CNIL IA RGPD vs EU AI Act : quelles différences en 2026 ?

Depuis l'entrée en vigueur progressive du Règlement européen sur l'intelligence artificielle (EU AI Act) en 2025-2026, les acteurs du numérique et les services publics français sont confrontés à un double cadre normatif : d'un côté le RGPD (Règlement général sur la protection des données), pilier historique de la protection des données personnelles, et de l'autre l'EU AI Act, premier texte global encadrant les systèmes d'IA. La CNIL, autorité de contrôle française, se trouve au cœur de cette articulation complexe. En 2026, les différences entre ces deux textes deviennent cruciales pour les déploiements d'IA à haut risque, les modèles génératifs et les traitements de données sensibles.

Cet article, rédigé par un avocat expert en droit du numérique, analyse en profondeur les divergences, les points de convergence et les zones de friction entre la CNIL IA RGPD vs EU AI Act. Nous examinerons les obligations concrètes, les contrôles, les sanctions et les recommandations pratiques pour les entreprises et les administrations. En 2026, la question n'est plus de savoir quel texte appliquer, mais comment les articuler pour éviter les doubles sanctions et les risques juridiques.

Que vous soyez DPO, juriste, chef de projet IA ou responsable conformité, cette analyse vous fournira les clés pour naviguer entre les exigences de la CNIL (au titre du RGPD) et celles de l'EU AI Act. Les différences sont notables, notamment sur la notion de risque, la documentation technique, les droits des personnes et les pouvoirs de sanction. Plongeons au cœur de cette comparaison réglementaire de 2026.

1. Champ d'application : données personnelles vs système d'IA

La première différence fondamentale entre la CNIL IA RGPD vs EU AI Act réside dans leur objet. Le RGPD (règlement 2016/679) s'applique au traitement de données à caractère personnel, quel que soit le moyen technique utilisé. L'EU AI Act (règlement 2024/1689) s'applique aux systèmes d'IA tels que définis à l'article 3(1) : un logiciel développé avec des techniques d'apprentissage automatique, de logique ou de statistiques, capable de générer des résultats tels que des prédictions, recommandations ou décisions.

En 2026, un même outil d'IA peut donc être soumis aux deux textes simultanément : le RGPD encadre l'utilisation des données personnelles qui alimentent ou sont produites par l'IA, tandis que l'AI Act encadre la conception, le déploiement et la surveillance du système lui-même. La CNIL rappelle dans ses lignes directrices de 2025 (mises à jour en 2026) que les deux régimes se cumulent, sans qu'aucun ne prime sur l'autre.

« En pratique, un système de recrutement basé sur l'IA traite des CV (données personnelles) et prend des décisions automatisées. Il relève à la fois du RGPD (articles 22 et 35) et de l'AI Act (classification haut risque, article 6). L'ignorer expose à des sanctions cumulées. » — Maître Delphine Roussel, avocate au Barreau de Paris, spécialiste droit du numérique.

2. Analyse de risque : AIPD (RGPD) vs classification AI Act

Le RGPD impose une analyse d'impact relative à la protection des données (AIPD) pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés (article 35). L'EU AI Act, quant à lui, classe les systèmes d'IA en quatre catégories : risque inacceptable (interdit), haut risque (soumis à évaluation de conformité), risque limité (obligations de transparence) et risque minimal (libre). La différence majeure est que l'AIPD est centrée sur les données, tandis que la classification AI Act l'est sur le système et son usage.

En 2026, la CNIL a publié une grille d'analyse croisée (disponible sur IAOfficiel.fr) qui permet de déterminer quand une AIPD est nécessaire et comment elle peut être intégrée dans le dossier technique de l'AI Act. Par exemple, un système de notation sociale (crédit, assurance) sera haut risque au sens de l'AI Act (article 6, annexe III) et nécessitera obligatoirement une AIPD RGPD. En revanche, un chatbot simple sans profilage peut être en risque minimal AI Act mais nécessiter une AIPD si les conversations contiennent des données sensibles.

« La classification AI Act est plus large et plus prescriptive que l'AIPD. Un système peut être classé "haut risque" même s'il ne traite pas de données personnelles (ex : IA de sécurité industrielle). À l'inverse, une AIPD peut être exigée pour un système à risque limité AI Act si les données traitées sont sensibles. Les deux analyses sont complémentaires mais pas interchangeables. » — Maître Julien Lefèvre, avocat en droit des technologies.

3. Obligations documentaires et transparence

Le RGPD impose la tenue d'un registre des activités de traitement (article 30) et la fourniture d'une information claire aux personnes (articles 13-14). L'EU AI Act va beaucoup plus loin en exigeant une documentation technique détaillée (article 11 et annexe IV) : description de l'architecture, des données d'entraînement, des métriques de performance, des biais potentiels, et des mesures de surveillance humaine. En 2026, les fournisseurs de systèmes d'IA à haut risque doivent également fournir une notice d'utilisation et un rapport de transparence pour les modèles génératifs (article 50).

4. Droits des personnes : opposabilité et explicabilité

Le RGPD confère aux personnes des droits étendus : droit d'accès, de rectification, d'effacement, à la limitation, à la portabilité, et surtout le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (article 22). L'EU AI Act, quant à lui, introduit une obligation d'explicabilité pour les systèmes à haut risque (article 13) : le déploiement doit permettre aux personnes concernées de comprendre les facteurs et la logique de la décision. En 2026, la CNIL a précisé que l'explicabilité de l'AI Act ne se substitue pas au droit à l'information du RGPD, mais le complète.

Une différence notable : l'article 22 du RGPD permet à un État membre d'adopter des exceptions (par exemple pour l'exécution d'un contrat), tandis que l'AI Act interdit purement et simplement certains usages (notation sociale, identification biométrique en temps réel dans les espaces publics). La CNIL IA RGPD vs EU AI Act se manifeste ici par un niveau de protection plus élevé côté AI Act pour les droits fondamentaux, mais un régime plus procédural côté RGPD.

« En 2026, un citoyen peut contester une décision d'IA à la fois sur le fondement du RGPD (absence d'intervention humaine) et de l'AI Act (défaut d'explicabilité). Les tribunaux français commencent à cumuler les deux fondements. La CNIL a également reçu des plaintes pour non-respect du droit à l'effacement dans des systèmes d'IA générative qui ne permettent pas d'oublier un visage ou une voix. » — Maître Antoine Durand, avocat en contentieux numérique.

5. IA générative et modèles de fondation en 2026

L'essor des IA génératives (ChatGPT, Midjourney, Llama, Mistral) a poussé l'UE à inclure dans l'AI Act des dispositions spécifiques pour les modèles de fondation (article 51) et les systèmes d'IA générative (article 50). En 2026, ces modèles doivent respecter des obligations de transparence renforcées : publier un résumé des données d'entraînement, respecter le droit d'auteur (directive 2019/790) et mettre en place des garanties contre les contenus illicites. La CNIL, de son côté, applique le RGPD aux données personnelles utilisées pour l'entraînement ou générées par ces modèles.

La différence clé entre CNIL IA RGPD vs EU AI Act sur ce point est que l'AI Act impose des obligations ex ante (avant la mise sur le marché) tandis que le RGPD s'applique tout au long du cycle de vie des données. En 2026, la CNIL a déjà exigé que les fournisseurs de modèles de fondation démontrent la licéité de l'entraînement sur des données personnelles (consentement, intérêt légitime, etc.), sous peine de suspension du service en France.

« Les modèles de fondation sont le champ de bataille juridique de 2026. L'AI Act exige une documentation technique massive, mais la CNIL va plus loin en exigeant la démonstration de la licéité de chaque source de données personnelles. Plusieurs plaintes sont en cours contre des fournisseurs pour utilisation de données biométriques sans consentement. » — Maître Clara Benoit, avocate spécialiste IA et propriété intellectuelle.

6. Contrôle, sanctions et articulation CNIL / autorités AI Act

Le RGPD confie à la CNIL (et aux autres autorités de contrôle nationales) le pouvoir de sanctionner les manquements jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. L'EU AI Act met en place une architecture à deux niveaux : les autorités notifiées (organismes d'évaluation de la conformité) pour les systèmes à haut risque, et les autorités de surveillance du marché (désignées par chaque État membre) pour les contrôles post-commercialisation. En France, la CNIL a été désignée comme autorité de surveillance du marché pour l'IA (loi du 12 mars 2026).

En 2026, la CNIL IA RGPD vs EU AI Act se concrétise par un cumul possible de sanctions : une même violation (ex : défaut de transparence d'un système d'IA traitant des données personnelles) peut donner lieu à une amende RGPD et à une amende AI Act. Les montants maximums sont proches, mais les critères de fixation diffèrent. La CNIL a publié en janvier 2026 une grille de cumul des sanctions qui précise les règles de proportionnalité.

« Le risque de double sanction est réel. En 2026, nous avons déjà vu une entreprise condamnée à 2,5 millions d'euros au titre du RGPD pour défaut d'information, et 1,8 million au titre de l'AI Act pour documentation technique insuffisante. Les montants sont cumulés. La seule défense possible est de démontrer une conformité proactive aux deux textes. » — Maître Philippe Moreau, avocat en droit des affaires et conformité.

7. Articulation pratique : guide de conformité double

Face à la complexité de la CNIL IA RGPD vs EU AI Act, les entreprises doivent adopter une approche intégrée. Voici les étapes clés recommandées par IAOfficiel.fr et les experts du cabinet LexIA :

1. Cartographie des systèmes d'IA : inventorier tous les systèmes d'IA utilisés ou développés, avec leur finalité, les données traitées et leur classification AI Act (auto-évaluation ou via organisme notifié).
2. Analyse d'impact unique : réaliser une AIPD renforcée qui intègre les exigences de l'AI Act (évaluation des biais, robustesse, surveillance humaine). Utiliser le modèle de la CNIL (disponible sur IAOfficiel.fr).
3. Documentation intégrée : créer un dossier technique unique qui répond à l'article 30 RGPD et à l'article 11 AI Act. Inclure les métadonnées de traçabilité.
4. Transparence unifiée : rédiger une notice d'information combinant les mentions RGPD (identité du responsable, finalités, droits) et les mentions AI Act (nature du système, explicabilité, surveillance humaine).
5. Gouvernance des données : s'assurer que les données d'entraînement respectent le RGPD (licéité, minimisation, exactitude) et l'AI Act (qualité, représentativité, absence de biais discriminatoires).
6. Audit et tests : prévoir des tests réguliers de conformité (biais, robustesse, sécurité) et documenter les résultats. La CNIL peut demander ces rapports lors de ses contrôles.
7. Veille juridique : suivre les évolutions de la jurisprudence (CJUE, Conseil d'État, CNIL) et les lignes directrices de la Commission européenne. Le site IAOfficiel.fr propose une newsletter mensuelle gratuite.

« L'articulation pratique est un défi organisationnel autant que juridique. En 2026, les entreprises les plus matures ont créé un poste de "Responsable Conformité IA" qui chapeaute les équipes RGPD, sécurité et éthique. La clé est de ne pas traiter les deux régimes en silos. » — Maître Isabelle Marchal, avocate counsel, cabinet DPO Partners.