RGPD et AI Act en 2026 : ce que votre organisation doit mettre en conformité cette année

Pendant des années, la conformité numérique se résumait pour beaucoup d’organisations à une question : sommes-nous en règle avec le RGPD ? En 2026, cette question reste nécessaire, mais elle n’est plus suffisante. L’AI Act européen entre progressivement en application, la directive NIS2 rehausse les exigences de cybersécurité, et la CNIL précise sa doctrine sur l’usage de l’intelligence artificielle. Trois chantiers qui se croisent, et qu’il faut traiter ensemble plutôt qu’en silos.

Le RGPD reste le socle, et il a vieilli dans vos pratiques

La plupart des organisations ont mené leur mise en conformité RGPD entre 2018 et 2020 : registre des traitements, mentions d’information, bandeau cookies, désignation d’un DPO le cas échéant. Le problème n’est pas ce qui a été fait, mais ce qui a dérivé depuis.

Les outils ont changé, les prestataires aussi, les équipes se sont renouvelées. Un registre des traitements qui n’a pas été revu depuis trois ans ne décrit plus la réalité de vos données personnelles. Les points à réexaminer en priorité :

• le registre des traitements, confronté aux outils réellement utilisés aujourd’hui ;
• les durées de conservation, souvent définies puis jamais appliquées ;
• les sous-traitants et leurs garanties, notamment pour les outils intégrant de l’IA ;
• les formulaires et parcours de consentement, qui évoluent au fil des refontes de site ;
• la procédure de gestion des violations de données, qui doit être testée et non simplement écrite.

L’AI Act change la nature de l’exercice

L’AI Act est entré en vigueur en 2024 et s’applique par paliers : les pratiques interdites d’abord, puis les obligations sur les modèles d’IA à usage général, et désormais l’essentiel des exigences pour les systèmes dits à haut risque. Les sanctions prévues sont du même ordre de grandeur que celles du RGPD, et peuvent les dépasser pour les pratiques interdites.

Pour une organisation qui n’édite pas de logiciel, l’enjeu n’est pas de devenir spécialiste du règlement. Il est de répondre à trois questions simples :

1. Quels outils d’IA utilisons-nous réellement ? Y compris ceux que les équipes ont adoptés sans validation, souvent gratuits, parfois alimentés avec des données clients.
2. Dans quelle catégorie de risque tombent nos usages ? La majorité des usages d’entreprise relèvent du risque limité ou minimal, mais certains cas (recrutement, scoring, éducation) appellent une vigilance particulière.
3. Qui décide et qui documente ? L’AI Act, comme le RGPD, valorise la capacité à démontrer ce que vous faites. Une gouvernance claire vaut mieux qu’une pile de chartes non appliquées.

NIS2 : la sécurité devient une obligation de direction

La directive NIS2 élargit considérablement le nombre d’organisations soumises à des obligations de cybersécurité, notamment parmi les entités essentielles et importantes et leurs fournisseurs. Même si votre structure n’est pas directement concernée, vos clients ou donneurs d’ordre peuvent l’être, et leurs exigences contractuelles ruissellent déjà dans les appels d’offres.

Concrètement, cela signifie des attentes plus fortes sur l’hébergement, les sauvegardes, la gestion des accès et la capacité à notifier un incident. Des sujets que nous traitons dans notre offre hébergement et maintenance.

Par où commencer, dans quel ordre

Notre recommandation pour un programme 2026 réaliste :

1. Un audit croisé RGPD et IA : un seul exercice, deux lectures. On cartographie les données et les outils, on identifie les écarts.
2. La mise à jour du registre et des mentions, avec les usages d’IA documentés.
3. Une charte d’usage de l’IA courte et applicable, validée par la direction, plutôt qu’un document de cinquante pages que personne ne lira.
4. La sensibilisation des équipes, car la plupart des incidents naissent d’un usage de bonne foi mais mal encadré.

La conformité n’est pas un projet que l’on termine, c’est un état que l’on entretient. Bien menée, elle devient un argument commercial : institutions, grands comptes et fondations choisissent de plus en plus leurs prestataires sur ces critères.

Pour faire le point sur votre situation, notre équipe RGPD et conformité réalise des audits adaptés à la taille de votre structure. Parlons-en.