RGPD + AI Act : ce que ces deux règlements protègent vraiment face à l'IA en 2026
Depuis août 2024, l'AI Act européen complète le RGPD pour encadrer les systèmes d'intelligence artificielle, en imposant des règles sur leur conception et leurs biais, là où le RGPD ne couvrait que le traitement des données. En 2026, les citoyens français disposent de droits renforcés face aux décisions automatisées, notamment en matière de crédit, de recrutement et de santé.
Le RGPD seul ne suffit plus à protéger les citoyens face aux systèmes d'IA. Depuis l'entrée en vigueur de l'AI Act européen en août 2024, puis son application progressive tout au long de 2025 et 2026, un nouveau cadre juridique hybride s'est imposé. Le règlement général sur la protection des données, adopté en 2018, n'avait pas été conçu pour répondre aux défis du profilage prédictif, des biais algorithmiques ou des décisions entièrement automatisées à fort impact social. Ces lacunes sont aujourd'hui documentées, débattues — et partiellement comblées.
Cet article vous explique concrètement ce que le RGPD protège (et ce qu'il ne protège pas), ce que l'AI Act apporte en complément, et quels droits nouveaux vous pouvez faire valoir en tant que citoyen français en 2026 face aux traitements automatisés qui vous concernent — que ce soit pour un crédit refusé par un algorithme, un recrutement automatisé ou une décision médicale assistée par IA.
Contexte juridique
Le RGPD et l'AI Act forment désormais un binôme réglementaire complémentaire, mais encore imparfaitement articulé en pratique.
Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018 (Règlement UE 2016/679), a constitué une avancée majeure pour la protection des données personnelles en Europe. Il pose des principes fondamentaux : licéité du traitement, minimisation des données, droit d'accès, droit à l'oubli, droit à la portabilité. Son article 22 est particulièrement pertinent dans le contexte de l'IA : il interdit les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques significatifs ou affectant substantiellement une personne, sauf exceptions limitées.
Mais le RGPD a été conçu bien avant l'émergence des grands modèles de langage, du deep learning généralisé et des systèmes de scoring prédictif à grande échelle. Ses lacunes sont structurelles :
- Il ne réglemente pas la conception des algorithmes, seulement le traitement des données qui les alimentent.
- Il ne traite pas directement les biais algorithmiques comme violation en soi.
- Il laisse des zones grises sur l'explicabilité des décisions issues de modèles d'IA complexes (boîtes noires).
L'AI Act (Règlement UE 2024/1689), entré en vigueur en août 2024, tente de combler ces angles morts. Il adopte une approche par les risques, classant les systèmes d'IA en quatre catégories : risque inacceptable (interdits), risque élevé (strictement encadrés), risque limité (obligations de transparence) et risque minimal (non réglementés). En France, la CNIL et l'Autorité de contrôle nationale se partagent les responsabilités de supervision, ce qui crée encore en 2026 quelques incertitudes sur les compétences respectives.
Analyse approfondie
RGPD et AI Act coexistent, mais leurs périmètres ne se recouvrent pas totalement, laissant des zones de protection inégale.
Ce que le RGPD ne couvre toujours pas
L'article 22 du RGPD offre une protection contre les décisions entièrement automatisées, mais cette protection est plus étroite qu'il n'y paraît. La jurisprudence européenne a confirmé (CJUE, arrêt Schufa Holding, C-634/21, 7 décembre 2023) que le scoring de crédit peut constituer une décision automatisée au sens de l'article 22 — une avancée notable. Mais le texte ne s'applique pas aux décisions partiellement automatisées, où un humain valide formellement sans exercer de contrôle réel : le fameux problème du « rubber stamping ».
Par ailleurs, le RGPD n'impose pas d'obligation d'audit algorithmique préalable. Un employeur peut déployer un outil de recrutement par IA sans que ses biais internes — surreprésentation de certains profils, discrimination indirecte — soient formellement contrôlés. La CNIL a sanctionné plusieurs entreprises sur le fondement du RGPD pour des traitements liés à l'IA (notamment dans le secteur RH), mais les bases légales disponibles restent parfois insuffisantes pour viser directement le biais algorithmique.
Ce que l'AI Act apporte concrètement
L'AI Act introduit des obligations inédites pour les systèmes d'IA à haut risque — définis à son Annexe III — parmi lesquels figurent notamment :
- Les systèmes d'IA utilisés dans le recrutement et la gestion RH (sélection de CV, évaluation de performance)
- Les systèmes de scoring de crédit ou d'évaluation de solvabilité
- Les systèmes d'IA dans les décisions d'éducation et de formation
- Les systèmes utilisés pour l'accès aux prestations sociales et services essentiels
Pour ces systèmes, les obligations incluent : une évaluation de conformité avant mise sur le marché, une documentation technique exhaustive, des mécanismes de surveillance humaine, des tests de robustesse et de non-discrimination, et l'inscription dans une base de données européenne accessible au public.
Tableau comparatif RGPD vs AI Act
| Critère | RGPD | AI Act |
|---|---|---|
| Objet principal | Données personnelles | Systèmes d'IA |
| Décision automatisée | Art. 22 (effets juridiques) | Surveillance humaine obligatoire |
| Biais algorithmique | Non traité directement | Obligation de test |
| Transparence | Droit à l'information | Explicabilité requise |
| Sanction max. | 4% CA mondial | 35M€ ou 7% CA mondial |
| Autorité en France | CNIL | CNIL + autorité sectorielle |
Les zones encore grises en 2026
Malgré ce cadre renforcé, plusieurs questions restent ouvertes. Premièrement, l'articulation pratique entre les deux règlements demeure floue pour les opérateurs : quand une violation de l'AI Act constitue-t-elle automatiquement une violation du RGPD, et vice-versa ? Les lignes directrices communes du Comité européen de la protection des données (CEPD) publiées en mars 2025 apportent des clarifications partielles, mais ne tranchent pas tous les cas de figure.
Deuxièmement, les modèles d'IA à usage général (GPAI), comme les grands modèles de langage, font l'objet d'obligations spécifiques dans l'AI Act (Chapitre V, articles 51 à 56), mais la question de leur responsabilité en cas de traitement de données personnelles à la marge reste disputée.
Troisièmement, le droit à l'explicabilité — pouvoir comprendre pourquoi un algorithme a pris une décision — n'est pas formellement consacré comme droit subjectif individuel dans l'AI Act. Il s'agit davantage d'une obligation pesant sur le fournisseur que d'un droit directement invocable par la personne concernée.
Implications pratiques
En 2026, les droits des personnes face à l'IA se sont renforcés, mais leur effectivité dépend encore largement de la capacité à identifier le bon recours.
Pour les particuliers
Si vous êtes confronté à une décision automatisée défavorable — refus de crédit, rejet d'une candidature par IA, modulation de tarif d'assurance — vous disposez de plusieurs leviers :
- Le droit à l'information (art. 13-14 RGPD) : le responsable du traitement doit vous informer de l'existence d'une prise de décision automatisée et vous fournir des informations utiles sur la logique sous-jacente.
- Le droit d'opposition (art. 21 RGPD) : vous pouvez vous opposer au traitement de vos données à des fins de profilage.
- Le droit à l'intervention humaine (art. 22 RGPD) : pour les décisions entièrement automatisées à effets significatifs, vous pouvez exiger qu'un être humain réexamine la décision.
- La saisine de la CNIL : en cas de manquement constaté, vous pouvez déposer une plainte directement sur le site de la CNIL. En 2025, la CNIL a reçu plus de 16 000 plaintes, dont une proportion croissante concerne des systèmes d'IA.
Pour les employeurs et organisations
Le risque de non-conformité est réel et coûteux. Sous l'AI Act, les systèmes d'IA à haut risque déployés sans évaluation de conformité exposent à des sanctions allant jusqu'à 30 millions d'euros ou 6% du chiffre d'affaires mondial. La CNIL a par ailleurs annoncé en janvier 2026 un programme de contrôles ciblés sur les outils RH utilisant l'IA.
Deux perspectives s'affrontent dans le débat actuel :
- Les partisans d'un cadre renforcé estiment que l'AI Act reste insuffisant, notamment parce qu'il ne crée pas de droit individuel à contester les biais. Ils plaident pour un droit au recours algorithmique formalisé.
- Les entreprises et startups du secteur IA alertent sur la lourdeur des obligations de conformité, susceptibles de freiner l'innovation européenne face à la concurrence américaine et asiatique, moins contrainte.
Points clés à retenir
- Le RGPD protège les données personnelles, mais ne réglemente pas la conception des algorithmes ni les biais algorithmiques en tant que tels.
- L'AI Act, applicable progressivement depuis 2024, classe les systèmes d'IA par niveau de risque et impose des obligations strictes aux systèmes à haut risque (recrutement, crédit, prestations sociales).
- L'article 22 du RGPD protège contre les décisions entièrement automatisées, mais pas contre celles où un humain valide formellement sans contrôle réel.
- Les sanctions de l'AI Act (jusqu'à 35 M€ ou 7% du CA mondial) dépassent celles du RGPD pour les violations les plus graves.
- La CNIL est l'autorité de référence en France pour les deux règlements, mais son articulation avec les autorités sectorielles reste à clarifier.
- Le droit à l'explicabilité algorithmique n'est pas encore un droit subjectif individuel directement invocable : c'est une obligation du fournisseur d'IA, pas un droit de la personne.
- En cas de décision automatisée défavorable, vous pouvez demander une intervention humaine (art. 22 RGPD) et saisir la CNIL — deux leviers souvent méconnus.
Questions fréquentes
Le RGPD protège-t-il contre les décisions prises par une IA ?
Oui, partiellement. L'article 22 du RGPD interdit les décisions entièrement automatisées ayant des effets juridiques ou vous affectant significativement, sauf consentement explicite ou nécessité contractuelle. Mais cette protection ne s'applique pas aux décisions partiellement automatisées, où un humain intervient formellement.
Qu'est-ce que l'AI Act change concrètement pour un citoyen français ?
L'AI Act impose aux entreprises qui déploient des IA à haut risque (recrutement, crédit, accès aux services publics) des obligations de transparence, de documentation et de surveillance humaine. Indirectement, cela renforce vos droits : les systèmes doivent être testés contre les biais et documentés, ce qui facilite les recours en cas de litige.
Puis-je contester un refus de crédit décidé par un algorithme ?
Oui. Depuis l'arrêt Schufa de la CJUE (C-634/21, 7 décembre 2023), le scoring automatisé de crédit peut être qualifié de décision au sens de l'article 22 du RGPD. Vous pouvez demander à l'organisme d'expliquer la logique de la décision et exiger un réexamen humain. En cas de refus, saisissez la CNIL.
Un employeur peut-il utiliser une IA pour trier des CV sans violer le RGPD ?
Il le peut, sous conditions. L'employeur doit informer les candidats de l'utilisation d'un outil d'IA, disposer d'une base légale valide et respecter le principe de non-discrimination. Sous l'AI Act, les systèmes de recrutement automatisés sont classés à haut risque et doivent faire l'objet d'une évaluation de conformité. Si vous pensez avoir été victime d'une discrimination algorithmique lors d'un recrutement, vous pouvez faire valoir vos droits — pour évaluer votre situation personnelle, un diagnostic gratuit peut vous aider à identifier les recours adaptés.
Quelle est la différence entre le RGPD et l'AI Act en matière de sanctions ?
Le RGPD prévoit des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel pour les violations les plus graves. L'AI Act prévoit des sanctions encore plus élevées pour certaines infractions : jusqu'à 35 millions d'euros ou 7% du CA mondial pour l'utilisation d'un système d'IA interdit, et jusqu'à 15 millions d'euros ou 3% pour d'autres manquements.
Ai-je le droit de savoir comment une IA m'a évalué ?
En partie. Le RGPD vous donne droit à des « informations utiles sur la logique sous-jacente » d'une décision automatisée (art. 22, §3), mais pas à une explication complète de l'algorithme. L'AI Act impose aux fournisseurs de systèmes à haut risque de fournir de la documentation sur leur fonctionnement, mais ce droit s'exerce surtout via le déployeur (l'entreprise qui utilise l'IA) et non directement auprès du fournisseur.
La CNIL est-elle compétente pour les infractions à l'AI Act ?
Oui, la CNIL a été désignée comme autorité nationale compétente pour superviser l'application de l'AI Act en France, conjointement avec des autorités sectorielles selon les domaines. Cette dualité de compétences est source d'incertitude pratique en 2026, et des discussions sont en cours au niveau européen pour mieux coordonner les contrôles entre le CEPD et les nouvelles autorités IA.
L'IA générative (ChatGPT, Gemini…) est-elle soumise au RGPD ?
Oui, dès lors qu'elle traite des données personnelles. Les fournisseurs de modèles d'IA à usage général sont également soumis à des obligations spécifiques sous l'AI Act (Chapitre V), notamment en matière de transparence sur les données d'entraînement et de conformité aux droits d'auteur. La CNIL a ouvert plusieurs enquêtes sur des modèles génératifs depuis 2023 pour vérifier leur conformité au RGPD.
Article mis à jour en juillet 2026. Les informations contenues dans cet article sont fournies à titre informatif et ne constituent pas un conseil juridique. Pour toute situation spécifique, consultez un professionnel du droit.
Questions fréquentes
- Qu'est-ce que l'article 22 du RGPD protège face aux décisions algorithmiques ?
- L'article 22 du RGPD interdit les décisions fondées exclusivement sur un traitement automatisé ayant des effets juridiques significatifs ou affectant substantiellement une personne (refus de crédit, tri de CV). Il existe toutefois des exceptions, notamment si la décision est nécessaire à un contrat ou si la personne a donné son consentement explicite.
- Que change l'AI Act par rapport au RGPD pour les citoyens ?
- L'AI Act (Règlement UE 2024/1689) va plus loin que le RGPD en réglementant la conception même des systèmes d'IA selon leur niveau de risque. Il impose des obligations d'audit, de transparence et de surveillance humaine pour les IA à risque élevé (recrutement, crédit, santé), là où le RGPD ne couvre que le traitement des données personnelles.
- Qu'est-ce que le 'rubber stamping' et pourquoi pose-t-il problème juridiquement ?
- Le 'rubber stamping' désigne la validation formelle d'une décision algorithmique par un humain qui n'exerce aucun contrôle réel. Ce scénario échappe à la protection de l'article 22 du RGPD, car la décision n'est techniquement pas 'entièrement' automatisée, même si l'intervention humaine est purement symbolique.
- Quels systèmes d'IA sont considérés à 'risque élevé' selon l'AI Act ?
- L'AI Act classe comme à risque élevé les systèmes d'IA utilisés notamment dans le recrutement et la gestion RH, l'octroi de crédit, les décisions médicales, l'éducation, la justice ou encore les infrastructures critiques. Ces systèmes sont soumis à des obligations strictes : transparence, documentation technique, surveillance humaine et enregistrement dans une base de données européenne.
- Comment faire valoir ses droits face à une décision automatisée en France en 2026 ?
- En France, vous pouvez exercer votre droit d'opposition ou demander une révision humaine de toute décision automatisée significative via l'organisation responsable du traitement. En cas de refus ou d'absence de réponse, vous pouvez saisir la CNIL, qui dispose de pouvoirs de sanction renforcés depuis l'articulation avec l'AI Act.