La transparence
Les deux réglementations exigent d'informer les personnes. Le RGPD demande d'expliquer comment vous utilisez leurs données. L'AI Act demande de signaler quand une IA prend ou aide à prendre des décisions.
RGPD + AI Act
Deux réglementations, un seul objectif : protéger les personnes.
Le RGPD protège les données. L'AI Act encadre les systèmes d'IA. Et les deux se recoupent sur beaucoup de points. Bonne nouvelle : si vous êtes déjà sérieux sur le RGPD, vous avez une longueur d'avance pour l'AI Act.
RGPD vs AI Act : les différences en un coup d'oeil
Les deux réglementations ne couvrent pas les mêmes choses, mais elles se complètent. Voici ce qui change.
| Critère | RGPD | AI Act |
|---|---|---|
| Quoi ? | Protection des données personnelles | Encadrement des systèmes d'IA |
| Depuis quand ? | Mai 2018 | Progressif 2025-2027 |
| Qui contrôle ? | CNIL | Autorités nationales (en cours) |
| Sanctions max | 4 % du CA ou 20 M€ | 6 % du CA ou 35 M€ |
| Focus | Les données | Les systèmes qui utilisent les données |
Là où les deux se recoupent
Le RGPD et l'AI Act partagent trois grandes exigences. Si vous faites bien l'un, l'autre est beaucoup plus facile.
La documentation
Le RGPD demande un registre des traitements. L'AI Act demande une documentation technique de vos systèmes. Dans les deux cas, il faut écrire ce que vous faites et comment vous le faites.
L'évaluation des risques
Côté RGPD, c'est l'Analyse d'Impact (AIPD). Côté AI Act, c'est la classification par niveau de risque. Le principe est le même : identifier les risques avant qu'ils ne posent problème.
En résumé : transparence, documentation, évaluation des risques. Trois piliers communs aux deux réglementations. Une PME bien organisée sur le RGPD a déjà fait la moitié du chemin pour l'AI Act.
Les erreurs les plus courantes en PME
On les voit chez presque tous nos clients. Ce n'est pas grave, mais il vaut mieux les corriger maintenant.
"On utilise ChatGPT mais on n'a rien documenté"
Beaucoup d'équipes utilisent des outils IA au quotidien sans que la direction le sache. Pas de registre, pas de cadre, pas de contrôle sur les données qui y passent.
"On a un registre RGPD mais il n'est pas à jour"
Le registre a été créé en 2018, puis oublié. Les nouveaux outils, les nouveaux traitements et les nouveaux sous-traitants n'y figurent pas.
"On ne sait pas quels systèmes IA on utilise vraiment"
Le chatbot du site, le scoring commercial, le tri automatique des emails, l'outil de recrutement... beaucoup de PME utilisent de l'IA sans le réaliser.
"On pense que ça ne nous concerne pas parce qu'on est une PME"
L'AI Act ne prévoit pas d'exemption pour les petites structures. Si vous utilisez ou déployez un système d'IA, les obligations s'appliquent, quelle que soit votre taille.
Le plan d'action en 5 étapes
Pas besoin de tout faire en même temps. Avancez étape par étape, en commençant par le plus simple.
1
Lister tous vos systèmes IA
Même les "petits" : chatbot, scoring, tri des emails, suggestion automatique, outil de recrutement. Si ça prend une décision ou une recommandation, c'est de l'IA.
2
Vérifier votre registre RGPD
Est-il complet et à jour ? Tous vos traitements y figurent-ils ? Vos bases légales sont-elles correctes ? C'est la fondation de votre conformité.
3
Classifier vos systèmes IA selon l'AI Act
Quatre niveaux : risque minimal, limité, haut risque, interdit. La plupart des PME ont des systèmes à risque minimal ou limité, mais il faut le vérifier.
4
Identifier les gaps
Qu'est-ce qui manque côté documentation ? Côté transparence ? Côté contrôle humain ? C'est là que l'audit apporte le plus de valeur.
5
Prioriser les actions
Quick wins d'abord (mettre à jour le registre, informer les utilisateurs), puis projets structurants (AIPD, documentation technique, gouvernance IA).
Comment Kirohq vous aide à couvrir les deux
L'Audit Complet Kirohq couvre le RGPD et l'AI Act en une seule mission. Pas besoin de deux prestataires ou de deux projets séparés.
M3
Matrice conformité RGPD
Registre des traitements, bases légales, transferts de données, analyses d'impact (AIPD). Tout ce que la CNIL peut vous demander.
M4
Matrice classification AI Act
Vos systèmes IA classés selon les 4 niveaux de risque, avec les obligations associées à chaque niveau.
PA
Plan d'action unifié
Un seul calendrier avec les priorités RGPD et AI Act combinées. Quick wins, projets à planifier, et échéances claires.
Ressources utiles
Pour aller plus loin, en toute autonomie.
CNIL : IA et données personnelles
Le site officiel de la CNIL avec ses recommandations sur l'intelligence artificielle et la protection des données.
Consulter le site de la CNILTexte officiel de l'AI Act
Le règlement européen sur l'intelligence artificielle dans sa version officielle publiée au Journal officiel de l'UE.
Lire le texte officielGuide IA et RGPD pour les PME
Notre guide pratique pour comprendre comment le RGPD s'applique quand vous utilisez des outils d'intelligence artificielle.
Lire le guideSécurité et conformité Kirohq
Comment nous protégeons vos données et celles de vos clients. Notre approche sécurité et conformité en détail.
Voir notre politique sécuritéQuestions fréquentes
Est-ce que le RGPD suffit si on utilise de l'IA ?
Non. Le RGPD protège les données personnelles, mais l'AI Act encadre les systèmes d'IA eux-mêmes. Si votre PME utilise de l'IA qui traite des données personnelles, vous devez respecter les deux.
L'AI Act s'applique-t-il déjà aux PME en 2026 ?
Oui, l'entrée en vigueur est progressive. Certaines obligations s'appliquent dès 2025 (les interdictions), d'autres arrivent en 2026 et 2027. Mieux vaut s'y préparer maintenant plutôt que d'être pris de court.
Peut-on faire un seul audit pour couvrir RGPD et AI Act ?
Oui. L'Audit Complet Kirohq couvre les deux en une seule mission. Les matrices M3 (RGPD) et M4 (AI Act) sont conçues pour fonctionner ensemble et vous donner un plan d'action unifié.
Quelles sont les sanctions si on ne fait rien ?
Côté RGPD, jusqu'à 4 % du chiffre d'affaires ou 20 millions d'euros. Côté AI Act, jusqu'à 6 % du chiffre d'affaires ou 35 millions d'euros. Les deux peuvent se cumuler.
Besoin d'aller plus loin ? Consultez notre guide AI Act pour les PME ou découvrez combien coûte un audit IA.
RGPD et AI Act : on vous aide à y voir clair.
Dites-nous quels outils IA vous utilisez. On vous dira où vous en êtes côté conformité et ce qu'il faut faire en priorité.