Aller au contenu principal
CONCILIUM, Accompagnement digital
Retour au blog
RGPD10 avril 20265 min

RGPD et IA générative : ce qui a vraiment changé en 2026

Le AI Act + le RGPD redessinent les règles. On fait le point sur ce qui s'applique aujourd'hui, et sur ce qui change pour les directions juridiques.

Depuis l'entrée en application du AI Act européen, le paysage de la conformité a changé. Pour les directions juridiques, RH et tech, le défi n'est plus de comprendre le RGPD seul, c'est de l'articuler avec un nouveau corpus de règles.

Trois changements concrets

1. La transparence des modèles

Tout système IA mis sur le marché européen doit pouvoir répondre à : quelles données ont entraîné ce modèle ? Ce n'est pas une obligation pour vous (vous êtes utilisateur), mais c'est une question que vous devez poser à votre fournisseur. Nous l'intégrons systématiquement dans nos audits.

2. La classification par niveau de risque

Le AI Act classe les usages en quatre niveaux : risque inacceptable, élevé, limité, minimal. La plupart des usages business (analyse, génération, recommandation) tombent en niveau limité ou minimal, donc obligations de transparence, pas plus. Mais certains usages (RH, scoring, reconnaissance faciale) basculent en risque élevé : audits obligatoires, documentation, supervision humaine.

3. Le droit à l'explication, élargi

Le RGPD prévoyait déjà un droit à explication pour les décisions automatisées. Avec le AI Act, il s'étend : si un modèle IA a contribué à une décision (même sans la prendre seul), l'utilisateur peut demander pourquoi. Pour les RH, le commercial, le service client : repenser les processus.

Les pièges fréquents

Utiliser ChatGPT avec des données clients sans contrat DPA. Très répandu, à éviter absolument. Les versions « entreprise » des outils IA grand public ont des conditions différentes.

Croire qu'« on n'utilise pas l'IA ». Si votre CRM a sorti une mise à jour avec « scoring intelligent », c'est de l'IA. Auditez.

Sous-traiter sans clauses spécifiques. Vos prestataires utilisent peut-être de l'IA en interne sur vos données. Vos contrats doivent le couvrir.

Notre approche

CONCILIUM travaille avec Hashtag Avocats, cabinet partenaire spécialisé en droit du numérique. La combinaison juridique × technique permet de livrer une conformité qui tient en justice et en production, pas un dossier de cases cochées.

Audit type : 4 à 8 semaines selon la taille. Diagnostic préliminaire en ligne en 48 heures. Demandez le diagnostic.

Thomas Kolbé
Écrit par
Thomas Kolbé
Président
Sur le même sujet

Articles connexes

RGPD et AI Act en 2026 : ce que votre organisation doit mettre en conformité cette année
RGPD
6 min

RGPD et AI Act en 2026 : ce que votre organisation doit mettre en conformité cette année

Lire l'article
Les normes d’accessibilité numérique obligatoires pour les sites internet dès juin 2025
RGPD
5 min

Les normes d’accessibilité numérique obligatoires pour les sites internet dès juin 2025

Lire l'article
Gérer et améliorer l’e-réputation des chefs d’entreprise
RGPD
5 min

Gérer et améliorer l’e-réputation des chefs d’entreprise

Lire l'article

Cet article vous parle ?

Si vous reconnaissez votre situation, parlons-en. Premier diagnostic offert, rapidement.

Démarrer la conversationS'abonner à la newsletter