CNIL et AI Act : comment les deux régimes s'articulent

Mis à jour avril 2026 · AI Compliance · Auteur Matteo Mirabelli

L'AI Act et le RGPD sont deux régimes distincts qui s'appliquent simultanément aux systèmes IA traitant des données personnelles. La CNIL a publié en 2024-2025 plusieurs lignes directrices clarifiant l'articulation : les deux textes ne se substituent pas l'un à l'autre, ils se cumulent. Pour les entreprises françaises, cela signifie que l'analyse d'impact RGPD (DPIA), la base légale, les droits des personnes, la durée de conservation continuent de s'appliquer pleinement, en parallèle des obligations AI Act spécifiques (classification, documentation technique, contrôle humain, journaux automatiques, transparence). Cet article explique l'articulation pratique et les zones où l'un des deux régimes prime, avec des illustrations par cas d'usage. Disclaimer : informatif, pas conseil juridique.

Le principe : cumul, pas substitution

L'AI Act et le RGPD ont des objets différents. Le RGPD protège les personnes physiques contre les traitements de données personnelles ; l'AI Act protège les personnes contre les risques spécifiques de l'intelligence artificielle, qu'il y ait ou non données personnelles. Conséquence : un système IA traitant des données personnelles relève des deux régimes, et doit satisfaire les deux.

L'AI Act lui-même précise dans ses considérants et son article 2 qu'il ne préjuge pas du RGPD. La CNIL, en tant qu'autorité de contrôle française du RGPD, conserve l'intégralité de ses compétences sur les systèmes IA traitant des données personnelles.

Compétence des autorités

CNIL : RGPD, données personnelles, doctrine spécifique IA-RGPD, prospection, biométrie.

Autorité AI Act française : désignée par la France ; rôles répartis entre plusieurs autorités selon les matières (DGCCRF, autorités sectorielles, CNIL pour la composante données).

Coordination : prévue par les textes ; en pratique, les autorités collaborent sur les sujets transversaux.

Synergies opérationnelles

DPIA et évaluation des risques AI Act. La DPIA RGPD et l'évaluation des risques AI Act partagent une partie significative du contenu : description du traitement, finalité, catégories de données, mesures de mitigation. Les entreprises matures fusionnent les deux exercices en une analyse unifiée.

Information aux personnes. RGPD article 13/14 et AI Act article 50 imposent tous deux l'information ; un seul document bien rédigé peut satisfaire les deux.

Registre. Registre des activités de traitement RGPD + registre des systèmes IA AI Act = un seul outil bien structuré peut couvrir les deux.

Sous-traitants et fournisseurs. DPA RGPD + clauses AI Act = un seul cadre contractuel renforcé.

Audit. ISO 42001 organise l'ensemble. Voir ISO 42001 France.

Zones où la CNIL prime

Décision automatisée. Article 22 RGPD impose intervention humaine ; AI Act renforce mais ne remplace pas. La doctrine CNIL en RH va plus loin que l'AI Act sur certains points.

Droits des personnes. Accès, rectification, effacement, opposition, portabilité — purement RGPD.

Base légale. Critère RGPD, l'AI Act ne s'y substitue pas.

Données sensibles. Article 9 RGPD et doctrine CNIL.

Zones où l'AI Act ajoute

Classification de risque. Notion AI Act, sans équivalent RGPD direct.

Documentation technique Annexe IV. Niveau de détail technique non couvert par le RGPD.

Contrôle humain spécifique IA. AI Act précise des obligations que le RGPD article 22 ne détaille pas.

Transparence article 50. Obligation spécifique AI Act.

Marquage de contenus générés. AI Act (deepfakes notamment).

Conformité fournisseurs et chaîne de valeur. AI Act structure la responsabilité partagée fournisseur / opérateur.

Cas d'usage concrets

Recrutement IA : RGPD article 22 + doctrine CNIL HR + AI Act risque élevé Annexe III. Voir CNIL décision automatisée recrutement.

Prospection IA : RGPD intérêt légitime + doctrine CNIL prospection + AI Act risque limité (transparence). Voir cold email IA délivrabilité.

Scoring crédit : RGPD article 22 + AI Act risque élevé. Cumul strict.

Chatbot service client : RGPD si traitement données + AI Act article 50 (information).

Sanctions cumulables

RGPD : jusqu'à 4 % du CA mondial ou 20M EUR.

AI Act : jusqu'à 7 % du CA mondial ou 35M EUR (pratiques interdites), 3 % ou 15M EUR (autres infractions).

Cumul possible sur un même fait pour la composante RGPD et la composante AI Act, sous réserve de proportionnalité.

AI Act + ISO 42001 en pratique

ISO/IEC 42001 mutualise la conformité AI Act et facilite l'articulation avec RGPD. Le système de management intègre : politique, registre, évaluation des risques, contrôles, audit. Voir ISO 42001 France et conformité AI Act guide.

Knowlee porte par construction les obligations RGPD et AI Act dans un design unifié : registre, journaux, classification, contrôle humain, droits des personnes. Informatif, pas conseil juridique.

FAQ

Faut-il faire DPIA ET évaluation des risques AI Act ? Oui — mais peut être unifié dans un document.

CNIL peut-elle sanctionner sur AI Act ? Sur la composante données personnelles oui ; partage avec autres autorités sur le reste.

Article 22 RGPD plus strict que AI Act ? Sur la décision automatisée affectant les personnes, oui dans plusieurs cas.

Mistral / GPAI relèvent-ils du RGPD ? Oui dès qu'ils traitent des données personnelles.

ISO 42001 satisfait-elle le RGPD ? Pas en soi ; mais facilite la conformité conjointe.

Information unifiée AI Act + RGPD ? Oui, possible et recommandé.

Conclusion

CNIL et AI Act se cumulent. La conformité française en 2026 combine les deux régimes, avec ISO 42001 comme cadre opérationnel. Knowlee — plateforme souveraine européenne conforme by-design AI Act + ISO 42001, alignée CNIL, compatible Mistral — porte les deux régimes dans son design. Articulez votre conformité sur la bonne plateforme.