[{"data":1,"prerenderedAt":930},["ShallowReactive",2],{"article-agents-ia-ai-act-rgpd-double-conformite-pme":3},{"id":4,"title":5,"artifacts":6,"author":35,"body":36,"brand":817,"date":818,"description":819,"draft":820,"extension":821,"faq":822,"funnel":847,"keywords":848,"meta":857,"navigation":858,"path":859,"pillar":860,"scheduled":861,"seo":862,"slug":863,"sources":864,"stem":922,"tags":923,"__hash__":929},"blog\u002Fblog\u002F2026-04-09-ai-act-rgpd-double-conformite-pme.md","AI Act + RGPD : la double conformité qui va piéger les PME et ETI en 2026",[7,12,17,21,26,30],{"type":8,"title":9,"description":10,"url":11},"interactif","Timeline AI Act + RGPD","Calendrier des deadlines 2025-2027","\u002Fpartages\u002Fai-act-rgpd-timeline\u002F",{"type":13,"title":14,"description":15,"file":16},"pdf","Matrice de cumul AI Act x RGPD","5 cas d'usage, obligations cumulées","\u002Fressources\u002Fai-act-rgpd-double-conformite\u002FMatrice-de-cumul-par-cas-dusage.pdf",{"type":13,"title":18,"description":19,"file":20},"Carousel 5 étapes audit","Process visuel à partager","\u002Fressources\u002Fai-act-rgpd-double-conformite\u002Fcarousel-5-etapes-audit.pdf",{"type":22,"title":23,"description":24,"file":25},"xlsx","Template DPIA","8 onglets, exemples pré-remplis","\u002Fressources\u002Fai-act-rgpd-double-conformite\u002Ftemplate-dpia-ai-act-rgpd.xlsx",{"type":22,"title":27,"description":28,"file":29},"Registre IA SmartCTO","Notre registre réel, anonymisé","\u002Fexemples-internes\u002Fsmartcto-registre-ia\u002Fregistre-ia-smartcto-2026.xlsx",{"type":31,"title":32,"description":33,"url":34},"sur demande","Guide complet AI Act + RGPD (PDF 25 pages)","Disponible sur rendez-vous","https:\u002F\u002Fcal.com\u002Fsmartcto\u002F30min?notes=Source%20:%20Article%20AI%20Act%20RGPD%20-%20Guide%20complet","Alex",{"type":37,"value":38,"toc":793},"minimark",[39,43,46,49,52,62,67,91,94,123,126,129,132,136,148,151,154,159,171,194,201,204,224,227,231,238,254,266,269,272,275,279,299,305,437,456,462,473,479,485,488,497,501,518,521,524,530,534,544,547,551,560,563,567,570,573,577,580,583,586,603,607,610,625,637,641,644,648,652,655,686,689,693,696,699,711,714,717,724,733,745,749,753,756,759,765,773,776,779,782,785],[40,41,42],"p",{},"J'ai ouvert l'AI Act et le RGPD côte à côte. J'ai cherché le tableau qui croise les obligations des deux textes pour une PME ou ETI qui utilise un chatbot, un agent IA commercial ou un CRM avec scoring intégré.",[40,44,45],{},"Il n'existe pas. Nulle part.",[40,47,48],{},"Pas sur le site de la CNIL. Pas dans les guides des cabinets d'avocats, qui écrivent pour des directions juridiques de groupes du CAC 40. Pas dans les livres blancs des éditeurs SaaS, qui traitent l'AI Act seul comme si le RGPD avait disparu. Deux textes qui se cumulent dès que l'IA touche à des données personnelles, et personne ne les met en face pour les PME et ETI ?",[40,50,51],{},"Alors je l'ai construit.",[53,54,55],"blockquote",{},[40,56,57,61],{},[58,59,60],"strong",{},"Avertissement."," Je suis CTO, pas juriste. Cet article traduit l'AI Act et le RGPD en actions concrètes pour les PME et ETI, mais ce n'est pas un avis juridique. La réglementation évolue vite (Digital Omnibus en trilogue, lignes directrices EDPB à venir) et chaque situation est spécifique. Pour un audit de conformité engageant votre responsabilité, faites-vous accompagner par un professionnel du droit spécialisé en données personnelles et IA.",[63,64,66],"h2",{"id":65},"_55-utilisent-lia-90-ne-savent-pas-ce-quelles-déclenchent","55 % utilisent l'IA, 90 % ne savent pas ce qu'elles déclenchent",[40,68,69,70,81,82,90],{},"55 % des TPE-PME françaises utilisent l'IA générative fin 2025 ",[71,72,73],"sup",{},[74,75,77],"a",{"href":76},"#source-1",[78,79,80],"span",{},"1",". C'est 24 points de plus qu'un an plus tôt. Le baromètre France Num confirme la tendance : 26 % des TPE\u002FPME déclarent utiliser l'IA, un chiffre qui a doublé en douze mois ",[71,83,84],{},[74,85,87],{"href":86},"#source-2",[78,88,89],{},"2",".",[40,92,93],{},"C'est un basculement, pas une tendance douce.",[40,95,96,97,105,106,114,115,90],{},"Le problème, c'est ce qui se passe de l'autre côté du tableau. 90 % des PME peinent à comprendre leur statut de \"Déployeur\" sous l'AI Act ",[71,98,99],{},[74,100,102],{"href":101},"#source-3",[78,103,104],{},"3",". Seulement 17 % des organisations ont mis en place une gouvernance IA au niveau de la direction ",[71,107,108],{},[74,109,111],{"href":110},"#source-4",[78,112,113],{},"4",". Et 78 % des usages IA en entreprise relèvent du shadow IT, des outils installés par les salariés sans validation, sans documentation, sans que la DSI le sache ",[71,116,117],{},[74,118,120],{"href":119},"#source-5",[78,121,122],{},"5",[40,124,125],{},"La moitié des PME utilisent de l'IA. Presque aucune ne sait ce que ça déclenche juridiquement.",[40,127,128],{},"En préparant ma propre veille réglementaire, parce que j'ai des clients PME et ETI qui me posent ces questions chaque semaine, j'ai constaté un trou béant dans les contenus français. Soit ce sont des analyses juridiques de 40 pages écrites par des cabinets pour des directeurs juridiques de grands groupes. Soit ce sont des articles de blog qui survolent l'AI Act sans jamais mentionner le RGPD. Comme si les deux textes vivaient dans des univers parallèles.",[40,130,131],{},"Sauf que dès qu'un système IA entre dans le champ de l'AI Act et traite des données personnelles (un nom, un email, un comportement de navigation), les obligations des deux textes se cumulent. Et c'est la majorité des cas d'usage en PME et ETI.",[63,133,135],{"id":134},"pourquoi-cest-ai-act-et-rgpd-pas-lun-ou-lautre","Pourquoi c'est AI Act ET RGPD, pas l'un ou l'autre",[40,137,138,139,147],{},"La CNIL le rappelle : l'AI Act ne remplace pas le RGPD, il s'y ajoute ",[71,140,141],{},[74,142,144],{"href":143},"#source-6",[78,145,146],{},"6",". Quand un même usage entre à la fois dans le champ d'application de l'AI Act et dans celui du RGPD, les obligations des deux textes se cumulent.",[40,149,150],{},"L'AI Act encadre la sécurité, la transparence et les risques des systèmes d'IA, y compris quand ils traitent des données anonymisées. Le RGPD protège les données personnelles. Un chatbot qui collecte le nom et l'email d'un prospect pour qualifier un lead ? Si l'usage entre dans le champ de l'AI Act (ce qui est le cas pour la plupart des chatbots IA) et traite des données perso, les deux s'appliquent. Un agent IA qui analyse des CV ? Les deux. Un CRM avec scoring IA ? En principe aussi, sous réserve de vérifier le champ d'application concret de chaque texte.",[40,152,153],{},"Quand un texte de loi dit \"supervision humaine\", moi je traduis : quel dashboard, quel seuil de confiance, quel workflow d'escalade quand le modèle se trompe. Les avocats commentent les articles de loi. Mon métier de CTO, c'est de les transformer en actions techniques qu'une entreprise peut exécuter.",[155,156,158],"h3",{"id":157},"les-sanctions-pas-daddition-mécanique-mais-pas-de-protection-absolue-non-plus","Les sanctions : pas d'addition mécanique, mais pas de protection absolue non plus",[40,160,161,162,170],{},"C'est le point que personne n'explique clairement. L'AI Act prévoit ses propres plafonds d'amende, par palier ",[71,163,164],{},[74,165,167],{"href":166},"#source-7",[78,168,169],{},"7"," :",[172,173,174,182,188],"ul",{},[175,176,177,178,181],"li",{},"Jusqu'à ",[58,179,180],{},"35 M EUR"," (ou 7 % du CA mondial) pour les pratiques interdites (article 99(3))",[175,183,177,184,187],{},[58,185,186],{},"15 M EUR"," (ou 3 %) pour la plupart des autres obligations, y compris la transparence (article 99(4))",[175,189,177,190,193],{},[58,191,192],{},"7,5 M EUR"," (ou 1 %) pour la fourniture d'informations incorrectes (article 99(5))",[40,195,196,197,200],{},"Le RGPD, lui, prévoit jusqu'à ",[58,198,199],{},"20 M EUR"," (ou 4 % du CA mondial).",[40,202,203],{},"L'article 99(7) de l'AI Act impose aux autorités de tenir compte des sanctions déjà infligées, que ce soit pour la même infraction ou pour des infractions résultant de la même activité. Ce n'est pas une règle de non-cumul absolu, mais une obligation de coordination et de proportionnalité. Concrètement, les plafonds ne s'additionnent pas mécaniquement. Mais des manquements distincts relevant de textes différents peuvent donner lieu à des sanctions parallèles.",[40,205,206,207,215,216,90],{},"Pour mettre ces chiffres en perspective : la CNIL a prononcé 487 M EUR de sanctions en 83 décisions rien qu'en 2025 ",[71,208,209],{},[74,210,212],{"href":211},"#source-8",[78,213,214],{},"8",". Record historique. Et les contrôles prioritaires 2026 ciblent explicitement le recrutement assisté par IA, ce qui préfigure le rôle de la CNIL comme autorité de surveillance AI Act dans le domaine de l'emploi ",[71,217,218],{},[74,219,221],{"href":220},"#source-9",[78,222,223],{},"9",[40,225,226],{},"La machine à contrôler est déjà en route.",[155,228,230],{"id":229},"le-calendrier-est-en-escalier-pas-une-date-unique","Le calendrier est en escalier, pas une date unique",[40,232,233,234,237],{},"En droit positif, l'article 113 de l'AI Act fixe le calendrier. L'AI literacy (former ses équipes aux fondamentaux de l'IA) est obligatoire depuis février 2025. Les obligations de transparence (article 50) s'appliquent à compter du ",[58,235,236],{},"2 août 2026"," (l'article 50 n'apparaît pas dans les exceptions listées à l'article 113).",[40,239,240,241,249,250,253],{},"Un projet de modification est en discussion : le Digital Omnibus, voté en plénière au Parlement européen le 26 mars 2026 ",[71,242,243],{},[74,244,246],{"href":245},"#source-10",[78,247,248],{},"10",", propose de repousser les obligations sur les systèmes haut risque (Annexe III) à décembre 2027. Mais il s'agit d'un ",[58,251,252],{},"projet non encore adopté",". Les trilogues sont en cours (deuxième session prévue le 28 avril 2026). Tant que le texte n'est pas formellement adopté, le calendrier initial reste le droit en vigueur.",[40,255,256,257,265],{},"L'EDPB prépare en parallèle ses premières lignes directrices conjointes AI Act \u002F RGPD ",[71,258,259],{},[74,260,262],{"href":261},"#source-11",[78,263,264],{},"11",". La matrice que je vous propose ici se fonde sur les textes déjà adoptés, pas sur des projets de modification.",[40,267,268],{},"Et le RGPD, lui, ne connaît aucun report. Il s'applique depuis 2018.",[40,270,271],{},"Pour visualiser l'ensemble des deadlines dans le temps :",[273,274],"timeline-ai-act",{},[63,276,278],{"id":277},"la-matrice-de-cumul-5-cas-concrets-que-vous-allez-reconnaître","La matrice de cumul : 5 cas concrets que vous allez reconnaître",[40,280,281,282,290,291,90],{},"C'est le coeur de cet article. Pour chaque cas d'usage courant dans une PME ou une ETI, voici ce que déclenchent les deux textes en parallèle ",[71,283,284],{},[74,285,287],{"href":286},"#source-12",[78,288,289],{},"12"," ",[71,292,293],{},[74,294,296],{"href":295},"#source-13",[78,297,298],{},"13",[40,300,301,304],{},[58,302,303],{},"Point de méthode"," : la classification AI Act dépend de l'usage concret et de la finalité, pas du nom de l'outil. Un même système peut être \"risque limité\" dans un contexte et \"haut risque\" dans un autre. Et même pour les systèmes relevant de l'Annexe III, l'article 6(3) prévoit une dérogation : si le système ne pose pas de risque significatif et n'influence pas matériellement l'issue de la décision, il peut ne pas être traité comme haut risque.",[306,307,308,330],"table",{},[309,310,311],"thead",{},[312,313,314,318,321,324,327],"tr",{},[315,316,317],"th",{},"Cas d'usage",[315,319,320],{},"Risque AI Act (en principe)",[315,322,323],{},"Obligations AI Act",[315,325,326],{},"Obligations RGPD",[315,328,329],{},"DPIA requise ?",[331,332,333,353,377,399,418],"tbody",{},[312,334,335,341,344,347,350],{},[336,337,338],"td",{},[58,339,340],{},"Chatbot qualification leads",[336,342,343],{},"Limité (art. 50)",[336,345,346],{},"Transparence : informer que c'est une IA. Documentation déployeur",[336,348,349],{},"Base légale, registre des traitements, information articles 13\u002F14",[336,351,352],{},"Probable si traitement à grande échelle (art. 35 RGPD)",[312,354,355,360,366,369,372],{},[336,356,357],{},[58,358,359],{},"Scoring crédit automatisé",[336,361,362,365],{},[58,363,364],{},"Haut risque"," (Annexe III, sous réserve art. 6(3))",[336,367,368],{},"Conformité fournisseur, supervision humaine, enregistrement UE, marquage CE",[336,370,371],{},"Art. 22 si décision exclusivement automatisée, DPIA, droits de recours",[336,373,374],{},[58,375,376],{},"Très probable",[312,378,379,384,389,392,395],{},[336,380,381],{},[58,382,383],{},"Analyse CV par IA",[336,385,386,388],{},[58,387,364],{}," (emploi, Annexe III, sous réserve art. 6(3))",[336,390,391],{},"Documentation technique, gestion des risques, supervision humaine, cybersécurité",[336,393,394],{},"Données potentiellement sensibles (art. 9), DPIA, information candidats",[336,396,397],{},[58,398,376],{},[312,400,401,406,409,412,415],{},[336,402,403],{},[58,404,405],{},"Agent SDR automatisé",[336,407,408],{},"Limité (art. 50 si interaction directe)",[336,410,411],{},"Transparence, documentation déployeur",[336,413,414],{},"Intérêt légitime B2B, opt-out, information source des données (art. 14)",[336,416,417],{},"Selon impact du traitement",[312,419,420,425,428,431,434],{},[336,421,422],{},[58,423,424],{},"CRM avec IA intégrée",[336,426,427],{},"Dépend de l'usage concret",[336,429,430],{},"Transparence si interaction directe. Vérifier conformité fournisseur",[336,432,433],{},"Registre des traitements, DPA fournisseur, vigilance transferts hors UE",[336,435,436],{},"Selon usage",[40,438,439,440,290,448,90],{},"Quelques points qui surprennent quand on lit les textes de près ",[71,441,442],{},[74,443,445],{"href":444},"#source-14",[78,446,447],{},"14",[71,449,450],{},[74,451,453],{"href":452},"#source-15",[78,454,455],{},"15",[40,457,458,461],{},[58,459,460],{},"Le chatbot de qualification n'est pas haut risque en soi."," Mais s'il est intégré à un processus relevant d'une catégorie de l'Annexe III (accès au crédit, recrutement) et qu'il influence matériellement la décision, l'analyse peut basculer via l'article 6. C'est l'usage concret qui détermine le niveau de risque, pas le nom de l'outil.",[40,463,464,467,468,472],{},[58,465,466],{},"L'agent SDR demande une analyse au cas par cas."," Tant qu'il se contente de personnaliser et d'envoyer des emails B2B, c'est de l'article 50 (transparence) côté AI Act et du RGPD classique (intérêt légitime, opt-out, information article 14). Le fait de \"scorer\" des leads ne suffit pas à déclencher automatiquement le haut risque AI Act : il faut que l'usage entre dans une catégorie de l'Annexe III et influence matériellement une décision relative à des personnes physiques. Côté RGPD, l'article 22 ne s'applique que si la décision est fondée ",[469,470,471],"em",{},"exclusivement"," sur un traitement automatisé et produit des effets juridiques ou similaires significatifs, ce qui suppose l'absence d'intervention humaine significative dans la boucle.",[40,474,475,478],{},[58,476,477],{},"Le CRM avec IA intégrée"," (HubSpot Breeze, Salesforce Einstein, Dynamics Copilot) ne se classe pas par le nom du produit, mais par l'usage concret de ses fonctions IA. Un assistant rédactionnel et une segmentation marketing ne se traitent pas comme un module de scoring crédit. Deux angles morts reviennent systématiquement : les transferts de données hors UE via l'infrastructure cloud du fournisseur, et l'absence de DPA (Data Processing Agreement) couvrant spécifiquement le traitement IA.",[40,480,481,484],{},[58,482,483],{},"L'analyse CV est en principe le cas le plus lourd."," L'usage recrutement\u002Fsélection relève de l'Annexe III (sous réserve de l'article 6(3)). Côté RGPD, un CV peut contenir, sans que ce soit systématique, des données sensibles au sens de l'article 9 (origine ethnique déductible du nom, situation de handicap, activités syndicales). La DPIA est très probable au regard de l'article 35, et les contrôles CNIL ciblent explicitement ce domaine à partir de l'automne 2026.",[40,486,487],{},"Ce tableau résume les cas les plus fréquents. Pour la version complète avec détails, sanctions et méthodologie d'audit :",[40,489,490,491],{},"📥 ",[74,492,496],{"href":16,"target":493,"rel":494},"_blank",[495],"noopener","Télécharger la matrice complète (PDF, 12 pages)",[63,498,500],{"id":499},"laudit-croisé-en-5-étapes-la-méthode-que-je-vais-appliquer","L'audit croisé en 5 étapes : la méthode que je vais appliquer",[40,502,503,504,510,511,517],{},"Je construis cette méthodologie à partir des textes officiels : la FAQ CNIL ",[71,505,506],{},[74,507,508],{"href":143},[78,509,146],{},", les orientations EDPB ",[71,512,513],{},[74,514,515],{"href":261},[78,516,264],{},", les feuilles de route publiées par les associations de DPO. Je la documente publiquement parce que je vais l'appliquer chez mes clients et parce qu'aucun équivalent en accès libre n'existe en France.",[40,519,520],{},"Je préfère être clair : c'est une proposition méthodologique structurée, pas un retour d'expérience terrain. La démarche est rigoureuse, mais chaque entreprise devra l'adapter à son contexte.",[40,522,523],{},"Pour une version visuelle à partager avec votre équipe :",[40,525,490,526],{},[74,527,529],{"href":20,"target":493,"rel":528},[495],"Télécharger le process en carousel (PDF, 10 slides)",[155,531,533],{"id":532},"étape-1-inventaire-des-systèmes-ia-journée-de-travail-1-2-semaines-de-délai","Étape 1 – Inventaire des systèmes IA (½ journée de travail, 1-2 semaines de délai)",[40,535,536,537,543],{},"Listez tout. Les outils déclarés ET le shadow AI. Quand 78 % des usages IA sont apportés par les salariés eux-mêmes ",[71,538,539],{},[74,540,541],{"href":119},[78,542,122],{},", l'inventaire \"officiel\" ne suffit pas. Préparez un questionnaire court et envoyez-le à chaque équipe : \"Quels outils IA utilisez-vous au quotidien, y compris ChatGPT, Copilot, Gemini, les extensions de navigateur ?\" La réponse vous surprendra. Le temps de préparation est court, mais comptez une à deux semaines pour que les réponses remontent et que vous les consolidiez.",[40,545,546],{},"Pour chaque outil : nom, fournisseur, données traitées, qui l'utilise, depuis quand, pour quelle finalité.",[155,548,550],{"id":549},"étape-2-classification-ai-act-journée-de-travail","Étape 2 – Classification AI Act (½ journée de travail)",[40,552,553,554,90],{},"Pour chaque outil identifié, déterminez le niveau de risque : interdit, haut risque, limité, minimal. La matrice ci-dessus couvre les cas les plus fréquents en PME et ETI. Pour les cas ambigus, l'Annexe III du texte officiel fait référence ",[71,555,556],{},[74,557,558],{"href":286},[78,559,289],{},[40,561,562],{},"Attention : la classification dépend de l'usage, pas de l'outil. Un même LLM peut être minimal (traduction interne) ou haut risque (tri de candidatures).",[155,564,566],{"id":565},"étape-3-croisement-rgpd-1-2-journées-de-travail-1-semaine-de-délai","Étape 3 – Croisement RGPD (1-2 journées de travail, ~1 semaine de délai)",[40,568,569],{},"Pour chaque outil classifié : traite-t-il des données personnelles ? Si oui, quelle base légale ? Le registre des traitements est-il à jour ? Le traitement est-il susceptible d'engendrer un risque élevé pour les droits des personnes (article 35 RGPD), auquel cas une DPIA s'impose ? Une décision est-elle fondée exclusivement sur un traitement automatisé avec des effets significatifs (article 22), auquel cas des garanties spécifiques sont nécessaires ?",[40,571,572],{},"C'est l'étape la plus substantielle. Elle suppose des allers-retours avec le DPO (ou le prestataire RGPD) et une vérification du registre des traitements existant.",[155,574,576],{"id":575},"étape-4-matrice-de-cumul-journée-de-travail","Étape 4 – Matrice de cumul (½ journée de travail)",[40,578,579],{},"Combinez les obligations AI Act et RGPD par système dans un tableau unique. Les redondances et les trous apparaissent vite.",[40,581,582],{},"Attention à ne pas confondre deux obligations distinctes. Le registre RGPD (article 30) est un document interne qui recense vos traitements de données. L'article 49 de l'AI Act impose, dans certains cas précis (fournisseurs de systèmes haut risque, déployeurs publics), un enregistrement dans la base de données de l'UE. C'est une obligation de nature différente. En interne, un référentiel unique de gouvernance avec les colonnes supplémentaires AI Act (classification risque, fournisseur, supervision humaine) est pragmatique, mais il ne dispense pas de l'enregistrement UE lorsque l'article 49 l'exige.",[40,584,585],{},"Dans une entreprise de 50 à 300 personnes, c'est aussi le moment de clarifier qui fait quoi. L'AI Act n'impose pas, à ce stade, la désignation d'un responsable conformité IA distinct sur le modèle du DPO. Le DPO, interne ou externalisé, peut prendre en charge ce rôle, c'est un choix de gouvernance que beaucoup d'entreprises feront. Mais c'est un choix organisationnel, pas une obligation textuelle. Le DG sponsorise, le DPO ou un référent désigné pilote, le CTO ou DSI met en oeuvre techniquement, les métiers déclarent leurs usages.",[53,587,588,594,600],{},[40,589,590,593],{},[58,591,592],{},"Transparence totale."," Voici comment nous documentons nos propres systèmes IA chez SmartCTO. Ce registre est notre version réelle, anonymisée pour protéger nos clients. On applique ce qu'on recommande.",[40,595,490,596],{},[74,597,599],{"href":29,"target":493,"rel":598},[495],"Télécharger notre registre IA (Excel)",[40,601,602],{},"8 systèmes documentés : Agent SDR Smart CRO (n8n + Claude API + Dropcontact), Chatbot qualification, Assistant rédaction, Analyse sentiment NPS, Dashboard Umami, Agent veille réglementaire, Scoring conformité projets, Générateur templates.",[155,604,606],{"id":605},"étape-5-plan-daction-priorisé-journée-de-travail-1-semaine-de-délai","Étape 5 – Plan d'action priorisé (½ journée de travail, ~1 semaine de délai)",[40,608,609],{},"Séparez les quick wins des chantiers structurels. Les mentions de transparence sur les chatbots et la mise à jour du registre des traitements, ça se boucle en quelques jours. La DPIA complète sur un système haut risque ou la renégociation des contrats fournisseurs SaaS, c'est un chantier de plusieurs mois. Le plan se rédige vite, mais le délai réel c'est la validation par la direction et les arbitrages budgétaires.",[40,611,612,613,616,617,90],{},"Le surcoût estimé de la conformité AI Act par rapport à une conformité RGPD existante : ",[58,614,615],{},"+20 à 50 %",". Pour une PME ou ETI, cela représente entre 15 000 et 80 000 EUR par an, audit et accompagnement inclus. Les entreprises qui investissent dans une plateforme de gouvernance IA sont 3,4 fois plus efficaces dans leur mise en conformité ",[71,618,619],{},[74,620,622],{"href":621},"#source-17",[78,623,624],{},"17",[40,626,627,628,636],{},"Bonne nouvelle : la CNIL, l'ANSSI et l'Inria développent conjointement un outil d'audit open source, le projet PANAME, prévu pour l'automne 2026 ",[71,629,630],{},[74,631,633],{"href":632},"#source-16",[78,634,635],{},"16",". C'est exactement le type de ressource qui manque aujourd'hui.",[155,638,640],{"id":639},"checklist-auto-diagnostic-10-questions-à-vous-poser-maintenant","Checklist auto-diagnostic : 10 questions à vous poser maintenant",[40,642,643],{},"Répondez par oui ou non. Comptez vos \"oui\".",[645,646],"quiz",{"id":647},"ai-act",[155,649,651],{"id":650},"modèle-de-mention-transparence-ia-rgpd","Modèle de mention transparence IA + RGPD",[40,653,654],{},"Quand un chatbot ou un agent IA interagit directement avec des personnes et traite des données personnelles, les deux textes exigent une information claire. Voici un modèle à adapter et à afficher :",[53,656,657],{},[40,658,659,662,663,666,667,670,671,674,675,678,679,682,683,90],{},[58,660,661],{},"Information."," Vous échangez avec un assistant propulsé par intelligence artificielle. Les informations que vous partagez sont traitées par ",[78,664,665],{},"Nom de l'entreprise",", responsable de traitement, sur la base de ",[78,668,669],{},"votre consentement \u002F notre intérêt légitime"," pour ",[78,672,673],{},"finalité : qualification de votre demande, orientation vers le bon interlocuteur, etc.",". Vos données ne sont pas utilisées pour entraîner le modèle d'IA sous-jacent. Elles sont conservées ",[78,676,677],{},"durée"," et ne sont pas transférées hors de l'Union européenne. Vous pouvez exercer vos droits (accès, rectification, effacement, opposition) en contactant ",[78,680,681],{},"email",". Pour en savoir plus : ",[78,684,685],{},"lien politique de confidentialité",[40,687,688],{},"Ce modèle couvre simultanément l'obligation de transparence AI Act (article 50(1) : informer qu'on interagit avec une IA, sauf si c'est évident pour une personne raisonnablement informée) et l'obligation d'information RGPD (articles 13 et 14 : finalité, base légale, durée, droits). Les deux obligations sont complémentaires, pas redondantes. Adaptez le modèle à votre cas d'usage : un chatbot client n'a pas la même finalité qu'un agent de qualification B2B.",[63,690,692],{"id":691},"le-cadre-européen-un-avantage-et-pas-un-frein","Le cadre européen, un avantage et pas un frein",[40,694,695],{},"Je sais. À ce stade de l'article, la réaction naturelle c'est : \"Encore de la réglementation européenne qui nous freine pendant que les Américains avancent.\"",[40,697,698],{},"Je ne suis pas d'accord. Et les faits récents me donnent raison.",[40,700,701,702,710],{},"Marietje Schaake, ancienne eurodéputée et chercheuse à Stanford, l'a documenté dans le Financial Times en avril 2026 : les interventions exécutives de l'administration Trump dans la tech dépassent désormais toute régulation européenne ",[71,703,704],{},[74,705,707],{"href":706},"#source-18",[78,708,709],{},"18",". Alondra Nelson, ancienne conseillère scientifique de la Maison Blanche sous Biden, parle d'\"hyper-regulation by other means\", une préférence systématique pour la discrétion exécutive plutôt que pour des processus délibératifs et prévisibles.",[40,712,713],{},"TikTok vendu sous la contrainte d'un ultimatum présidentiel. Nvidia dont les licences d'export changent à chaque décision. Le Département de la Défense qui punit Anthropic, une entreprise américaine, pour avoir respecté ses propres clauses contractuelles limitant l'usage militaire de son IA. Quand respecter ses engagements devient un risque commercial, quelque chose ne tourne plus rond.",[40,715,716],{},"C'est ça, l'absence de cadre réglementaire : l'imprévisibilité totale. Chaque tweet peut changer les règles du jeu.",[40,718,719,720,723],{},"Le cadre européen, lui, offre de la ",[58,721,722],{},"prévisibilité",". Les règles sont écrites, publiques, avec un calendrier connu à l'avance. Une PME conforme ne risque pas de se faire retirer une autorisation du jour au lendemain sur un caprice politique.",[40,725,726,727,90],{},"Et le cadre vient avec des outils concrets. Le Plan Osez l'IA mobilise 200 M EUR pour l'adoption de l'IA par les PME. Les bacs à sable réglementaires (sandbox, article 62 de l'AI Act) offrent un accès prioritaire aux PME pour tester leurs systèmes IA sous supervision du régulateur ",[71,728,729],{},[74,730,731],{"href":286},[78,732,289],{},[40,734,735,736,744],{},"Pendant ce temps, côté assurance, le marché a déjà tranché. AIG, Great American, W.R. Berkley demandent à exclure le risque IA de leurs polices ",[71,737,738],{},[74,739,741],{"href":740},"#source-19",[78,742,743],{},"19",". C'est le phénomène \"Silent IA\" : des polices d'assurance qui couvrent théoriquement le risque numérique mais qui n'ont jamais intégré l'IA dans leurs modèles de couverture. Les entreprises non conformes risquent de devenir inassurables. Le marché n'attend pas la réglementation pour arbitrer.",[63,746,748],{"id":747},"ressources-complètes-pour-aller-plus-loin","Ressources complètes pour aller plus loin",[155,750,752],{"id":751},"template-dpia-ai-act-rgpd-xlsx","Template DPIA AI Act + RGPD (.xlsx)",[40,754,755],{},"Un fichier Excel prêt à remplir pour documenter votre conformité :",[40,757,758],{},"✓ 8 onglets structurés (inventaire, classification, obligations, DPIA, plan d'action)\n✓ Exemples concrets pré-remplis (chatbot, agent SDR, analyse CV, CRM IA)\n✓ Méthodologie d'audit détaillée",[40,760,490,761],{},[74,762,764],{"href":25,"target":493,"rel":763},[495],"Télécharger le template DPIA (Excel)",[40,766,767,768,90],{},"Pour le guide complet et un accompagnement personnalisé : ",[74,769,772],{"href":34,"rel":770},[771],"nofollow","prendre rendez-vous",[774,775],"hr",{},[40,777,778],{},"Tout ça représente du travail. Personne ne dit le contraire.",[40,780,781],{},"Mais c'est du travail structurant. Le même type que la mise en conformité RGPD en 2018. Les entreprises qui l'ont fait sérieusement en ont tiré un avantage concurrentiel et une relation de confiance avec leurs clients. Celles qui l'ont bâclé payent encore des consultants pour rattraper le retard huit ans plus tard.",[40,783,784],{},"L'AI Act + RGPD, c'est la même logique, en plus complexe.",[40,786,787,788,90],{},"La matrice, la checklist et le modèle de mention que vous venez de lire sont un point de départ. Si vous voulez qu'on passe vos systèmes IA en revue ensemble : ",[74,789,792],{"href":790,"rel":791},"https:\u002F\u002Fcal.com\u002Fsmartcto\u002F30min?notes=Source%20:%20Article%20AI%20Act%20RGPD%20double%20conformit%C3%A9",[771],"30 minutes de diagnostic flash, sans engagement",{"title":794,"searchDepth":795,"depth":795,"links":796},"",2,[797,798,803,804,813,814],{"id":65,"depth":795,"text":66},{"id":134,"depth":795,"text":135,"children":799},[800,802],{"id":157,"depth":801,"text":158},3,{"id":229,"depth":801,"text":230},{"id":277,"depth":795,"text":278},{"id":499,"depth":795,"text":500,"children":805},[806,807,808,809,810,811,812],{"id":532,"depth":801,"text":533},{"id":549,"depth":801,"text":550},{"id":565,"depth":801,"text":566},{"id":575,"depth":801,"text":576},{"id":605,"depth":801,"text":606},{"id":639,"depth":801,"text":640},{"id":650,"depth":801,"text":651},{"id":691,"depth":795,"text":692},{"id":747,"depth":795,"text":748,"children":815},[816],{"id":751,"depth":801,"text":752},"smartcto","2026-04-09","Quand DPIA RGPD et registre IA AI Act se superposent : matrice de cumul par cas d'usage, checklist auto-diagnostic et plan d'action pour les PME et ETI qui utilisent de l'IA.",false,"md",[823,826,829,832,835,838,841,844],{"question":824,"answer":825},"Comment s'articulent le RGPD et l'AI Act ?","L'AI Act couvre la sécurité et la transparence des systèmes IA, le RGPD protège les données personnelles. Quand un même usage entre à la fois dans le champ d'application de l'AI Act et dans celui du RGPD, les obligations des deux textes se cumulent. L'AI Act ne remplace pas le RGPD : il s'y ajoute \u003Csup>\u003Ca href=\"#source-6\">[6]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":827,"answer":828},"Les sanctions RGPD et AI Act s'additionnent-elles vraiment ?","L'article 99(7) de l'AI Act impose aux autorités de tenir compte des sanctions déjà infligées pour la même infraction ou la même activité. Il n'y a donc pas d'addition mécanique. Mais il n'y a pas non plus de règle absolue de non-cumul : pour des manquements distincts relevant de textes différents, des sanctions parallèles restent possibles. Les plafonds AI Act vont jusqu'à 35 M EUR et le RGPD jusqu'à 20 M EUR \u003Csup>\u003Ca href=\"#source-7\">[7]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":830,"answer":831},"Mon chatbot client est-il considéré comme haut risque ?","Pas automatiquement. Un chatbot de qualification relève en principe de l'article 50 (transparence). S'il est intégré à un processus relevant de l'Annexe III (accès au crédit, recrutement) et influence matériellement la décision, il peut basculer en haut risque, sous réserve de la dérogation de l'article 6(3). C'est l'usage concret qui détermine le niveau de risque, pas l'outil \u003Csup>\u003Ca href=\"#source-12\">[12]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":833,"answer":834},"Mon registre RGPD suffit-il ou dois-je créer un registre IA séparé ?","Le registre RGPD (article 30) est un document interne. L'article 49 de l'AI Act impose, dans certains cas précis (fournisseurs haut risque, déployeurs publics), un enregistrement dans la base de données de l'UE, c'est une obligation distincte. En interne, un référentiel unique de gouvernance combinant les deux est pragmatique, mais il ne dispense pas de l'enregistrement UE lorsqu'il est requis.",{"question":836,"answer":837},"L'AI Act et le RGPD ne se contredisent-ils pas sur la minimisation des données ?","Tension apparente : l'AI Act exige des jeux de données représentatifs et complets, le RGPD impose la minimisation. En pratique, la documentation lève la contradiction : il faut justifier pourquoi le volume de données est nécessaire à la performance du système \u003Csup>\u003Ca href=\"#source-11\">[11]\u003C\u002Fa>\u003C\u002Fsup>.",{"question":839,"answer":840},"Mon DPO peut-il gérer la conformité AI Act ?","L'AI Act n'impose pas, à ce stade, la désignation d'un responsable conformité IA distinct sur le modèle du DPO. Dans une PME ou ETI, cette fonction peut être rattachée au DPO ou à une autre fonction de conformité, sous réserve de compétences suffisantes et d'une gouvernance claire. C'est un choix organisationnel, pas une obligation textuelle.",{"question":842,"answer":843},"Ai-je jusqu'à août 2026 ou dois-je agir avant ?","En droit positif, le calendrier est en escalier : AI literacy obligatoire depuis février 2025, transparence chatbots au 2 août 2026 (article 113). Un projet de report (Digital Omnibus) est en discussion pour repousser les obligations haut risque, mais il n'est pas encore adopté \u003Csup>\u003Ca href=\"#source-10\">[10]\u003C\u002Fa>\u003C\u002Fsup>. Le RGPD, lui, ne connaît aucun report : il s'applique depuis 2018.",{"question":845,"answer":846},"Que dois-je exiger de mes fournisseurs SaaS comme clauses AI Act ?","Au minimum : déclaration de conformité CE pour les systèmes haut risque, documentation technique accessible, notification des incidents, coopération en cas de contrôle. Vérifiez aussi les clauses sur les transferts de données hors UE et la sous-traitance du traitement IA \u003Csup>\u003Ca href=\"#source-13\">[13]\u003C\u002Fa>\u003C\u002Fsup>.","MOFU",[849,850,851,852,853,854,855,856],"ai act rgpd conformité pme","ai act pme obligations 2026","dpia rgpd intelligence artificielle","cumul obligations ai act rgpd","chatbot ia conformité rgpd","registre ia ai act","sanctions ai act rgpd","audit conformité ia pme",{"publishDate":818},true,"\u002Fblog\u002F2026-04-09-ai-act-rgpd-double-conformite-pme","agents-ia","false",{"title":5,"description":819},"ai-act-rgpd-double-conformite-pme",[865,868,871,874,877,880,883,886,889,892,895,898,901,904,907,910,913,916,919],{"title":866,"url":867},"Bpifrance Le Lab — Basculement des usages IA générative TPE-PME (55 % fin 2025)","https:\u002F\u002Fitsocial.fr\u002Fcontenus\u002Factualites\u002Fintelligence-artificielle-actualites-contenus\u002Fbpifrance-constate-un-basculement-des-usages-avec-55-des-tpe-pme-utilisatrices-dia-generative-fin-2025\u002F",{"title":869,"url":870},"France Num \u002F DGE — Baromètre numérique TPE-PME 2025 (26 % utilisent l'IA)","https:\u002F\u002Fwww.francenum.gouv.fr\u002Fguides-et-conseils\u002Fstrategie-numerique\u002Fcomprendre-le-numerique\u002Fbarometre-france-num-2025-le",{"title":872,"url":873},"KPMG — AI Act : 90 % des PME peinent à comprendre leur statut de Déployeur","https:\u002F\u002Fkpmg.com\u002Ffr\u002Ffr\u002Finsights\u002Frisques-ia\u002Feu-ai-act-2025.html",{"title":875,"url":876},"McKinsey — State of AI 2025 : 17 % des organisations ont une gouvernance IA au board","https:\u002F\u002Fwww.mckinsey.com\u002Fcapabilities\u002Fquantumblack\u002Four-insights\u002Fthe-state-of-ai",{"title":878,"url":879},"Deloitte France — State of AI in the Enterprise (78 % d'usages IA en shadow IT)","https:\u002F\u002Fwww.deloitte.com\u002Ffr\u002Ffr\u002Fservices\u002Fconsulting\u002Fperspectives\u002Fstate-of-ai-in-the-enterprise.html",{"title":881,"url":882},"CNIL — Questions-réponses sur l'entrée en vigueur de l'AI Act","https:\u002F\u002Fwww.cnil.fr\u002Ffr\u002Fentree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil",{"title":884,"url":885},"Paperclipped — Coordination des sanctions AI Act \u002F RGPD (art. 99)","https:\u002F\u002Fwww.paperclipped.de\u002Fen\u002Fblog\u002Fdsgvo-ai-agents-compliance-2026\u002F",{"title":887,"url":888},"CNIL — Bilan des sanctions 2025 (487 M EUR en 83 décisions)","https:\u002F\u002Fwww.cnil.fr\u002Ffr\u002Fbilan-sanctions-2025",{"title":890,"url":891},"CNIL — Contrôles prioritaires 2026 (recrutement et IA)","https:\u002F\u002Fcnil.fr\u002Ffr\u002Fcontroles-prioritaires-2026",{"title":893,"url":894},"Parlement européen — Vote Digital Omnibus AI Act (26 mars 2026)","https:\u002F\u002Fwww.europarl.europa.eu\u002Fnews\u002Fen\u002Fpress-room\u002F20260323IPR38829\u002Fartificial-intelligence-act-delayed-application-ban-on-nudifier-apps",{"title":896,"url":897},"EDPB-EDPS — Joint Opinion 1\u002F2026 on the Digital Omnibus proposal","https:\u002F\u002Fwww.edpb.europa.eu\u002Four-work-tools\u002Four-documents\u002Fedpbedps-joint-opinion\u002Fedpb-edps-joint-opinion-12026-proposal_en",{"title":899,"url":900},"artificialintelligenceact.eu — Texte officiel complet de l'AI Act","https:\u002F\u002Fartificialintelligenceact.eu\u002Ffr\u002F",{"title":902,"url":903},"MDP Data — AI Act : obligations et mise en conformité des organisations","https:\u002F\u002Fmdp-data.com\u002Fai-act-obligations-et-mise-en-conformite-des-organisations\u002F",{"title":905,"url":906},"Ikendo — AI Act PME françaises : obligations et échéances 2025-2026","https:\u002F\u002Fwww.ikendo.fr\u002Fethique-gouvernance-ia\u002Fai-act-pme-francaises-obligations-echeances-2025-2026\u002F",{"title":908,"url":909},"Leto Legal — Guide conformité AI Act (calendrier, obligations, sanctions)","https:\u002F\u002Fwww.leto.legal\u002Fguides\u002Fai-act-conformite",{"title":911,"url":912},"CNIL — Projet PANAME : outil d'audit RGPD des modèles d'IA (CNIL + ANSSI + Inria)","https:\u002F\u002Fcnil.fr\u002Ffr\u002Fprojet-paname-participez-aux-tests-dun-outil-daudit-rgpd-des-modeles-dia",{"title":914,"url":915},"Gartner — AI Regulations Fuel Billion-Dollar Market for Governance Platforms","https:\u002F\u002Fwww.gartner.com\u002Fen\u002Fnewsroom\u002Fpress-releases\u002F2026-02-17-gartner-global-ai-regulations-fuel-billion-dollar-market-for-ai-governance-platforms",{"title":917,"url":918},"FT \u002F Marietje Schaake — How Trump became tech's regulator-in-chief","https:\u002F\u002Fwww.ft.com\u002Fcontent\u002F16bc1f88-0ae0-4de8-91ef-ea947876dc7d",{"title":920,"url":921},"Tribune de l'Assurance — Risque IA : les assureurs commencent à exclure","https:\u002F\u002Ftribune-assurance.optionfinance.fr\u002Fdroit-technique\u002Frisque-ia-ou-en-est-la-couverture-du-marche-francais-en-2026.html","blog\u002F2026-04-09-ai-act-rgpd-double-conformite-pme",[647,924,925,926,927,928],"rgpd","conformité","ia-agents","pme","eti","d8Ym0Uksw1R10LpV59sfbjxZ-N8ClKyHGY5aWBG6L4s",1775752596656]