L'AI Act remplace-t-il le RGPD ?

Non. Les deux règlements se cumulent. Le RGPD couvre toute donnée personnelle, l'AI Act couvre tous les systèmes d'IA même sans données personnelles. Une même solution peut être soumise aux deux.

Le DPO devient-il référent IA ?

Pas automatiquement. Le DPO peut endosser cette fonction si le périmètre et les compétences le permettent, mais c'est un rôle distinct, plus large que la donnée personnelle. Beaucoup de PME séparent les deux fonctions.

Comment éviter de dédoubler les procédures ?

Construisez une gouvernance commune qui couvre les deux textes : registre unique des traitements et des systèmes IA, AIPD étendue aux risques IA, procédures d'incident communes, formation intégrée.

Une AIPD suffit-elle pour un système IA ?

Non. L'AIPD couvre les risques pour les personnes au sens RGPD. L'AI Act exige en plus une analyse de conformité spécifique aux exigences du règlement (transparence, supervision humaine, robustesse).

Qui contrôle l'application en France ?

En France, la CNIL est positionnée comme autorité de coordination pour l'AI Act, en lien avec d'autres autorités sectorielles. Le dispositif définitif est en cours de structuration.

RGPD × AI Act : comment articuler les deux règlements

La plupart des dirigeants de PME pensent encore que l'AI Act est une évolution du RGPD. C'est inexact. Les deux textes européens partagent une philosophie — la protection des droits fondamentaux — et une architecture — gradation par niveau de risque, sanctions dissuasives, autorités de contrôle nationales. Mais leur objet est différent et leurs obligations se cumulent. Quand vous déployez ChatGPT pour votre équipe RH, vous êtes à la fois responsable d'un traitement de données personnelles (RGPD) et déployeur d'un système d'IA (AI Act). Les deux casquettes en même temps.

Ce que chaque règlement protège réellement

Le RGPD protège les données à caractère personnel. Son champ est déclenché dès qu'une donnée identifie, directement ou indirectement, une personne physique. L'AI Act, lui, protège contre les risques liés aux systèmes d'IA eux-mêmes : opacité, biais, manipulation, erreurs à conséquences graves, atteintes à la santé ou aux droits fondamentaux. Un système d'IA peut donc être concerné par l'AI Act sans manipuler la moindre donnée personnelle — par exemple un outil de détection de défauts sur une ligne de production. À l'inverse, un traitement RGPD « classique » (un fichier client sur Excel) n'est pas concerné par l'AI Act.

Les points de recouvrement

Dans la pratique d'une PME, les deux textes se superposent dans au moins cinq cas très fréquents.

IA générative avec données internes — ChatGPT, Copilot, Claude utilisés sur des documents contenant des noms, des adresses, des e-mails.
Tri automatisé de CV — traitement RGPD de données de candidats + système IA haut risque.
Support client automatisé — données clients + décision automatisée + transparence AI Act.
Outils de scoring crédit, assurance, RH — profilage RGPD + IA haut risque.
Reconnaissance biométrique au travail — interdite par l'AI Act dans la plupart des cas, encadrée par le RGPD dans les autres.

AIPD et analyse d'impact AI Act : faut-il en faire deux ?

Non, mais il faut faire les deux dans un seul document. L'analyse d'impact relative à la protection des données (AIPD) exigée par l'article 35 du RGPD et l'analyse de conformité imposée par l'AI Act pour les systèmes à haut risque peuvent être fusionnées dans un document unique, à condition d'intégrer les deux angles : risques pour les personnes concernées (RGPD) et risques liés au fonctionnement du système lui-même (AI Act). La CNIL a confirmé cette approche dans plusieurs prises de parole en 2025.

Bonne pratique

Une seule procédure, deux grilles de lecture.

Chez Wavoo, nous construisons une procédure unique d'analyse d'impact, avec deux volets : un volet RGPD calé sur la méthode CNIL, un volet AI Act calé sur l'annexe III du règlement. Cela évite aux équipes de remplir deux fois les mêmes champs.

DPO et référent IA : une seule personne ou deux ?

Dans les PME, le DPO assume très souvent le rôle de référent IA. C'est cohérent : les deux missions partagent la logique de conformité, la veille réglementaire, et l'interface avec les autorités. Mais ce n'est pas toujours idéal : un DPO déjà saturé par le RGPD risque de sous-traiter mentalement le volet IA. Dans ce cas, un binôme DPO + référent métier, ou le recours à un référent IA externalisé, permet de garder les deux niveaux d'exigence.

Le rôle de la CNIL

La CNIL est l'autorité de contrôle française pour le RGPD. Pour l'AI Act, les autorités compétentes sont en cours de désignation et la CNIL a vocation à jouer un rôle central, au moins sur les systèmes qui traitent des données personnelles. Concrètement, pour une PME, cela signifie qu'un contrôle AI Act ressemblera beaucoup à un contrôle RGPD, avec potentiellement le même interlocuteur. Raison de plus pour unifier les dossiers plutôt que de les séparer.

Les obligations qui se dédoublent vraiment

Certaines obligations doivent exister des deux côtés et ne peuvent pas être fusionnées.

Registre des traitements (RGPD) et registre des systèmes IA (AI Act) — deux documents distincts, mais qui peuvent être liés par des renvois.
Information des personnes concernées (RGPD) et transparence sur l'usage d'IA (AI Act) — à combiner dans les mêmes mentions légales et parcours client.
Formation RGPD et littératie IA — la première ne remplace pas la seconde, mais elles peuvent être intégrées dans un même plan de formation.
Procédure d'incident — un seul processus interne, deux canaux de notification (CNIL pour les violations de données, autorité AI Act pour les incidents graves liés au système).

Ce qu'une PME doit faire concrètement

Auditer l'existant RGPD avant d'ajouter une couche AI Act — beaucoup de PME croient être conformes RGPD et ne le sont qu'à moitié.
Cartographier les usages IA en partant du registre des traitements RGPD existant — c'est plus rapide et cela crée le lien d'entrée de jeu.
Unifier la documentation : une politique IA qui renvoie à la politique RGPD, des mentions légales qui traitent les deux, une procédure d'incident unique.
Former en une fois : les collaborateurs doivent sortir de leur session avec les bons réflexes sur les deux plans.

Le bon réflexe est de partir du RGPD, qui est déjà familier, et d'élargir la cartographie au périmètre IA. Les PME qui font l'inverse ont tendance à oublier la couche données personnelles et se retrouvent exposées deux fois.