Juillet 2025, 2 textes. 2 logiques, 2 visions de la protection des données, mais un même défi : encadrer des systèmes complexes, à haut risque, dans une Europe qui se veut souveraine face à la tech globale.
D’un côté : la CNIL serre la vis après une année noire pour la cybersécurité.
De l’autre : la Commission européenne dévoile la version finale de son Code de bonnes pratiques pour les GPAI (modèles d’IA à usage général), attendue dans le sillage de l’AI Act.
🔐 CNIL : sécurisation renforcée des bases de données (RGPD)
Les nouvelles recommandations de la CNIL, publiées en juillet 2025, font suite aux constats alarmants de 2024 :
➡️ 80 % des violations de données impliquaient des accès non sécurisés.
➡️ 50 % des fuites provenaient de bases contenant plus d’un million de personnes.
La CNIL, en s’appuyant sur l’article 32 du RGPD, impose désormais :
- Authentification multifacteur obligatoire pour tout accès distant aux bases de données importantes (avec recommandation de clés physiques conformes aux normes ANSSI)
- Journalisation renforcée : conservation des logs pendant 6 à 12 mois, avec supervision proactive des flux sortants
- Encadrement contractuel strict des sous-traitants (art. 28 RGPD), incluant audits réguliers et clauses de notification immédiate en cas de faille
👉 Une doctrine claire : la prévention des risques passe par la robustesse technique et contractuelle.
Des contrôles accrus sont annoncés dès 2026.
⚙️ GPAI Code : régulation préventive pour les IA à large spectre
Le code de bonnes pratiques GPAI, publié le 5 juillet 2025, vise à préparer les acteurs industriels à l’entrée en vigueur de l’AI Act.
Il s’adresse aux développeurs, fournisseurs et intégrateurs de modèles d’IA dits “généralistes”, notamment ceux utilisés dans des systèmes à impact systémique (grands modèles de langage, assistants vocaux, plateformes IA intégrées…).
Ce cadre, bien que volontaire, prévoit :
- Une gouvernance des risques tout au long du cycle de vie du modèle
- Des évaluations documentées sur la sécurité, la transparence, les biais et l’impact environnemental
- Des mesures d’atténuation avant toute mise sur le marché
- Des engagements éthiques sur la propriété intellectuelle et les usages détournés
📊 Comparatif : convergence ou dissonance réglementaire ?
Points communs :
✔️ Évaluation continue des risques
✔️ Exigence de traçabilité et de documentation technique
✔️ Responsabilisation des différents maillons de la chaîne de traitement
Différences clés :
⏱️ Temporalité : la CNIL agit en réaction à des violations effectives ; le code GPAI structure une logique ex ante
🎯 Périmètre : le RGPD encadre toutes les données à caractère personnel ; le GPAI se concentre sur les IA à large spectre, indépendamment du type de données
⚖️ Force juridique : la CNIL dispose de pouvoirs coercitifs ; le code GPAI reste volontaire (jusqu’au 2 août 2026)
Lacunes constatées :
❌ Le RGPD ne traite pas les logiques algorithmiques de l’IA générative
❌ Le code GPAI ne couvre pas précisément le traitement des données à caractère personnel
❌ Aucun des deux textes n’aborde de manière systémique les problématiques de souveraineté des infrastructures sous-jacentes (cloud, GPU, accès aux modèles)
🔍 Conclusion : deux outils, un même objectif. Mais à des vitesses différentes.
Le RGPD évolue sous l’impulsion des autorités nationales, avec des contraintes croissantes.
L’AI Act s’appuie encore sur l’auto-régulation, dans une logique d’équilibre économique et technique.
Mais la convergence est en marche. Et la pression réglementaire va s’intensifier sur les modèles puissants.
