ces chiffres en perspective : la CNIL a prononcé 487 M EUR de sanctions en 83 décisions rien qu'en 2025 8. Record historique. Et les contrôles prioritaires 2026 ciblent explicitement le recrutement assisté par IA, ce qui préfigure le rôle de la CNIL comme autorité de surveillance AI Act dans le domaine de l'emploi 9.
La machine à contrôler est déjà en route.
Le calendrier est en escalier, pas une date unique
En droit positif, l'article 113 de l'AI Act fixe le calendrier. L'AI literacy (former ses équipes aux fondamentaux de l'IA) est obligatoire depuis février 2025. Les obligations de transparence (article 50) s'appliquent à compter du 2 août 2026 (l'article 50 n'apparaît pas dans les exceptions listées à l'article 113).
Un projet de modification est en discussion : le Digital Omnibus, voté en plénière au Parlement européen le 26 mars 2026 10, propose de repousser les obligations sur les systèmes haut risque (Annexe III) à décembre 2027. Mais il s'agit d'un projet non encore adopté. Les trilogues sont en cours (deuxième session prévue le 28 avril 2026). Tant que le texte n'est pas formellement adopté, le calendrier initial reste le droit en vigueur.
L'EDPB prépare en parallèle ses premières lignes directrices conjointes AI Act / RGPD 11. La matrice que je vous propose ici se fonde sur les textes déjà adoptés, pas sur des projets de modification.
Et le RGPD, lui, ne connaît aucun report. Il s'applique depuis 2018.
Pour visualiser l'ensemble des deadlines dans le temps :
Timeline AI Act + RGPD
Calendrier des obligations applicables aux PME et ETI françaises
Entrée en vigueur du RGPD
Règlement général sur la protection des données. Applicable à tous les traitements de données personnelles dans l'UE, y compris ceux réalisés par des systèmes IA.
Entrée en vigueur de l'AI Act
Publication au Journal officiel de l'UE. Début du calendrier d'application progressive par palier.
Interdiction des pratiques interdites + AI literacy
Application de l'article 5 (systèmes interdits : notation sociale, exploitation vulnérabilités, etc.) et obligation de former les équipes aux fondamentaux de l'IA (AI literacy).
Transparence chatbots et systèmes d'interaction
Application de l'article 50 : obligation d'informer les utilisateurs qu'ils interagissent avec une IA (sauf si évident). Concerne chatbots, agents IA conversationnels, assistants virtuels.
Obligations systèmes haut risque (sous réserve Digital Omnibus)
Application des articles 8 à 15 pour les systèmes haut risque (Annexe III : recrutement, crédit, services essentiels). Documentation technique, gestion des risques, supervision humaine, cybersécurité, enregistrement UE.
Report possible obligations haut risque
Projet de modification voté au Parlement européen le 26 mars 2026, en cours de trilogue. Propose de repousser les obligations haut risque à décembre 2027. Pas encore adopté : le calendrier initial (août 2026) reste le droit en vigueur.
Contrôles CNIL prioritaires 2026 : IA et recrutement
La CNIL cible explicitement le recrutement assisté par IA et les agents IA commerciaux dans ses contrôles prioritaires 2026. Sanctions : jusqu'à 20 M EUR ou 4 % du CA mondial.
Coordination des sanctions (article 99(7) AI Act)
Les autorités (CNIL en France) doivent tenir compte des sanctions déjà infligées pour la même infraction ou activité. Pas d'addition mécanique des plafonds AI Act (jusqu'à 35 M EUR) + RGPD (jusqu'à 20 M EUR), mais pas de protection absolue contre sanctions parallèles pour manquements distincts.
La matrice de cumul : 5 cas concrets que vous allez reconnaître
C'est le coeur de cet article. Pour chaque cas d'usage courant dans une PME ou une ETI, voici ce que déclenchent les deux textes en parallèle 12 13.
Point de méthode : la classification AI Act dépend de l'usage concret et de la finalité, pas du nom de l'outil. Un même système peut être "risque limité" dans un contexte et "haut risque" dans un autre. Et même pour les systèmes relevant de l'Annexe III, l'article 6(3) prévoit une dérogation : si le système ne pose pas de risque significatif et n'influence pas matériellement l'issue de la décision, il peut ne pas être traité comme haut risque.
| Cas d'usage | Risque AI Act (en principe) | Obligations AI Act | Obligations RGPD | DPIA requise ? |
|---|---|---|---|---|
| Chatbot qualification leads | Limité (art. 50) | Transparence : informer que c'est une IA. Documentation déployeur | Base légale, registre des traitements, information articles 13/14 | Probable si traitement à grande échelle (art. 35 RGPD) |
| Scoring crédit automatisé | Haut risque (Annexe III, sous réserve art. 6(3)) | Conformité fournisseur, supervision humaine, enregistrement UE, marquage CE | Art. 22 si décision exclusivement automatisée, DPIA, droits de recours | Très probable |
| Analyse CV par IA | Haut risque (emploi, Annexe III, sous réserve art. 6(3)) | Documentation technique, gestion des risques, supervision humaine, cybersécurité | Données potentiellement sensibles (art. 9), DPIA, information candidats | Très probable |
| Agent SDR automatisé | Limité (art. 50 si interaction directe) | Transparence, documentation déployeur | Intérêt légitime B2B, opt-out, information source des données (art. 14) | Selon impact du traitement |
| CRM avec IA intégrée | Dépend de l'usage concret | Transparence si interaction directe. Vérifier conformité fournisseur | Registre des traitements, DPA fournisseur, vigilance transferts hors UE | Selon usage |
Quelques points qui surprennent quand on lit les textes de près 14 15.
Le chatbot de qualification n'est pas haut risque en soi. Mais s'il est intégré à un processus relevant d'une catégorie de l'Annexe III (accès au crédit, recrutement) et qu'il influence matériellement la décision, l'analyse peut basculer via l'article 6. C'est l'usage concret qui détermine le niveau de risque, pas le nom de l'outil.
L'agent SDR demande une analyse au cas par cas. Tant qu'il se contente de personnaliser et d'envoyer des emails B2B, c'est de l'article 50 (transparence) côté AI Act et du RGPD classique (intérêt légitime, opt-out, information article 14). Le fait de "scorer" des leads ne suffit pas à déclencher automatiquement le haut risque AI Act : il faut que l'usage entre dans une catégorie de l'Annexe III et influence matériellement une décision relative à des personnes physiques. Côté RGPD, l'article 22 ne s'applique que si la décision est fondée exclusivement sur un traitement automatisé et produit des effets juridiques ou similaires significatifs, ce qui suppose l'absence d'intervention humaine significative dans la boucle.
Le CRM avec IA intégrée (HubSpot Breeze, Salesforce Einstein, Dynamics Copilot) ne se classe pas par le nom du produit, mais par l'usage concret de ses fonctions IA. Un assistant rédactionnel et une segmentation marketing ne se traitent pas comme un module de scoring crédit. Deux angles morts reviennent systématiquement : les transferts de données hors UE via l'infrastructure cloud du fournisseur, et l'absence de DPA (Data Processing Agreement) couvrant spécifiquement le traitement IA.
L'analyse CV est en principe le cas le plus lourd. L'usage recrutement/sélection relève de l'Annexe III (sous réserve de l'article 6(3)). Côté RGPD, un CV peut contenir, sans que ce soit systématique, des données sensibles au sens de l'article 9 (origine ethnique déductible du nom, situation de handicap, activités syndicales). La DPIA est très probable au regard de l'article 35, et les contrôles CNIL ciblent explicitement ce domaine à partir de l'automne 2026.
Ce tableau résume les cas les plus fréquents. Pour la version complète avec détails, sanctions et méthodologie d'audit :
📥 Télécharger la matrice complète (PDF, 12 pages)
L'audit croisé en 5 étapes : la méthode que je vais appliquer
Je construis cette méthodologie à partir des textes officiels : la FAQ CNIL 6, les orientations EDPB 11, les feuilles de route publiées par les associations de DPO. Je la documente publiquement parce que je vais l'appliquer chez mes clients et parce qu'aucun équivalent en accès libre n'existe en France.
Je préfère être clair : c'est une proposition méthodologique structurée, pas un retour d'expérience terrain. La démarche est rigoureuse, mais chaque entreprise devra l'adapter à son contexte.
Pour une version visuelle à partager avec votre équipe :
📥 Télécharger le process en carousel (PDF, 10 slides)
Étape 1 – Inventaire des systèmes IA (½ journée de travail, 1-2 semaines de délai)
Listez tout. Les outils déclarés ET le shadow AI. Quand 78 % des usages IA sont apportés par les salariés eux-mêmes 5, l'inventaire "officiel" ne suffit pas. Préparez un questionnaire court et envoyez-le à chaque équipe : "Quels outils IA utilisez-vous au quotidien, y compris ChatGPT, Copilot, Gemini, les extensions de navigateur ?" La réponse vous surprendra. Le temps de préparation est court, mais comptez une à deux semaines pour que les réponses remontent et que vous les consolidiez.
Pour chaque outil : nom, fournisseur, données traitées, qui l'utilise, depuis quand, pour quelle finalité.
Étape 2 – Classification AI Act (½ journée de travail)
Pour chaque outil identifié, déterminez le niveau de risque : interdit, haut risque, limité, minimal. La matrice ci-dessus couvre les cas les plus fréquents en PME et ETI. Pour les cas ambigus, l'Annexe III du texte officiel fait référence 12.
Attention : la classification dépend de l'usage, pas de l'outil. Un même LLM peut être minimal (traduction interne) ou haut risque (tri de candidatures).
Étape 3 – Croisement RGPD (1-2 journées de travail, ~1 semaine de délai)
Pour chaque outil classifié : traite-t-il des données personnelles ? Si oui, quelle base légale ? Le registre des traitements est-il à jour ? Le traitement est-il susceptible d'engendrer un risque élevé pour les droits des personnes (article 35 RGPD), auquel cas une DPIA s'impose ? Une décision est-elle fondée exclusivement sur un traitement automatisé avec des effets significatifs (article 22), auquel cas des garanties spécifiques sont nécessaires ?
C'est l'étape la plus substantielle. Elle suppose des allers-retours avec le DPO (ou le prestataire RGPD) et une vérification du registre des traitements existant.
Étape 4 – Matrice de cumul (½ journée de travail)
Combinez les obligations AI Act et RGPD par système dans un tableau unique. Les redondances et les trous apparaissent vite.
Attention à ne pas confondre deux obligations distinctes. Le registre RGPD (article 30) est un document interne qui recense vos traitements de données. L'article 49 de l'AI Act impose, dans certains cas précis (fournisseurs de systèmes haut risque, déployeurs publics), un enregistrement dans la base de données de l'UE. C'est une obligation de nature différente. En interne, un référentiel unique de gouvernance avec les colonnes supplémentaires AI Act (classification risque, fournisseur, supervision humaine) est pragmatique, mais il ne dispense pas de l'enregistrement UE lorsque l'article 49 l'exige.
Dans une entreprise de 50 à 300 personnes, c'est aussi le moment de clarifier qui fait quoi. L'AI Act n'impose pas, à ce stade, la désignation d'un responsable conformité IA distinct sur le modèle du DPO. Le DPO, interne ou externalisé, peut prendre en charge ce rôle, c'est un choix de gouvernance que beaucoup d'entreprises feront. Mais c'est un choix organisationnel, pas une obligation textuelle. Le DG sponsorise, le DPO ou un référent désigné pilote, le CTO ou DSI met en oeuvre techniquement, les métiers déclarent leurs usages.
Transparence totale. Voici comment nous documentons nos propres systèmes IA chez SmartCTO. Ce registre est notre version réelle, anonymisée pour protéger nos clients. On applique ce qu'on recommande.
📥 Télécharger notre registre IA (Excel)
8 systèmes documentés : Agent SDR Smart CRO (n8n + Claude API + Dropcontact), Chatbot qualification, Assistant rédaction, Analyse sentiment NPS, Dashboard Umami, Agent veille réglementaire, Scoring conformité projets, Générateur templates.
Étape 5 – Plan d'action priorisé (½ journée de travail, ~1 semaine de délai)
Séparez les quick wins des chantiers structurels. Les mentions de transparence sur les chatbots et la mise à jour du registre des traitements, ça se boucle en quelques jours. La DPIA complète sur un système haut risque ou la renégociation des contrats fournisseurs SaaS, c'est un chantier de plusieurs mois. Le plan se rédige vite, mais le délai réel c'est la validation par la direction et les arbitrages budgétaires.
Le surcoût estimé de la conformité AI Act par rapport à une conformité RGPD existante : +20 à 50 %. Pour une PME ou ETI, cela représente entre 15 000 et 80 000 EUR par an, audit et accompagnement inclus. Les entreprises qui investissent dans une plateforme de gouvernance IA sont 3,4 fois plus efficaces dans leur mise en conformité 17.
Bonne nouvelle : la CNIL, l'ANSSI et l'Inria développent conjointement un outil d'audit open source, le projet PANAME, prévu pour l'automne 2026 16. C'est exactement le type de ressource qui manque aujourd'hui.
Checklist auto-diagnostic : 10 questions à vous poser maintenant
Répondez par oui ou non. Comptez vos "oui".
Checklist auto-diagnostic
1. Avez-vous inventorié tous les outils IA utilisés par vos équipes (y compris ChatGPT, Copilot, extensions navigateur) ?
2. Chaque outil IA est-il classifié selon les niveaux de risque AI Act (interdit, haut, limité, minimal) ?
3. Votre registre des traitements RGPD couvre-t-il les traitements réalisés par ces outils IA ?
4. Vos chatbots et agents IA affichent-ils clairement qu'ils sont des systèmes d'intelligence artificielle ?
5. Une DPIA a-t-elle été réalisée pour chaque outil IA classé haut risque ou traitant des données sensibles ?
6. Les contrats avec vos fournisseurs SaaS incluent-ils des clauses AI Act (conformité CE, documentation technique, coopération contrôle) ?
7. Un processus de supervision humaine est-il en place pour les décisions automatisées à impact significatif (scoring, tri, exclusion) ?
8. Savez-vous si vos données personnelles transitent hors UE via un outil IA (cloud US, modèle hébergé hors UE) ?
9. Vos mentions d'information RGPD (politique de confidentialité, CGU) mentionnent-elles l'utilisation de l'IA et ses finalités ?
10. Quelqu'un dans votre entreprise est-il formellement responsable de la conformité IA (DPO, CTO, référent désigné) ?
Répondez aux 10 questions pour voir votre résultat.
Modèle de mention transparence IA + RGPD
Quand un chatbot ou un agent IA interagit directement avec des personnes et traite des données personnelles, les deux textes exigent une information claire. Voici un modèle à adapter et à afficher :
Information. Vous échangez avec un assistant propulsé par intelligence artificielle. Les informations que vous partagez sont traitées par Nom de l'entreprise, responsable de traitement, sur la base de votre consentement / notre intérêt légitime pour finalité : qualification de votre demande, orientation vers le bon interlocuteur, etc.. Vos données ne sont pas utilisées pour entraîner le modèle d'IA sous-jacent. Elles sont conservées durée et ne sont pas transférées hors de l'Union européenne. Vous pouvez exercer vos droits (accès, rectification, effacement, opposition) en contactant email. Pour en savoir plus : lien politique de confidentialité.
Ce modèle couvre simultanément l'obligation de transparence AI Act (article 50(1) : informer qu'on interagit avec une IA, sauf si c'est évident pour une personne raisonnablement informée) et l'obligation d'information RGPD (articles 13 et 14 : finalité, base légale, durée, droits). Les deux obligations sont complémentaires, pas redondantes. Adaptez le modèle à votre cas d'usage : un chatbot client n'a pas la même finalité qu'un agent de qualification B2B.
Le cadre européen, un avantage et pas un frein
Je sais. À ce stade de l'article, la réaction naturelle c'est : "Encore de la réglementation européenne qui nous freine pendant que les Américains avancent."
Je ne suis pas d'accord. Et les faits récents me donnent raison.
Marietje Schaake, ancienne eurodéputée et chercheuse à Stanford, l'a documenté dans le Financial Times en avril 2026 : les interventions exécutives de l'administration Trump dans la tech dépassent désormais toute régulation européenne 18. Alondra Nelson, ancienne conseillère scientifique de la Maison Blanche sous Biden, parle d'"hyper-regulation by other means", une préférence systématique pour la discrétion exécutive plutôt que pour des processus délibératifs et prévisibles.
TikTok vendu sous la contrainte d'un ultimatum présidentiel. Nvidia dont les licences d'export changent à chaque décision. Le Département de la Défense qui punit Anthropic, une entreprise américaine, pour avoir respecté ses propres clauses contractuelles limitant l'usage militaire de son IA. Quand respecter ses engagements devient un risque commercial, quelque chose ne tourne plus rond.
C'est ça, l'absence de cadre réglementaire : l'imprévisibilité totale. Chaque tweet peut changer les règles du jeu.
Le cadre européen, lui, offre de la prévisibilité. Les règles sont écrites, publiques, avec un calendrier connu à l'avance. Une PME conforme ne risque pas de se faire retirer une autorisation du jour au lendemain sur un caprice politique.
Et le cadre vient avec des outils concrets. Le Plan Osez l'IA mobilise 200 M EUR pour l'adoption de l'IA par les PME. Les bacs à sable réglementaires (sandbox, article 62 de l'AI Act) offrent un accès prioritaire aux PME pour tester leurs systèmes IA sous supervision du régulateur 12.
Pendant ce temps, côté assurance, le marché a déjà tranché. AIG, Great American, W.R. Berkley demandent à exclure le risque IA de leurs polices 19. C'est le phénomène "Silent IA" : des polices d'assurance qui couvrent théoriquement le risque numérique mais qui n'ont jamais intégré l'IA dans leurs modèles de couverture. Les entreprises non conformes risquent de devenir inassurables. Le marché n'attend pas la réglementation pour arbitrer.
Ressources complètes pour aller plus loin
Template DPIA AI Act + RGPD (.xlsx)
Un fichier Excel prêt à remplir pour documenter votre conformité :
✓ 8 onglets structurés (inventaire, classification, obligations, DPIA, plan d'action) ✓ Exemples concrets pré-remplis (chatbot, agent SDR, analyse CV, CRM IA) ✓ Méthodologie d'audit détaillée
📥 Télécharger le template DPIA (Excel)
Pour le guide complet et un accompagnement personnalisé : prendre rendez-vous.
Tout ça représente du travail. Personne ne dit le contraire.
Mais c'est du travail structurant. Le même type que la mise en conformité RGPD en 2018. Les entreprises qui l'ont fait sérieusement en ont tiré un avantage concurrentiel et une relation de confiance avec leurs clients. Celles qui l'ont bâclé payent encore des consultants pour rattraper le retard huit ans plus tard.
L'AI Act + RGPD, c'est la même logique, en plus complexe.
La matrice, la checklist et le modèle de mention que vous venez de lire sont un point de départ. Si vous voulez qu'on passe vos systèmes IA en revue ensemble : 30 minutes de diagnostic flash, sans engagement.