RGPD + IA générative : ce que change l'AI Act pour les ETI

L'AI Act n'est pas du RGPD bis. C'est une couche en plus.

Beaucoup de DPO et de directions juridiques avec qui j'échange dans les ETI françaises pensent que l'AI Act va être « absorbé » par leurs procédures RGPD existantes. Faux. Le RGPD régit le traitement de données personnelles. L'AI Act régit l'usage de systèmes d'IA, qu'ils traitent ou non des données personnelles. Les deux régimes coexistent et s'empilent.

Concrètement, sur un projet ETI typique en 2026, une équipe doit conformer trois documents à des obligations distinctes :

• L'analyse d'impact RGPD (AIPD/DPIA) — quand le système IA traite de la donnée personnelle
• L'évaluation de conformité AI Act — quand le système entre dans les catégories à risque
• La documentation technique du fournisseur — qu'il soit GPAI (modèle généraliste) ou non

Quand on rate l'un des trois, on n'est pas conforme.

Le RGPD seul ne couvre pas vos enjeux IA

Les obligations RGPD que vous connaissez déjà — base légale, minimisation, durée de conservation, droits des personnes — ne disent rien sur :

• L'évaluation des biais dans les sorties d'un modèle (par exemple sur le tri de CV)
• La transparence sur le fait qu'un contenu a été généré par IA
• La robustesse technique face aux hallucinations sur les décisions importantes
• La supervision humaine obligatoire sur certains usages
• Les exigences techniques sur la qualité des données d'entraînement

Tout cela vient de l'AI Act. Et l'erreur classique en ETI, c'est de demander au DPO de « faire le RGPD du projet IA » en pensant que ça suffit. Ça ne suffit pas — le DPO n'est pas l'autorité AI Act. Il vous faut un référent IA distinct (souvent un binôme DSI + juriste) qui documente la conformité AI Act.

Les 4 catégories de risque AI Act, simplifiées

L'AI Act classe les systèmes d'IA en quatre niveaux :

1. Risque inacceptable — interdit (notation sociale, manipulation cognitive, identification biométrique en temps réel hors exceptions). Ne concerne quasiment aucune ETI.
2. Risque élevé — autorisé sous strictes conditions (santé, RH, éducation, justice, infrastructures critiques, accès aux services essentiels). Très contraignant : registre, documentation technique, supervision humaine, certification.
3. Risque limité — obligation de transparence (chatbots, contenu généré par IA). Vous devez informer l'utilisateur qu'il interagit avec une IA.
4. Risque minimal — pas d'obligation spécifique (filtres anti-spam, recommandations produits, génération de brouillons internes).

Pour 90 % des projets ETI sur lesquels j'interviens, on est sur du risque limité ou minimal. Les contraintes lourdes du risque élevé concernent surtout : tri de CV automatisé, scoring crédit, évaluation scolaire, certains usages santé.

Mais — et c'est le piège — un usage qui semble inoffensif peut basculer en risque élevé selon le contexte. Exemple : un chatbot interne pour répondre aux salariés sur leurs droits = risque limité. Le même chatbot utilisé pour pré-filtrer des candidats = risque élevé.

Ne déployez pas un système IA sans avoir formellement classé son niveau de risque AI Act.

Les 5 points qu'on documente déjà chez nos clients ETI

Quand on cadre un projet IA pour une ETI, on construit en parallèle un dossier de conformité qui couvre les obligations RGPD et AI Act. Voici ce qu'on documente systématiquement.

1. Opt-out d'entraînement par les fournisseurs

C'est le point n°1 que vous devez vérifier dans tout contrat avec un fournisseur d'IA. La question : est-ce que mes prompts et mes données sont utilisés pour ré-entraîner leur modèle ?

État du marché en 2026 :

• OpenAI (API) — opt-out par défaut depuis mars 2023. Les prompts API ne sont plus utilisés pour l'entraînement.
• Anthropic (Claude) — opt-out par défaut. Conservation 30 jours pour modération sécurité, sauf accord spécifique.
• Mistral AI — opt-out par défaut sur l'API. Politique souveraine claire.
• Google Gemini — varie selon le tier. À vérifier au contrat.
• ChatGPT et Claude.ai grand public — utilisés par défaut pour entraînement. Vos collaborateurs qui collent des données pro dans l'interface web exposent l'entreprise.

Action concrète : interdire formellement l'usage des interfaces grand public sur des données pro, et déployer une licence API ou Enterprise avec contrat opt-out écrit.

2. Localisation et hébergement des données

L'AI Act n'impose pas l'hébergement UE, mais le RGPD oui pour les données personnelles. Et certains secteurs (santé HDS, défense) imposent une souveraineté plus stricte.

Trois options pour les ETI :

• Cloud public US (OpenAI direct, Anthropic direct) — possible, mais nécessite un encadrement contractuel précis : clauses contractuelles types, transferts hors UE.
• Cloud public européen (Azure OpenAI Europe, Anthropic via AWS Frankfurt, Mistral en France) — préférable pour les projets sensibles.
• Self-hosting (Mistral Large 2 on-premise, Llama 3 sur infra interne) — réservé aux ETI avec une équipe IT solide et des cas d'usage où la latence cloud est inacceptable.

Le bon choix dépend de votre cas d'usage et de votre tolérance au risque réglementaire — ce n'est pas un sujet à arbitrer en 30 minutes.

3. Traçabilité des prompts et des sorties

L'AI Act impose pour les systèmes à risque élevé une journalisation détaillée. Mais même hors risque élevé, c'est une bonne pratique défensive. En cas de contestation client (« ce devis ne ressemble pas à ce qu'on m'a dit »), pouvoir produire :

• Le prompt exact envoyé au modèle
• La réponse complète générée
• Le modèle utilisé et sa version
• L'utilisateur humain qui a déclenché la requête et celui qui a validé la sortie
• La date et l'heure

… ça vaut tous les contrats du monde. Conservation recommandée : au moins 6 mois pour les workflows commerciaux, 5 ans pour les workflows financiers.

4. Transparence vis-à-vis des utilisateurs

L'AI Act (article 50) exige que tout contenu généré ou modifié par une IA et destiné au public soit identifiable comme tel. Pour les ETI, cela concerne :

• Les chatbots sur votre site → indiquer clairement qu'il s'agit d'une IA
• Les emails générés par IA et envoyés en masse → mention obligatoire, ou validation humaine systématique
• Les images, voix, vidéos générées → marquage AI ou métadonnée

En interne, vous n'êtes pas tenu de tagger chaque brouillon généré. Mais pour toute communication externe non revue ligne par ligne par un humain, la transparence n'est pas optionnelle.

5. Évaluation d'impact croisée RGPD + AI Act

Pour chaque nouveau système IA déployé sur des données personnelles, on produit un document unique qui combine :

• Section RGPD : finalité, base légale, données traitées, durée, droits, mesures de sécurité
• Section AI Act : classification de risque, mesures de mitigation, supervision humaine, obligations de transparence, registre interne
• Section technique : modèle utilisé, fournisseur, conditions contractuelles, traçabilité activée

Ce document doit exister avant la mise en production, pas après. Le rédiger après coup, c'est la garantie de découvrir un trou trop tard.

Un cas concret : tri de candidatures dans une ETI industrielle

Client anonymisé : ETI industrielle de 600 personnes, 200 candidatures par mois sur des postes techniques. La DRH voulait automatiser un premier tri.

L'audit a révélé que ce cas tombait directement en risque élevé AI Act (annexe III, point 4 : tri de candidatures). Conséquences :

• Documentation technique complète obligatoire
• Supervision humaine garantie sur chaque décision impactant le candidat
• Évaluation de biais sur les jeux de données de référence
• Information explicite des candidats sur l'usage d'une IA dans leur processus
• Enregistrement de chaque décision dans un registre traçable six ans
• Possibilité pour le candidat de demander une revue humaine

Bilan : le ROI initialement prévu (deux jours par semaine économisés) tombait, après prise en compte du temps de gouvernance, à trois ou quatre heures par semaine économisées net. Décision finale du client : garder la lecture humaine mais utiliser l'IA en assistance pour identifier les compétences clés dans chaque CV — cas d'usage qui passe alors en risque limité, beaucoup moins contraignant.

C'est exactement le genre d'arbitrage qu'on doit faire avant de signer une licence ou de coder un workflow.

Checklist rapide pour vos projets IA en 2026

Avant chaque déploiement, vérifier en 10 minutes :

• Quelle est la catégorie de risque AI Act du système ?
• Le fournisseur est-il opt-out d'entraînement par défaut sur l'API ?
• Où sont hébergées les données ? UE ? Cas conforme aux clauses-types ?
• La journalisation des prompts et sorties est-elle activée ?
• L'information des utilisateurs sur l'usage d'IA est-elle prévue ?
• Une AIPD/DPIA est-elle en cours ou bouclée ?
• Un référent IA est-il identifié dans l'organisation ?
• Le contrat fournisseur couvre-t-il les obligations AI Act ?

Si vous répondez « non » ou « je ne sais pas » sur plus de deux points, le projet n'est pas mûr pour la mise en production.

Vous lancez un projet IA en ETI et vous voulez sécuriser RGPD + AI Act avant de signer ? Dans l'audit Elvarys (30 minutes, gratuit), on classe votre cas d'usage, on identifie les obligations applicables et on vous remet une feuille de route conformité avec votre cadrage technique. Aucun engagement à la suite.