Le RGPD encadre déjà la donnée, l’AI Act ajoute désormais une couche de contrôle sur les usages, les risques et la gouvernance des systèmes d’intelligence artificielle. Pour les entreprises, le vrai sujet n’est donc plus de choisir entre les deux textes, mais de construire une conformité cohérente, lisible et exploitable, sans multiplier les procédures inutiles ni freiner les projets métiers.
Deux textes, un même réflexe
Le RGPD protège les personnes lorsque des données personnelles sont collectées, analysées ou conservées. L’AI Act, lui, s’intéresse au système d’IA, à son niveau de risque, à sa documentation et à ses conditions de mise sur le marché ou d’utilisation. Les deux approches ne se concurrencent pas, elles se complètent.
Dans les faits, un outil de scoring RH, un assistant client automatisé ou un moteur de détection de fraude peuvent relever des deux réglementations en même temps. C’est précisément là que les difficultés apparaissent : une entreprise peut être carrée sur les bases légales de traitement, tout en restant fragile sur la qualification du système, la traçabilité des décisions ou les obligations de gouvernance. La bonne méthode consiste donc à traiter l’IA comme un sujet transverse, et non comme un simple prolongement de la conformité data.
Cartographier avant de corriger
La première étape n’est pas juridique, elle est opérationnelle. Il faut dresser une cartographie claire des cas d’usage, des données mobilisées, des fournisseurs impliqués, des finalités poursuivies et des impacts possibles sur les personnes concernées. Sans cette vision, impossible d’arbitrer correctement.
Cette cartographie permet ensuite de croiser plusieurs questions simples : l’outil traite-t-il des données personnelles, influence-t-il une décision importante, entre-t-il dans une catégorie à risque, nécessite-t-il une information renforcée, ou encore une supervision humaine ? À partir de là, la conformité cesse d’être abstraite. Pour accélérer ce travail et structurer l’analyse, de nombreuses équipes s’appuient sur cette solution, qui aide à centraliser les obligations, documenter les traitements et relier les exigences du RGPD à celles de l’AI Act dans une logique de pilotage unique.
Gouvernance, le vrai point faible
Beaucoup d’organisations ont déjà des réflexes RGPD : registre, politique de conservation, clauses contractuelles, encadrement des sous-traitants. En revanche, la gouvernance IA reste souvent embryonnaire. Or c’est elle qui fera la différence entre une mise en conformité théorique et un dispositif réellement défendable.
Il faut identifier un propriétaire métier, un référent conformité et, selon la taille de l’entreprise, un circuit d’escalade vers la direction juridique, la sécurité ou le DPO. Il faut aussi prévoir des règles d’achat, de validation et de revue des outils, y compris lorsqu’ils sont intégrés dans des solutions tierces. Autrement dit, la conformité ne se joue pas seulement dans les documents. Elle se joue dans la décision de déployer, dans la capacité à expliquer ce qui a été choisi, et dans la preuve que les risques ont été examinés avant usage.
Éviter le millefeuille documentaire
L’erreur classique consiste à créer un dossier RGPD d’un côté, un dossier AI Act de l’autre, puis à empiler les formulaires. Cette logique finit par épuiser les équipes, sans forcément mieux protéger l’entreprise. Mieux vaut bâtir un socle commun.
Un questionnaire unique peut déjà couvrir la finalité, les catégories de données, les personnes concernées, les fournisseurs, les critères de décision, les risques et les mesures de contrôle. Ensuite, certaines obligations se séparent, mais la matière de départ reste la même. Ce choix simplifie l’audit, réduit les doublons et fluidifie les validations internes. C’est aussi une façon plus réaliste d’embarquer les métiers, qui ont besoin d’un cadre lisible, pas d’un labyrinthe réglementaire.
Par où commencer ?
La priorité tient en trois chantiers : recenser les usages, classer les risques et définir une gouvernance commune. Côté budget, l’effort est souvent bien moindre quand l’entreprise mutualise ses démarches au lieu de traiter chaque texte isolément. Un accompagnement externe peut être utile au démarrage, surtout pour qualifier les outils, formaliser les contrôles et éviter de découvrir trop tard qu’un projet IA avançait sans cadre clair.