Conformité RGPD et AI Act pour les Agents IA en 2026

Le 2 août 2026, le plafond des sanctions pour le déploiement d'un agent IA sans documentation adéquate passe de 20 millions d'euros à 55 millions d'euros. Ce n'est pas une erreur. Les dispositions relatives aux systèmes à haut risque de l'AI Act de l'UE s'ajoutent désormais aux amendes RGPD existantes, créant un double régime d'application où un seul agent IA traitant des données personnelles peut déclencher des violations au titre des deux cadres réglementaires simultanément.

La plupart des entreprises déployant des agents IA en Europe ne sont pas prêtes. Ce guide couvre précisément ce que vous devez faire avant l'échéance : les évaluations requises, la documentation à préparer, les sanctions encourues et une feuille de route de conformité sur 90 jours.

Ce que l'AI Act de l'UE signifie pour les agents IA en entreprise

L'AI Act de l'UE est entré en vigueur en août 2024, avec des dispositions prenant effet par phases. L'échéance la plus critique pour les entreprises est le 2 août 2026, date à laquelle les exigences relatives aux systèmes IA à haut risque de l'Annexe III deviennent pleinement applicables.

Quels agents IA sont à haut risque ?

Tous les agents IA ne relèvent pas de la catégorie à haut risque. L'AI Act classe les systèmes IA en fonction de leur contexte d'utilisation, et non de la technologie elle-même. Votre agent IA est probablement à haut risque s'il opère dans l'un de ces domaines :

• Emploi et RH : tri de CV, évaluation de candidats, décisions de promotion, suivi de la performance des employés
• Services financiers : scoring de crédit, souscription d'assurance, détection de fraude avec décisions automatisées
• Santé : triage des patients, aide au diagnostic, recommandations de traitement
• Éducation : évaluation des étudiants, décisions d'admission, recommandations de parcours d'apprentissage
• Forces de l'ordre et migration : contrôle aux frontières, prédiction de criminalité (secteur public)

Les chatbots de service client et les agents d'automatisation marketing ne sont généralement pas classés comme à haut risque, sauf s'ils prennent des décisions conséquentes concernant des individus.

Le chevauchement avec le RGPD

C'est ici que cela se complique. Les agents IA qui traitent des données personnelles déclenchent généralement plusieurs critères de haut risque simultanément : profilage, prise de décision automatisée, utilisation de technologies innovantes et traitement à grande échelle. Cela signifie que vous avez des obligations de conformité au titre à la fois du RGPD et de l'AI Act.

La bonne nouvelle : l'UE a conçu ces cadres pour fonctionner ensemble. Une FRIA (Fundamental Rights Impact Assessment) au titre de l'AI Act peut compléter votre AIPD (Analyse d'Impact relative à la Protection des Données) existante au titre du RGPD, plutôt que de la remplacer.

AIPD et FRIA : les deux évaluations à réaliser

Avant de déployer tout agent IA à haut risque après le 2 août 2026, vous devez réaliser deux évaluations formelles :

1. Analyse d'Impact relative à la Protection des Données (AIPD) — Article 35 du RGPD

L'AIPD est requise par le RGPD depuis 2018, mais de nombreuses entreprises n'en ont pas réalisé spécifiquement pour leurs agents IA. L'évaluation doit couvrir :

• Description systématique des opérations de traitement et de leurs finalités
• Évaluation de la nécessité et de la proportionnalité — pourquoi l'IA est nécessaire par rapport à des méthodes plus simples
• Risques pour les personnes — quels préjudices pourraient résulter d'erreurs, de biais ou de violations de données
• Mesures d'atténuation — garanties techniques et organisationnelles en place

Pour les agents IA, portez une attention particulière à la prise de décision automatisée (Article 22), à la minimisation des données (collectez-vous plus de données que nécessaire ?) et au droit à un examen humain des décisions automatisées.

2. Fundamental Rights Impact Assessment (FRIA) — Article 27 de l'AI Act

La FRIA est nouvelle et cible spécifiquement les systèmes IA. Elle va au-delà de la protection des données pour évaluer les impacts sur les droits fondamentaux, notamment :

• Non-discrimination et égalité
• Liberté d'expression
• Droit à un recours effectif
• Droits de l'enfant (si le système affecte des mineurs)
• Protection des consommateurs

Approche pratique : réalisez d'abord votre AIPD, puis élargissez-la pour couvrir les dimensions plus larges des droits fondamentaux requises par la FRIA. Cette approche unifiée est explicitement soutenue par l'AI Act et évite les doublons.

Calendrier de réalisation

Si vous prévoyez un déploiement avant le 2 août 2026, l'exigence de conservation des données de 6 mois implique que vous auriez dû commencer à collecter les preuves de conformité en février 2026 au plus tard. Si vous n'avez pas encore commencé, faites-le immédiatement — une AIPD approfondie combinée à une FRIA prend 8 à 12 semaines pour un système d'agent IA complexe.

Checklist de conformité pré-déploiement

D'ici le 2 août 2026, les éléments suivants doivent être complétés pour chaque système IA à haut risque :

Documentation technique (Annexe IV)

• Description du système incluant la finalité prévue, les capacités et les limitations
• Documentation du processus de gestion des risques montrant les risques identifiés et les mesures d'atténuation
• Documentation de gouvernance des données couvrant les données d'entraînement, de validation et de test
• Méthodologie de conception et de développement incluant l'architecture du modèle et l'approche d'entraînement
• Métriques de performance incluant la précision, la robustesse et les mesures de cybersécurité
• Mécanismes de supervision humaine et instructions d'utilisation

Évaluation de conformité

• Auto-évaluation ou évaluation par un tiers selon la catégorie du système
• Déclaration UE de conformité signée par un représentant autorisé
• Marquage CE apposé sur le système ou sa documentation
• Enregistrement dans la base de données IA de l'UE (pour les systèmes à haut risque accessibles au public)

Obligations continues

• Système de surveillance post-commercialisation en place
• Procédure de signalement des incidents graves
• Système de journalisation conservant les enregistrements pendant au moins 6 mois
• Audits réguliers de précision et de biais

Besoin d'aide pour préparer votre documentation de conformité ? Notre équipe cybersécurité et conformité IA peut réaliser les évaluations AIPD et FRIA pour vos déploiements d'agents IA. Découvrez nos services de cybersécurité ou contactez-nous.

Sanctions : que se passe-t-il en cas de non-conformité

L'AI Act de l'UE introduit une structure de sanctions par paliers qui s'ajoutent aux amendes RGPD :

Violation	Amende maximale
Pratiques IA interdites (notation sociale, manipulation)	35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial
Non-conformité haut risque (documentation manquante, pas de FRIA)	15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial
Fourniture d'informations incorrectes aux autorités	7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial
Combinée avec une violation RGPD	Jusqu'à 55 millions d'euros (sanctions cumulées)

Cumul des sanctions expliqué

Un seul agent IA traitant des données personnelles sans documentation adéquate peut déclencher :

1. Amende RGPD pour AIPD manquante : jusqu'à 20 millions d'euros (Article 83)
2. Amende AI Act pour FRIA et évaluation de conformité manquantes : jusqu'à 15 millions d'euros
3. Amende AI Act pour documentation technique manquante : jusqu'à 15 millions d'euros

Ces amendes ne sont pas des alternatives — elles peuvent être appliquées de manière cumulative pour le même système. Les autorités nationales de contrôle sont désormais opérationnelles, la Finlande étant le premier État membre à être pleinement actif depuis janvier 2026.

Considérations pour les PME

L'AI Act prévoit un certain allègement pour les PME : les amendes sont calculées sur le montant le plus faible entre le montant absolu et le pourcentage du chiffre d'affaires, selon ce qui est le plus proportionné. Cependant, les obligations de conformité restent les mêmes quelle que soit la taille de l'entreprise.

Questions à poser à votre fournisseur d'agents IA

Si vous utilisez des plateformes d'agents IA tierces, la conformité est une responsabilité partagée. Avant de signer ou renouveler des contrats entreprise, vérifiez ces points :

Traitement des données

• Où les données sont-elles traitées et stockées ? Des options exclusivement européennes sont-elles disponibles ?
• Qui sont les sous-traitants du fournisseur et où sont-ils situés ?
• Pouvez-vous appliquer le droit à l'effacement sur toutes les interactions et données d'entraînement de l'agent ?
• Le fournisseur propose-t-il un accord de traitement des données conforme au RGPD ?

Préparation à l'AI Act

• Le fournisseur a-t-il réalisé ou commencé l'évaluation de conformité de son système ?
• La documentation technique est-elle disponible au titre de l'Annexe IV ?
• La plateforme fournit-elle des pistes d'audit pour toutes les décisions prises par l'IA ?
• Le fournisseur a-t-il préparé la documentation de marquage CE pour les déploiements à haut risque ?
• Quelles mesures de transparence existent pour les personnes interagissant avec l'agent IA ?

Signaux d'alerte

Soyez prudent si un fournisseur ne peut pas répondre clairement à ces questions, affirme que son système n'est « pas à haut risque » sans une analyse de classification documentée, ou s'appuie entièrement sur la « conformité contractuelle » sans démontrer de mesures techniques.

Feuille de route de conformité sur 90 jours

Pour les entreprises qui doivent atteindre la conformité avant le 2 août 2026 :

Semaines 1-2 : inventaire et classification

• Cataloguer tous les agents IA de votre organisation (y compris l'IA non autorisée)
• Classer chaque système selon les catégories de risque de l'AI Act
• Identifier les systèmes qui traitent des données personnelles (déclenchant les obligations doubles RGPD + AI Act)
• Désigner des responsables de conformité pour chaque système à haut risque

Semaines 3-6 : phase d'évaluation

• Réaliser une AIPD pour chaque agent IA à haut risque traitant des données personnelles
• Étendre chaque AIPD en FRIA couvrant les dimensions des droits fondamentaux
• Documenter les mesures d'atténuation des risques pour les risques identifiés
• Faire intervenir un conseil juridique pour examiner la qualité des évaluations

Semaines 7-10 : documentation et mesures techniques

• Préparer la documentation technique Annexe IV pour chaque système à haut risque
• Mettre en place les systèmes de journalisation et de surveillance requis
• Établir les procédures de supervision humaine
• Créer les workflows de signalement des incidents

Semaines 11-12 : conformité et enregistrement

• Compléter les procédures d'évaluation de conformité
• Préparer la déclaration UE de conformité
• Enregistrer les systèmes dans la base de données IA de l'UE (le cas échéant)
• Réaliser un examen final avec les équipes juridiques et de conformité

Après le lancement

• Planifier des audits trimestriels de biais et de précision
• Suivre les mises à jour des orientations réglementaires des autorités nationales
• Maintenir la documentation à jour après toute modification significative du système
• Former les équipes aux procédures de signalement des incidents

État actuel de l'application en Europe

L'application n'est plus théorique. Les autorités nationales compétentes s'activent tout au long du premier semestre 2026 :

• Finlande : premier État membre avec une application pleinement opérationnelle (janvier 2026)
• France : la CNIL pilote l'application de l'AI Act parallèlement à la protection des données
• Allemagne : coordination de l'application au niveau fédéral et des Länder
• Espagne : l'AEPD intègre l'application de l'AI Act au cadre RGPD existant
• Italie : le Garante per la protezione dei dati développe des orientations spécifiques à l'IA

Les entreprises opérant dans plusieurs États membres de l'UE doivent se préparer à des actions d'application de la part de toute autorité nationale, pas uniquement de leur pays d'établissement.

Conclusion

L'échéance du 2 août 2026 est dans moins de quatre mois. Le double fardeau de conformité RGPD et AI Act de l'UE est bien réel, les sanctions sont substantielles (jusqu'à 55 millions d'euros pour un seul système) et les autorités de contrôle sont opérationnelles. Les entreprises qui agissent maintenant — en réalisant les évaluations, en préparant la documentation et en établissant un suivi continu — éviteront non seulement les sanctions mais renforceront la confiance de leurs clients et partenaires dans un paysage IA de plus en plus réglementé.

Les actions clés sont claires :

• Classifiez vos agents IA selon le cadre de risque de l'AI Act immédiatement
• Commencez les évaluations AIPD et FRIA maintenant si ce n'est pas déjà fait
• Vérifiez que vos contrats fournisseurs incluent des dispositions de conformité à l'AI Act
• Mettez en place la journalisation, la surveillance et le signalement des incidents avant l'échéance

Besoin d'un accompagnement en conformité pour vos déploiements d'agents IA ? Contactez notre équipe pour une évaluation de préparation RGPD et AI Act. Nous aidons les entreprises à naviguer dans le double cadre de conformité avec des conseils pratiques et orientés échéances.