⚖️ Guide · AI Act

AI Act vs RGPD : quelles différences ?

L'essentiel : le RGPD protège les données personnelles ; l'AI Act encadre les systèmes d'IA selon leur niveau de risque. Ce ne sont pas deux règlements concurrents mais complémentaires : une PME qui utilise l'IA sur des données personnelles relève des deux. Le RGPD s'applique depuis 2018 ; l'AI Act entre en vigueur par étapes jusqu'en 2027-2028.

Le comparatif

RGPDAI Act
ObjetProtection des données personnellesEncadrement des systèmes d'IA par le risque
Depuis25 mai 2018Par étapes : 2025 → 2027/2028
LogiqueDroits des personnes, base légale, minimisation4 niveaux de risque (interdit / haut / limité / minimal)
Sanction max.20 M€ ou 4 % du CA mondial35 M€ ou 7 % du CA mondial
Autorité (FR)CNILCNIL, DGCCRF, Arcom selon les cas

Complémentaires, pas concurrents

Exemple : un chatbot RH qui trie des CV traite des données personnelles (RGPD : base légale, information des candidats) et constitue un système à haut risque (AI Act : documentation, supervision humaine). Vous devez respecter les deux, en même temps.

Par où commencer quand on est une PME

Si vous êtes déjà en règle côté RGPD, vous avez une longueur d'avance : la logique de registre et de documentation est la même. Il reste à cartographier vos usages d'IA et à les classer par niveau de risque — la brique spécifique à l'AI Act.

Pas sûr d'être concerné ?

Faites le diagnostic gratuit (2 min, sans inscription), puis documentez tout avec le kit.

Questions fréquentes

L'AI Act remplace-t-il le RGPD ?

Non. Les deux règlements coexistent et se complètent : le RGPD encadre les données personnelles, l'AI Act encadre les systèmes d'IA. Une même activité peut relever des deux simultanément.

Si je respecte le RGPD, suis-je conforme à l'AI Act ?

Pas automatiquement. La conformité RGPD aide (registre, documentation), mais l'AI Act ajoute une exigence propre : classer et documenter vos systèmes d'IA selon leur niveau de risque.

Quelle sanction est la plus lourde ?

L'AI Act prévoit un plafond plus élevé (35 M€ ou 7 % du CA) que le RGPD (20 M€ ou 4 %). Pour les PME et startups, l'AI Act plafonne toutefois la sanction au plus faible des deux montants.

Sources : Règlement (UE) 2024/1689 (AI Act) ; accord Digital Omnibus, feu vert du Conseil de l'UE du 29 juin 2026 ; IT Social ; Management & Qualité ; DLA Piper.