AI Act et RGPD en 2026 : ce que les freelances et PME doivent savoir

Le règlement européen sur l'intelligence artificielle (AI Act) est entré progressivement en application depuis août 2024. En 2026, plusieurs de ses obligations s'imposent déjà aux entreprises qui utilisent des systèmes d'IA, en plus des obligations RGPD existantes. Ce guide explique l'articulation pratique des deux textes pour les freelances et PME françaises.

Pourquoi un AI Act en plus du RGPD

Le RGPD encadre le traitement de données personnelles. L'AI Act encadre les systèmes d'IA indépendamment du traitement de données. Les deux se complètent :

• Un système d'IA qui traite des données personnelles → soumis au RGPD ET à l'AI Act
• Un système d'IA qui traite uniquement des données anonymes → soumis à l'AI Act seul (ex. : traduction automatique sans identifiants)
• Un traitement de données personnelles sans IA → soumis au RGPD seul

En 2026, la majorité des outils IA utilisés en entreprise déclenchent les deux régulations : ChatGPT pour rédiger des emails clients, Midjourney pour générer des visuels marketing, un chatbot sur votre site, un outil de scoring CV, etc.

Le calendrier d'entrée en vigueur

L'AI Act applique un calendrier progressif :

• Février 2025 : interdictions d'usages prohibés (scoring social, manipulation cognitive, reconnaissance faciale dans l'espace public sauf exceptions)
• Août 2025 : obligations pour les modèles d'IA à usage général (GPAI)
• Août 2026 : obligations pour les systèmes d'IA à haut risque
• Août 2027 : obligations pour les systèmes d'IA intégrés à des produits réglementés

En 2026, vous êtes concerné par les interdictions et les obligations GPAI. Vous devez vous préparer aux obligations haut risque.

Les 4 niveaux de risque de l'AI Act

L'AI Act classe les systèmes d'IA en 4 catégories de risque, chacune avec des obligations distinctes.

Niveau 1 : Risque inacceptable (interdit)

Systèmes interdits depuis février 2025 :

• Manipulation cognitive ou comportementale au préjudice d'une personne ou d'un groupe
• Exploitation des vulnérabilités (âge, handicap, situation socio-économique)
• Notation sociale par les pouvoirs publics
• Reconnaissance faciale en temps réel dans l'espace public (sauf exceptions très encadrées)
• Catégorisation biométrique pour déduire opinions politiques, religion, orientation sexuelle, etc.
• Reconnaissance des émotions en milieu de travail ou éducatif (sauf raisons médicales/sécurité)

Sanction : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial.

Niveau 2 : Haut risque

Systèmes utilisés dans des secteurs sensibles ou pour des décisions critiques :

• Infrastructures critiques (énergie, transport)
• Éducation et formation professionnelle (sélection, examens)
• Emploi (recrutement, évaluation, gestion RH)
• Services essentiels publics et privés (scoring crédit, assurance vie/santé)
• Forces de l'ordre, immigration, justice
• Identification biométrique à distance

Obligations à partir d'août 2026 : système de gestion des risques, qualité des données, documentation technique, transparence, supervision humaine, robustesse et cybersécurité.

Niveau 3 : Risque limité

Chatbots, deepfakes, systèmes générant du contenu synthétique. Obligation principale : transparence — informer l'utilisateur qu'il interagit avec une IA ou que le contenu est généré par IA.

Niveau 4 : Risque minimal

Filtres anti-spam, IA dans les jeux vidéo, recommandations de produits non sensibles. Aucune obligation spécifique au-delà des règles générales.

Les systèmes d'IA à usage général (GPAI)

Depuis août 2025, les modèles d'IA à usage général (ChatGPT, Claude, Gemini, Mistral, etc.) sont soumis à des obligations spécifiques pour leurs fournisseurs :

• Documentation technique détaillée
• Information sur les données d'entraînement (avec garanties pour le droit d'auteur)
• Politiques de conformité droit d'auteur de l'UE
• Évaluation des risques systémiques pour les modèles les plus puissants

Pour vous, utilisateur : ces obligations ne pèsent pas directement sur vous. Mais en 2026, en tant qu'utilisateur d'un GPAI, vous devez :

• Vérifier que le fournisseur publie sa documentation de conformité
• Informer vos utilisateurs si un GPAI alimente une fonctionnalité
• Documenter dans votre registre RGPD si des données personnelles transitent par le GPAI

Cas concrets pour freelances et PME

Cas 1 : J'utilise ChatGPT pour rédiger mes emails clients

• AI Act : risque limité. Obligation de transparence si vous publiez le contenu en l'état (mention "rédigé avec assistance IA" recommandée, pas obligatoire pour usages internes).
• RGPD : si vous fournissez des données clients à ChatGPT (nom, email, contexte), c'est un transfert vers un sous-traitant (OpenAI). Vérifiez le DPA, l'opt-out du training, et utilisez la version "Team" ou "Enterprise" qui ne réentraîne pas sur vos données.

Cas 2 : J'utilise un chatbot sur mon site

• AI Act : risque limité. Information obligatoire à l'utilisateur : "Vous interagissez avec un assistant virtuel".
• RGPD : politique de confidentialité mise à jour, base légale clarifiée (intérêt légitime ou consentement), DPA avec le fournisseur.

Cas 3 : Je trie automatiquement les CV via une IA

• AI Act : haut risque (recrutement). Obligations à partir d'août 2026 : système de gestion des risques, supervision humaine effective, documentation, audit, déclaration éventuelle.
• RGPD : décision individuelle automatisée article 22 — droit pour le candidat d'obtenir une intervention humaine, de contester la décision.

Cas 4 : Je génère des visuels marketing avec Midjourney

• AI Act : risque limité. Mention "contenu généré par IA" recommandée pour transparence.
• RGPD : pas de données personnelles si pas de personnes reconnaissables. Attention aux visages générés ressemblant à des personnes existantes.

Cas 5 : J'utilise un outil de scoring de leads

• AI Act : risque limité à haut selon le contexte (scoring crédit = haut risque).
• RGPD : profilage au sens de l'article 22, transparence dans la politique de confidentialité, droit d'opposition.

Articulation pratique RGPD + AI Act

Le registre des traitements doit intégrer l'IA

Votre registre des traitements doit désormais préciser, pour chaque traitement utilisant l'IA :

• Le système d'IA utilisé (nom, fournisseur, version)
• La finalité de l'usage
• Le niveau de risque AI Act
• Les mesures de transparence prises
• Pour les hauts risques : références à la documentation AI Act

La politique de confidentialité doit mentionner l'IA

Mettez à jour votre politique de confidentialité pour :

• Lister les fonctionnalités utilisant l'IA
• Préciser si une décision automatisée est prise (et le droit à l'intervention humaine)
• Identifier les sous-traitants IA (OpenAI, Anthropic, Google, etc.)
• Mentionner les transferts hors UE associés (voir transferts hors UE)

Une AIPD peut devenir obligatoire

L'analyse d'impact relative à la protection des données (AIPD) devient obligatoire quand le traitement présente un risque élevé. L'utilisation d'IA pour des décisions concernant des personnes (recrutement, scoring, profilage) déclenche presque systématiquement cette obligation.

L'AIPD doit désormais intégrer les obligations AI Act : nature du système, niveau de risque, mesures de supervision humaine, robustesse.

Sanctions cumulatives

Les sanctions RGPD et AI Act se cumulent. Pour un même fait :

• Violation RGPD : jusqu'à 20 millions ou 4% du CA mondial
• Violation AI Act : jusqu'à 35 millions ou 7% du CA mondial pour les usages interdits

Pour une PME, c'est théorique : la CNIL ajuste à la capacité contributive. Mais le risque cumulé reste significatif.

Préparation 2026-2027

Pour les freelances et PME, voici les actions concrètes :

Court terme (immédiat)

• [ ] Inventaire des outils IA utilisés en interne et dans vos produits
• [ ] Identification du niveau de risque AI Act pour chacun
• [ ] Mise à jour du registre RGPD avec les outils IA
• [ ] Mention de transparence sur les chatbots
• [ ] DPA et vérification du training opt-out chez les fournisseurs IA

Moyen terme (avant août 2026)

• [ ] Audit des usages à haut risque (recrutement, scoring, décisions individuelles)
• [ ] Mise en place de la supervision humaine pour les hauts risques
• [ ] AIPD pour les traitements IA sensibles
• [ ] Politique de confidentialité mise à jour

Veille continue

• [ ] Suivi des décisions CNIL sur l'IA (déjà 4 sanctions en 2025)
• [ ] Suivi des lignes directrices de l'AI Office européen
• [ ] Évolution des certifications des fournisseurs IA

Outils pour rester conforme

Plusieurs approches selon votre taille :

• Freelance/TPE : outil RGPD complet intégrant l'inventaire IA dans le registre, comme ConformeRGPD (5 à 10 euros par mois)
• PME : combinaison outil RGPD + consultant IA Act ponctuel
• Entreprise (50+ salariés) : DPO + référent IA dédié

Conclusion

L'AI Act ne remplace pas le RGPD : il s'y ajoute. En 2026, la conformité d'une entreprise utilisant des outils IA passe par les deux régulations en parallèle.

Pour la majorité des freelances et PME, l'impact pratique est limité : transparence sur les chatbots, mise à jour du registre, vérification des DPA des fournisseurs IA. Les obligations lourdes concernent les usages haut risque (recrutement automatisé, scoring critique), qui sont rares dans le tissu économique français.

La meilleure stratégie : inventorier vos outils IA dès aujourd'hui, classer leurs niveaux de risque, et adapter votre documentation RGPD existante. Vous serez prêt pour les échéances 2026-2027 sans devoir tout reconstruire dans l'urgence.