La Commission européenne vient de clarifier l’articulation entre ces deux réglementations majeures. Conséquence immédiate : votre gouvernance juridique de l’IA doit évoluer dès aujourd’hui.
⏱️ Chronologie essentielle
• 2 février 2025 : Application directe de l’article 5 de l’AI Act en Europe
• 4 février 2025 : Publication des lignes directrices sur l’articulation AI Act/RGPD
• 6 février 2025 : Précisions complémentaires sur la définition des « systèmes d’IA »
🔍 Les trois changements critiques à comprendre
📌 Double conformité obligatoire Les systèmes d’IA traitant des données personnelles doivent désormais satisfaire SIMULTANÉMENT aux exigences du RGPD et de l’AI Act. Exemple concret : un système de reconnaissance faciale utilisé pour l’identification biométrique devra respecter les interdictions de l’article 5 de l’AI Act tout en satisfaisant les exigences de licéité, finalité et minimisation du RGPD.
📌 Différences d’applicabilité territoriale Si votre entreprise est basée hors UE mais déploie des systèmes d’IA pour des utilisateurs européens, l’AI Act s’appliquera systématiquement, là où le RGPD ne s’appliquerait que si vous traitez des données personnelles d’individus situés dans l’UE.
📌 Complémentarité des interdictions Certaines pratiques non explicitement interdites par l’article 5 de l’AI Act (comme certains types d’analyse comportementale) peuvent néanmoins être illicites au regard du RGPD si elles impliquent des catégories particulières de données sans base légale appropriée.
⚖️ Champ d’application et exclusions essentielles
Les lignes directrices précisent que l’article 5 s’applique lors de la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA. Cette dernière notion doit être interprétée au sens large, couvrant tout déploiement du système à n’importe quel moment de son cycle de vie, y compris toute utilisation « particulièrement néfaste et abusive ».
⚠️ Attention à la double casquette : si vous développez votre propre système d’IA et l’utilisez ensuite, vous êtes considéré à la fois comme fournisseur ET déployeur, même si d’autres entités utilisent également votre système.
Sont exclus du champ d’application de l’AI Act :
- Les systèmes utilisés exclusivement à des fins de sécurité nationale, défense ou militaire
- Les activités de R&D (tant que le système n’est pas commercialisé)
- Les utilisations personnelles non professionnelles
- Les systèmes d’IA sous licence libre et ouverte (avec exceptions)
📋 Plan d’action pour juristes d’entreprise
Pour adapter votre gouvernance immédiatement :
- Réaliser un inventaire croisé de tous les systèmes d’IA et de leurs interactions avec des données personnelles
- Vérifier l’applicabilité des exclusions à vos systèmes
- Mettre à jour vos procédures d’AIPD pour intégrer les critères spécifiques de l’AI Act
- Revoir vos contrats avec les fournisseurs de solutions d’IA
- Former vos équipes produit à cette double compliance dès la phase de conception
💰 Risques financiers et conformité
Les sanctions pour non-conformité à l’AI Act pourront atteindre 35 millions d’euros ou 7% du chiffre d’affaires mondial, venant s’ajouter aux amendes potentielles du RGPD. Une gouvernance rigoureuse n’est plus une option.
L’AI Act sera appliqué progressivement selon les catégories de systèmes, mais la préparation doit commencer immédiatement.
🗣️ Votre tour
Votre entité a-t-elle déjà établi une matrice de conformité croisée AI Act/RGPD ? Quelles difficultés anticipez-vous dans la mise en œuvre de cette double conformité réglementaire ?
