A4 · Article pilierConformité

RGPD, AI Act et IA générative : guide de conformité 2026

Le guide juridique et opérationnel pour aligner vos déploiements IA avec le RGPD et l'AI Act européen en 2026.

13 min 2900 mots Mis à jour 2026-06-13

En résumé

  • Depuis août 2026, les obligations AI Act pour les systèmes à risque élevé sont pleinement applicables.
  • Toute utilisation d'IA traitant des données personnelles exige une analyse d'impact (DPIA) documentée.
  • Les fournisseurs hors UE imposent une analyse de transfert (TIA) et des clauses contractuelles types renforcées.
  • Un registre des systèmes IA est désormais attendu par la CNIL en cas de contrôle.

01. Le cadre juridique applicable en 2026

Trois textes structurent la conformité IA en France : le RGPD (depuis 2018), le AI Act européen (vigueur progressive 2025-2027) et la loi française pour une République numérique. La CNIL publie depuis 2024 ses recommandations spécifiques IA et a notifié les premières sanctions IA en 2025.

02. La cartographie des risques IA par cas d'usage

L'AI Act classe les systèmes IA en quatre niveaux de risque, qui déterminent les obligations.

NiveauExemplesObligations
InacceptableNotation sociale, manipulationInterdiction
ÉlevéRH, crédit, santé, justiceDocumentation, audit, supervision humaine
LimitéChatbots, deepfakesTransparence, marquage
MinimalFiltres anti-spam, jeuxBonnes pratiques

03. DPIA IA : ce que la CNIL attend en 2026

Toute utilisation d'un LLM traitant des données personnelles à grande échelle exige une analyse d'impact relative à la protection des données (DPIA). La CNIL attend 8 éléments précis.

  • Description du traitement et finalité.
  • Base légale (contrat, intérêt légitime, consentement).
  • Cartographie des flux de données — y compris vers le modèle.
  • Évaluation des risques pour les personnes concernées.
  • Mesures techniques (pseudonymisation, minimisation, chiffrement).
  • Mesures organisationnelles (formation, charte IA, supervision).
  • Analyse de transfert hors UE le cas échéant.
  • Plan de revue annuelle.

04. Fournisseurs US : OpenAI, Anthropic, Google

L'utilisation d'OpenAI, Anthropic ou Google Gemini implique un transfert de données vers les États-Unis. Le Data Privacy Framework (DPF) couvre une partie des fournisseurs depuis 2023, mais son fragile équilibre juridique impose une TIA (Transfer Impact Assessment) documentée.

Pour les données sensibles (santé, juridique, RH), la pratique 2026 recommande des modèles hébergés en UE (Mistral, Le Chat Pro, Azure OpenAI région EU) ou en on-premise.

05. Le registre des systèmes IA

L'AI Act et la CNIL exigent un registre interne des systèmes IA en production. Pour chaque système : finalité, type de modèle, données d'entrée, données de sortie, fournisseur, mesures de supervision, responsable. Ce registre est attendu en cas de contrôle et conditionne l'analyse de risques.

06. Checklist 2026 pour démarrer en conformité

Voici les 7 actions prioritaires pour un déploiement IA conforme.

  • Nommer un référent IA / désigner le DPO comme point de contact IA.
  • Tenir un registre des systèmes IA mis à jour.
  • Réaliser une DPIA pour tout système traitant des données personnelles.
  • Publier une charte IA interne (usage permis, interdit, sensibilisation).
  • Sécuriser les contrats fournisseurs (DPA, SCC, hébergement EU si possible).
  • Former les équipes à la non-saisie de données sensibles dans les LLM publics.
  • Mettre en place une revue annuelle des systèmes IA et de leurs dérives.

FAQ

Q1. Puis-je utiliser ChatGPT au travail sans risque RGPD ?

Pas sans encadrement. Un usage individuel ponctuel sans données personnelles est généralement toléré. Tout usage professionnel structuré exige a minima une charte IA, un contrat ChatGPT Enterprise (avec opt-out d'entraînement) ou un passage par Azure OpenAI EU.

Q2. Le AI Act s'applique-t-il aux PME ?

Oui, toutes les organisations sont concernées. Les obligations varient selon le niveau de risque du système IA, pas selon la taille de l'entreprise.

Q3. Une DPIA est-elle obligatoire pour tout usage de LLM ?

Non. Seuls les usages traitant des données personnelles à grande échelle, ou des données sensibles, ou prenant des décisions à effet significatif déclenchent l'obligation. Mais elle est recommandée par défaut.

Q4. Quels modèles utiliser pour rester en UE ?

Mistral (Large, Medium, Le Chat Pro), Aleph Alpha, ou GPT-4 via Azure OpenAI région EU avec contrat data residency.

Recevez les prochains articles

Un e-mail par semaine, l'essentiel de l'IA décodé pour décideurs et praticiens.

Brief IA hebdo · 12 000+ décideurs

Pas de spam · Désabonnement en 1 clic · Conforme RGPD

À lire aussi

IA générative en entreprise : ROI et déploiementComparatif LLM 2026