Skip to content
ServicesSolutionsBlogRessourcesÀ proposContact
ENFRIT
Parlons-en
Retour au blog
GDPRRèglement sur l'IAconformitépmeeurope

GDPR et Règlement sur l'IA : checklist de conformité pour les PME européennes

par Karven10 min de lecture
Disponible aussi en: English, Italiano
GDPR et Règlement sur l'IA : checklist de conformité pour les PME européennes

Les entreprises européennes naviguent dans le GDPR depuis 2018. La plupart ont mis en place un processus : un DPO, des politiques internes, parfois une formation annuelle. Ce que beaucoup n'ont pas encore fait, c'est revisiter ces fondations à la lumière de l'IA. Le Règlement sur l'IA modifie considérablement la donne, et 2026 est l'année où la pression réglementaire devient concrète. Si vous êtes directeur des opérations ou dirigeant d'une entreprise de 50 à 500 salariés qui déploie des outils d'IA — ou simplement qui les évalue — cet article constitue un référentiel de travail pour ce que vous devez vérifier.

1. Pourquoi 2026 est l'année décisive

Le Règlement sur l'IA est entré en vigueur le 1er août 2024, mais ses obligations s'appliquent de manière progressive. Le premier volet — les interdictions portant sur les systèmes d'IA à risque inacceptable — est devenu exécutoire le 2 février 2025. Les sanctions pour ces violations sont déjà en vigueur : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Si votre entreprise utilise l'IA pour la notation sociale, l'identification biométrique en temps réel dans des espaces publics, ou des techniques de manipulation subliminale, vous êtes déjà dans le champ d'application.

La prochaine échéance majeure est le 2 août 2026, date à laquelle l'ensemble du cadre de conformité pour les systèmes d'IA à haut risque entre en application. Cela couvre un large éventail d'applications courantes dans les PME : le recrutement assisté par IA, l'évaluation des performances des employés, la notation de crédit et d'assurance, et l'accès aux services essentiels. Les entreprises qui n'auront pas achevé leur mise en conformité d'ici là s'exposent à des actions de la part des autorités nationales compétentes nouvellement désignées, que les États membres devaient nommer avant août 2025.

Parallèlement au Règlement, l'application du GDPR en matière de traitement lié à l'IA s'est accélérée. En septembre 2024, l'autorité néerlandaise de protection des données a infligé une amende de 30,5 millions d'euros à Clearview AI pour traitement de données biométriques sans base légale. La CNIL avait imposé une amende de 20 millions d'euros à la même société deux ans auparavant. En décembre 2024, le Comité européen de la protection des données (CEPD) a publié l'avis 28/2024, précisant que les modèles d'IA entraînés sur des données à caractère personnel doivent, dans la plupart des cas, être considérés comme soumis au GDPR. Cette prise de position a des implications directes pour toute entreprise utilisant ou développant des systèmes d'IA qui traitent des données relatives à ses employés, clients ou prospects.

La convergence de ces deux régimes — une posture de plus en plus affirmée en matière d'application du GDPR et une nouvelle réglementation spécifique à l'IA dotée de véritables pouvoirs coercitifs — fait de 2026 l'année où les PME doivent passer de la sensibilisation à l'action.

2. Deux cadres réglementaires, un seul défi

Il est utile de clarifier ce que couvre chaque loi, car elles sont souvent confondues.

Le GDPR régit le traitement des données à caractère personnel. Il s'applique dès que votre système d'IA traite des données relatives à des personnes identifiées ou identifiables. Cela concerne la grande majorité des cas d'usage opérationnels de l'IA : l'analyse client, la planification des effectifs, les chatbots qui conservent l'historique des conversations, la détection de fraude, l'analyse des sentiments dans les retours clients. Le GDPR exige une base légale pour le traitement, la transparence envers les personnes concernées, la limitation des finalités et des mesures de sécurité appropriées. Lorsque l'IA est impliquée, des obligations spécifiques s'ajoutent : la prise de décision automatisée (article 22) et les analyses d'impact relatives à la protection des données (article 35).

Le Règlement sur l'IA régit les systèmes d'IA selon leur niveau de risque, indépendamment de la présence ou non de données à caractère personnel. Sa préoccupation principale est le préjudice potentiel qu'un système d'IA peut causer aux personnes, aux droits fondamentaux et à la sécurité. Il impose des exigences aux fournisseurs (ceux qui développent ou mettent sur le marché des systèmes d'IA) et aux déployeurs (ceux qui utilisent des systèmes d'IA dans un contexte professionnel). Si votre entreprise achète un outil d'IA et le déploie en interne — pour les RH, la finance ou le service client — vous êtes déployeur et vous avez des obligations.

Le chevauchement est considérable. La plupart des déploiements d'IA dans les PME impliquent des données à caractère personnel et présentent au moins un certain niveau de risque au regard du Règlement. Un outil de présélection de candidats, par exemple, est à haut risque au titre du Règlement (Annex III, catégorie emploi) et traite des données sensibles au sens du GDPR. On ne peut pas traiter l'une sans l'autre.

Le guide de la CNIL de 2025 sur la conformité IA et GDPR, qui s'appuie sur l'avis 28/2024 du CEPD, précise clairement que lors du déploiement d'une IA traitant des données à caractère personnel, les entreprises doivent réaliser une DPIA, définir une base légale avant l'entraînement ou le déploiement, et intégrer la minimisation des données dès la conception. Ces obligations ne sont pas nouvelles, mais l'IA amplifie les conséquences d'une mauvaise application.

3. Les niveaux de risque du Règlement : un guide en langage clair

Le Règlement classe les systèmes d'IA en quatre niveaux de risque. Identifier le niveau applicable à votre cas d'usage est la première étape concrète de tout projet de conformité.

Risque inacceptable : interdit. Ce sont les applications d'IA que l'UE a purement et simplement interdites, car leur préjudice potentiel est jugé incompatible avec les droits fondamentaux. Elles comprennent les systèmes qui manipulent les individus de manière subliminale, qui exploitent des vulnérabilités liées à l'âge ou au handicap, qui procèdent à une identification biométrique à distance en temps réel dans des espaces publics (avec d'étroites exceptions) et la notation sociale par les autorités publiques. Pour la plupart des PME, aucun de ces cas ne se présente, mais il vaut la peine de vérifier que vos outils d'IA n'intègrent aucune de ces fonctionnalités dans leur offre globale.

Haut risque : obligations de conformité complètes. C'est là que se concentre l'essentiel du Règlement, et là où les PME sont le plus susceptibles d'être concernées. Les systèmes à haut risque comprennent l'IA utilisée dans :

  • Le recrutement et les RH : outils de présélection de CV, systèmes de classement de candidats, suivi des performances, recommandations de promotion
  • Le crédit et l'assurance : évaluations de solvabilité, notation des risques, souscription d'assurances
  • L'éducation : évaluation des examens, appréciation des étudiants, prédiction du décrochage scolaire
  • L'accès aux services essentiels : vérification d'éligibilité aux prestations, services publics

Si votre entreprise utilise un outil d'IA à l'une de ces fins, les exigences complètes du Règlement s'appliquent à compter du 2 août 2026 : évaluations de conformité, documentation technique, mécanismes de surveillance humaine, journalisation et inscription dans la base de données européenne.

Risque limité : obligations de transparence uniquement. Les systèmes d'IA qui interagissent avec des humains — chatbots, contenus générés par IA, outils de deepfake — doivent indiquer qu'ils sont des IA. Il s'agit essentiellement d'une exigence de transparence. Si vous avez déployé un chatbot orienté client, vous devez vous assurer qu'il s'identifie comme une IA.

Risque minimal : aucune obligation spécifique. La grande majorité des outils d'IA relèvent de cette catégorie : filtres anti-spam, moteurs de recommandation, automatisation de base. Aucune démarche de conformité au Règlement n'est requise, bien que le GDPR reste applicable si des données à caractère personnel sont traitées.

4. Checklist d'audit pratique

Parcourez chaque point de manière méthodique. Tous ne s'appliqueront pas à votre entreprise, mais chacun mérite une évaluation consciente plutôt qu'une mise à l'écart par défaut.

  1. Listez tous les systèmes d'IA utilisés. Incluez les outils tiers intégrés dans les logiciels que vous utilisez déjà — fonctionnalités d'IA dans votre CRM, votre plateforme RH, votre outil de messagerie ou votre stack d'analyse. On ne peut gérer que ce que l'on voit. Cette étape d'inventaire prend généralement deux à quatre jours avec les bonnes parties prenantes.
  2. Classifiez chaque système selon le niveau de risque du Règlement. Pour chaque outil de votre liste, demandez-vous : figure-t-il dans l'Annex III du Règlement ? Les catégories sont : emploi, crédit, éducation, services essentiels, biométrie, infrastructures critiques, forces de l'ordre, migration et justice. Si c'est le cas, traitez-le comme à haut risque jusqu'à preuve du contraire.
  3. Confirmez votre rôle : fournisseur ou déployeur ? La plupart des PME sont des déployeurs, c'est-à-dire qu'elles utilisent des outils d'IA développés par d'autres. Vos obligations en tant que déployeur diffèrent de celles d'un fournisseur, mais pour les systèmes à haut risque, elles restent substantielles. Clarifiez cette distinction avant de commencer à rédiger des politiques.
  4. Vérifiez l'existence d'une base légale au titre du GDPR pour chaque activité de traitement par IA. L'intérêt légitime requiert un test de mise en balance. Le consentement doit être spécifique, éclairé et révocable. "C'est prévu dans le contrat" n'est pas toujours suffisant. Si la base légale est incertaine, traitez-la comme une lacune.
  5. Mettez à jour votre Registre des Activités de Traitement. Votre RoPA doit refléter les traitements spécifiques à l'IA : catégories de données concernées, durées de conservation, sous-traitants, et existence de décisions automatisées. La plupart des RoPA rédigés avant 2024 ne capturent pas ces éléments de manière adéquate.
  6. Réalisez une DPIA pour les traitements sensibles ou à haut risque. Tout traitement par IA susceptible d'engendrer un risque élevé pour les personnes requiert une analyse d'impact relative à la protection des données. Pour les systèmes d'IA à haut risque au titre du Règlement, une DPIA est en pratique obligatoire quelle que soit l'échelle.
  7. Auditez vos contrats fournisseurs. Pour chaque fournisseur d'IA traitant des données à caractère personnel pour votre compte, confirmez l'existence d'un DPA et examinez la chaîne des sous-traitants. Pour les systèmes à haut risque, demandez la documentation technique et les preuves d'évaluation de conformité. Si un fournisseur ne peut pas les fournir, il est lui-même hors conformité en tant que fournisseur, ce qui constitue un risque pour vous en tant que déployeur.
  8. Vérifiez les obligations de transparence envers les employés. Si l'IA est utilisée dans des décisions qui affectent les employés — évaluation des performances, planification, surveillance — vos avis de confidentialité au titre des articles 13 et 14 doivent le mentionner. Plusieurs juridictions européennes exigent également une consultation du comité d'entreprise avant l'introduction d'outils d'IA affectant les conditions de travail.
  9. Confirmez la capacité de surveillance humaine. Pour chaque système d'IA à haut risque, vérifiez qu'une personne dans votre organisation est en mesure de suspendre, de remplacer ou d'arrêter les sorties du système. Si le fournisseur ne propose pas cette fonctionnalité, c'est une lacune de conformité.
  10. Documentez vos décisions de classification. Si vous avez déterminé qu'un système n'est pas à haut risque, consignez les raisons par écrit. Les régulateurs examineront attentivement ce raisonnement en cas d'action coercitive. Une note d'une page avec l'analyse vaut infiniment mieux que rien.

5. Calendrier de mise en oeuvre : travailler à rebours du 2 août 2026

Cinq mois, c'est peu si vous partez de zéro. Voici à quoi ressemble un calendrier réaliste, établi à rebours de l'échéance.

D'ici à avril 2026 : Complétez l'inventaire des IA et la classification des risques. Menez la diligence raisonnable sur les fournisseurs pour tout système touchant aux catégories de l'Annex III. Identifiez les lacunes dans votre documentation GDPR : RoPA obsolètes, DPA manquants, avis de confidentialité antérieurs à vos déploiements d'IA. Commandez les DPIA requises. Cette phase est un travail fondamental. Tout le reste en dépend.

Mai 2026 : Pour les systèmes à haut risque, commencez à mettre en place ou à confirmer les mécanismes de surveillance humaine. Travaillez avec les fournisseurs pour obtenir ou vérifier les preuves d'évaluation de conformité et la documentation technique. Si un fournisseur ne peut pas fournir ce que le Règlement exige de lui, vous disposez d'environ 90 jours pour trouver une alternative ou documenter un plan de remédiation.

Juin 2026 : Formez le personnel responsable de l'exploitation des systèmes d'IA à haut risque. L'article 4 du Règlement exige que les déployeurs prennent des mesures raisonnables pour assurer la culture de l'IA. Documentez qui a reçu une formation, sur quels systèmes et à quelle date. C'est cette documentation que vous présenterez aux régulateurs si nécessaire.

Juillet 2026 : Finalisez votre registre IA, le document central recensant tous les systèmes d'IA en usage, leur classification, vos responsabilités en tant que déployeur et votre statut de conformité. Confirmez que la journalisation est activée sur les systèmes à haut risque. Vérifiez que les inscriptions requises dans la base de données européenne sont en cours auprès de vos fournisseurs.

2 août 2026 : Les obligations de conformité complètes pour les systèmes d'IA à haut risque sont exécutoires. Les entreprises disposant de programmes de conformité documentés et proportionnés se trouvent dans une position fondamentalement différente de celles qui n'ont rien fait. La perfection n'est pas requise. Ce qui compte, c'est la preuve d'un effort sincère.

6. Comment Karven vous accompagne

Karven accompagne les PME européennes sur la stratégie et la mise en oeuvre de l'IA. Concrètement, cela signifie vous aider à réaliser l'inventaire des IA et la classification des risques, identifier quels déploiements actuels ou planifiés requièrent réellement une action, et construire les pratiques documentaires qui rendent une conversation avec un régulateur gérable. Cela inclut également l'évaluation des fournisseurs avant la signature — en posant les bonnes questions sur les évaluations de conformité, les DPA et les capacités de journalisation, plutôt que de découvrir les lacunes six mois après le déploiement.

Contactez-nous sur karven.ai/contact si vous souhaitez un second regard sur votre situation ou de l'aide pour cadrer le projet avant que le temps ne manque.

Les entreprises qui vivront le mieux l'échéance d'août 2026 ne sont pas celles qui disposent des plus gros budgets juridiques. Ce sont celles qui ont commencé l'inventaire en mars.

Sources citées

  • Règlement sur l'IA — Texte officiel : Règlement (UE) 2024/1689, publié au Journal officiel de l'Union européenne, 12 juillet 2024
  • Calendrier de mise en oeuvre du Règlement : artificialintelligenceact.eu/implementation-timeline/ (Future of Life Institute)
  • Annex III du Règlement (Systèmes à haut risque) : artificialintelligenceact.eu/annex/3/
  • Avis 28/2024 du CEPD sur les aspects de protection des données des modèles d'IA : edpb.europa.eu, 18 décembre 2024
  • Guide de la CNIL sur l'IA et le GDPR : cnil.fr/en/ai-cnil-finalises-its-recommendations-development-artificial-intelligence-systems (2025)
  • Amende de l'autorité néerlandaise de protection des données contre Clearview AI : 30,5 millions d'euros, septembre 2024
  • Amende de la CNIL contre Clearview AI : 20 millions d'euros, 2022
  • Structure des sanctions du Règlement : articles 99 à 101, Règlement (UE) 2024/1689

Articles associés

Comment choisir un agent IA pour son entreprise (sans perdre six mois)
agents-iaimplementationcadre-decisionpmeeurope

Comment choisir un agent IA pour son entreprise (sans perdre six mois)

La plupart des entreprises choisissent le mauvais agent IA, puis passent des mois à tout reconstruire. Le cadre que les PME européennes utilisent pour choisir un agent qui fonctionne vraiment.

6 min de lecture
Échéance août 2026 du Règlement sur l'IA : ce que les PME doivent faire maintenant
Règlement sur l'IAéchéance conformitéaoût 2026pmeréglementation

Échéance août 2026 du Règlement sur l'IA : ce que les PME doivent faire maintenant

L'échéance du 2 août 2026 du Règlement sur l'IA pour les systèmes à haut risque approche. Voici ce que les entreprises de taille intermédiaire doivent préparer.

6 min de lecture

Prêt à passer à l'action ?

Décrivez votre situation et nous vous dirons honnêtement ce que l'IA peut faire pour vous.

Nous contacter