AI Act vs RGPD : quelles différences ?
Le comparatif
| RGPD | AI Act | |
|---|---|---|
| Objet | Protection des données personnelles | Encadrement des systèmes d'IA par le risque |
| Depuis | 25 mai 2018 | Par étapes : 2025 → 2027/2028 |
| Logique | Droits des personnes, base légale, minimisation | 4 niveaux de risque (interdit / haut / limité / minimal) |
| Sanction max. | 20 M€ ou 4 % du CA mondial | 35 M€ ou 7 % du CA mondial |
| Autorité (FR) | CNIL | CNIL, DGCCRF, Arcom selon les cas |
Complémentaires, pas concurrents
Exemple : un chatbot RH qui trie des CV traite des données personnelles (RGPD : base légale, information des candidats) et constitue un système à haut risque (AI Act : documentation, supervision humaine). Vous devez respecter les deux, en même temps.
Par où commencer quand on est une PME
Si vous êtes déjà en règle côté RGPD, vous avez une longueur d'avance : la logique de registre et de documentation est la même. Il reste à cartographier vos usages d'IA et à les classer par niveau de risque — la brique spécifique à l'AI Act.
Pas sûr d'être concerné ?
Faites le diagnostic gratuit (2 min, sans inscription), puis documentez tout avec le kit.
Questions fréquentes
L'AI Act remplace-t-il le RGPD ?
Non. Les deux règlements coexistent et se complètent : le RGPD encadre les données personnelles, l'AI Act encadre les systèmes d'IA. Une même activité peut relever des deux simultanément.
Si je respecte le RGPD, suis-je conforme à l'AI Act ?
Pas automatiquement. La conformité RGPD aide (registre, documentation), mais l'AI Act ajoute une exigence propre : classer et documenter vos systèmes d'IA selon leur niveau de risque.
Quelle sanction est la plus lourde ?
L'AI Act prévoit un plafond plus élevé (35 M€ ou 7 % du CA) que le RGPD (20 M€ ou 4 %). Pour les PME et startups, l'AI Act plafonne toutefois la sanction au plus faible des deux montants.
Sources : Règlement (UE) 2024/1689 (AI Act) ; accord Digital Omnibus, feu vert du Conseil de l'UE du 29 juin 2026 ; IT Social ; Management & Qualité ; DLA Piper.