RGPD + AI Act : ce que ces deux règlements protègent vraiment face à l'IA en 2026

Depuis août 2024, l'AI Act européen complète le RGPD pour encadrer les systèmes d'intelligence artificielle, en imposant des règles sur leur conception et leurs biais, là où le RGPD ne couvrait que le traitement des données. En 2026, les citoyens français disposent de droits renforcés face aux décisions automatisées, notamment en matière de crédit, de recrutement et de santé.

· 11 min de lecture · 2102 mots · IA et Droit
RGPD AI Act intelligence artificielle décision automatisée droits numériques

Le RGPD seul ne suffit plus à protéger les citoyens face aux systèmes d'IA. Depuis l'entrée en vigueur de l'AI Act européen en août 2024, puis son application progressive tout au long de 2025 et 2026, un nouveau cadre juridique hybride s'est imposé. Le règlement général sur la protection des données, adopté en 2018, n'avait pas été conçu pour répondre aux défis du profilage prédictif, des biais algorithmiques ou des décisions entièrement automatisées à fort impact social. Ces lacunes sont aujourd'hui documentées, débattues — et partiellement comblées.

Cet article vous explique concrètement ce que le RGPD protège (et ce qu'il ne protège pas), ce que l'AI Act apporte en complément, et quels droits nouveaux vous pouvez faire valoir en tant que citoyen français en 2026 face aux traitements automatisés qui vous concernent — que ce soit pour un crédit refusé par un algorithme, un recrutement automatisé ou une décision médicale assistée par IA.


Contexte juridique

Le RGPD et l'AI Act forment désormais un binôme réglementaire complémentaire, mais encore imparfaitement articulé en pratique.

Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018 (Règlement UE 2016/679), a constitué une avancée majeure pour la protection des données personnelles en Europe. Il pose des principes fondamentaux : licéité du traitement, minimisation des données, droit d'accès, droit à l'oubli, droit à la portabilité. Son article 22 est particulièrement pertinent dans le contexte de l'IA : il interdit les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques significatifs ou affectant substantiellement une personne, sauf exceptions limitées.

Mais le RGPD a été conçu bien avant l'émergence des grands modèles de langage, du deep learning généralisé et des systèmes de scoring prédictif à grande échelle. Ses lacunes sont structurelles :

L'AI Act (Règlement UE 2024/1689), entré en vigueur en août 2024, tente de combler ces angles morts. Il adopte une approche par les risques, classant les systèmes d'IA en quatre catégories : risque inacceptable (interdits), risque élevé (strictement encadrés), risque limité (obligations de transparence) et risque minimal (non réglementés). En France, la CNIL et l'Autorité de contrôle nationale se partagent les responsabilités de supervision, ce qui crée encore en 2026 quelques incertitudes sur les compétences respectives.


Analyse approfondie

RGPD et AI Act coexistent, mais leurs périmètres ne se recouvrent pas totalement, laissant des zones de protection inégale.

Ce que le RGPD ne couvre toujours pas

L'article 22 du RGPD offre une protection contre les décisions entièrement automatisées, mais cette protection est plus étroite qu'il n'y paraît. La jurisprudence européenne a confirmé (CJUE, arrêt Schufa Holding, C-634/21, 7 décembre 2023) que le scoring de crédit peut constituer une décision automatisée au sens de l'article 22 — une avancée notable. Mais le texte ne s'applique pas aux décisions partiellement automatisées, où un humain valide formellement sans exercer de contrôle réel : le fameux problème du « rubber stamping ».

Par ailleurs, le RGPD n'impose pas d'obligation d'audit algorithmique préalable. Un employeur peut déployer un outil de recrutement par IA sans que ses biais internes — surreprésentation de certains profils, discrimination indirecte — soient formellement contrôlés. La CNIL a sanctionné plusieurs entreprises sur le fondement du RGPD pour des traitements liés à l'IA (notamment dans le secteur RH), mais les bases légales disponibles restent parfois insuffisantes pour viser directement le biais algorithmique.

Ce que l'AI Act apporte concrètement

L'AI Act introduit des obligations inédites pour les systèmes d'IA à haut risque — définis à son Annexe III — parmi lesquels figurent notamment :

Pour ces systèmes, les obligations incluent : une évaluation de conformité avant mise sur le marché, une documentation technique exhaustive, des mécanismes de surveillance humaine, des tests de robustesse et de non-discrimination, et l'inscription dans une base de données européenne accessible au public.

Tableau comparatif RGPD vs AI Act

Critère RGPD AI Act
Objet principal Données personnelles Systèmes d'IA
Décision automatisée Art. 22 (effets juridiques) Surveillance humaine obligatoire
Biais algorithmique Non traité directement Obligation de test
Transparence Droit à l'information Explicabilité requise
Sanction max. 4% CA mondial 35M€ ou 7% CA mondial
Autorité en France CNIL CNIL + autorité sectorielle

Les zones encore grises en 2026

Malgré ce cadre renforcé, plusieurs questions restent ouvertes. Premièrement, l'articulation pratique entre les deux règlements demeure floue pour les opérateurs : quand une violation de l'AI Act constitue-t-elle automatiquement une violation du RGPD, et vice-versa ? Les lignes directrices communes du Comité européen de la protection des données (CEPD) publiées en mars 2025 apportent des clarifications partielles, mais ne tranchent pas tous les cas de figure.

Deuxièmement, les modèles d'IA à usage général (GPAI), comme les grands modèles de langage, font l'objet d'obligations spécifiques dans l'AI Act (Chapitre V, articles 51 à 56), mais la question de leur responsabilité en cas de traitement de données personnelles à la marge reste disputée.

Troisièmement, le droit à l'explicabilité — pouvoir comprendre pourquoi un algorithme a pris une décision — n'est pas formellement consacré comme droit subjectif individuel dans l'AI Act. Il s'agit davantage d'une obligation pesant sur le fournisseur que d'un droit directement invocable par la personne concernée.


Implications pratiques

En 2026, les droits des personnes face à l'IA se sont renforcés, mais leur effectivité dépend encore largement de la capacité à identifier le bon recours.

Pour les particuliers

Si vous êtes confronté à une décision automatisée défavorable — refus de crédit, rejet d'une candidature par IA, modulation de tarif d'assurance — vous disposez de plusieurs leviers :

  1. Le droit à l'information (art. 13-14 RGPD) : le responsable du traitement doit vous informer de l'existence d'une prise de décision automatisée et vous fournir des informations utiles sur la logique sous-jacente.
  2. Le droit d'opposition (art. 21 RGPD) : vous pouvez vous opposer au traitement de vos données à des fins de profilage.
  3. Le droit à l'intervention humaine (art. 22 RGPD) : pour les décisions entièrement automatisées à effets significatifs, vous pouvez exiger qu'un être humain réexamine la décision.
  4. La saisine de la CNIL : en cas de manquement constaté, vous pouvez déposer une plainte directement sur le site de la CNIL. En 2025, la CNIL a reçu plus de 16 000 plaintes, dont une proportion croissante concerne des systèmes d'IA.

Pour les employeurs et organisations

Le risque de non-conformité est réel et coûteux. Sous l'AI Act, les systèmes d'IA à haut risque déployés sans évaluation de conformité exposent à des sanctions allant jusqu'à 30 millions d'euros ou 6% du chiffre d'affaires mondial. La CNIL a par ailleurs annoncé en janvier 2026 un programme de contrôles ciblés sur les outils RH utilisant l'IA.

Deux perspectives s'affrontent dans le débat actuel :


Points clés à retenir


Questions fréquentes

Le RGPD protège-t-il contre les décisions prises par une IA ?

Oui, partiellement. L'article 22 du RGPD interdit les décisions entièrement automatisées ayant des effets juridiques ou vous affectant significativement, sauf consentement explicite ou nécessité contractuelle. Mais cette protection ne s'applique pas aux décisions partiellement automatisées, où un humain intervient formellement.

Qu'est-ce que l'AI Act change concrètement pour un citoyen français ?

L'AI Act impose aux entreprises qui déploient des IA à haut risque (recrutement, crédit, accès aux services publics) des obligations de transparence, de documentation et de surveillance humaine. Indirectement, cela renforce vos droits : les systèmes doivent être testés contre les biais et documentés, ce qui facilite les recours en cas de litige.

Puis-je contester un refus de crédit décidé par un algorithme ?

Oui. Depuis l'arrêt Schufa de la CJUE (C-634/21, 7 décembre 2023), le scoring automatisé de crédit peut être qualifié de décision au sens de l'article 22 du RGPD. Vous pouvez demander à l'organisme d'expliquer la logique de la décision et exiger un réexamen humain. En cas de refus, saisissez la CNIL.

Un employeur peut-il utiliser une IA pour trier des CV sans violer le RGPD ?

Il le peut, sous conditions. L'employeur doit informer les candidats de l'utilisation d'un outil d'IA, disposer d'une base légale valide et respecter le principe de non-discrimination. Sous l'AI Act, les systèmes de recrutement automatisés sont classés à haut risque et doivent faire l'objet d'une évaluation de conformité. Si vous pensez avoir été victime d'une discrimination algorithmique lors d'un recrutement, vous pouvez faire valoir vos droits — pour évaluer votre situation personnelle, un diagnostic gratuit peut vous aider à identifier les recours adaptés.

Quelle est la différence entre le RGPD et l'AI Act en matière de sanctions ?

Le RGPD prévoit des amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel pour les violations les plus graves. L'AI Act prévoit des sanctions encore plus élevées pour certaines infractions : jusqu'à 35 millions d'euros ou 7% du CA mondial pour l'utilisation d'un système d'IA interdit, et jusqu'à 15 millions d'euros ou 3% pour d'autres manquements.

Ai-je le droit de savoir comment une IA m'a évalué ?

En partie. Le RGPD vous donne droit à des « informations utiles sur la logique sous-jacente » d'une décision automatisée (art. 22, §3), mais pas à une explication complète de l'algorithme. L'AI Act impose aux fournisseurs de systèmes à haut risque de fournir de la documentation sur leur fonctionnement, mais ce droit s'exerce surtout via le déployeur (l'entreprise qui utilise l'IA) et non directement auprès du fournisseur.

La CNIL est-elle compétente pour les infractions à l'AI Act ?

Oui, la CNIL a été désignée comme autorité nationale compétente pour superviser l'application de l'AI Act en France, conjointement avec des autorités sectorielles selon les domaines. Cette dualité de compétences est source d'incertitude pratique en 2026, et des discussions sont en cours au niveau européen pour mieux coordonner les contrôles entre le CEPD et les nouvelles autorités IA.

L'IA générative (ChatGPT, Gemini…) est-elle soumise au RGPD ?

Oui, dès lors qu'elle traite des données personnelles. Les fournisseurs de modèles d'IA à usage général sont également soumis à des obligations spécifiques sous l'AI Act (Chapitre V), notamment en matière de transparence sur les données d'entraînement et de conformité aux droits d'auteur. La CNIL a ouvert plusieurs enquêtes sur des modèles génératifs depuis 2023 pour vérifier leur conformité au RGPD.


Article mis à jour en juillet 2026. Les informations contenues dans cet article sont fournies à titre informatif et ne constituent pas un conseil juridique. Pour toute situation spécifique, consultez un professionnel du droit.

Questions fréquentes

Qu'est-ce que l'article 22 du RGPD protège face aux décisions algorithmiques ?
L'article 22 du RGPD interdit les décisions fondées exclusivement sur un traitement automatisé ayant des effets juridiques significatifs ou affectant substantiellement une personne (refus de crédit, tri de CV). Il existe toutefois des exceptions, notamment si la décision est nécessaire à un contrat ou si la personne a donné son consentement explicite.
Que change l'AI Act par rapport au RGPD pour les citoyens ?
L'AI Act (Règlement UE 2024/1689) va plus loin que le RGPD en réglementant la conception même des systèmes d'IA selon leur niveau de risque. Il impose des obligations d'audit, de transparence et de surveillance humaine pour les IA à risque élevé (recrutement, crédit, santé), là où le RGPD ne couvre que le traitement des données personnelles.
Qu'est-ce que le 'rubber stamping' et pourquoi pose-t-il problème juridiquement ?
Le 'rubber stamping' désigne la validation formelle d'une décision algorithmique par un humain qui n'exerce aucun contrôle réel. Ce scénario échappe à la protection de l'article 22 du RGPD, car la décision n'est techniquement pas 'entièrement' automatisée, même si l'intervention humaine est purement symbolique.
Quels systèmes d'IA sont considérés à 'risque élevé' selon l'AI Act ?
L'AI Act classe comme à risque élevé les systèmes d'IA utilisés notamment dans le recrutement et la gestion RH, l'octroi de crédit, les décisions médicales, l'éducation, la justice ou encore les infrastructures critiques. Ces systèmes sont soumis à des obligations strictes : transparence, documentation technique, surveillance humaine et enregistrement dans une base de données européenne.
Comment faire valoir ses droits face à une décision automatisée en France en 2026 ?
En France, vous pouvez exercer votre droit d'opposition ou demander une révision humaine de toute décision automatisée significative via l'organisation responsable du traitement. En cas de refus ou d'absence de réponse, vous pouvez saisir la CNIL, qui dispose de pouvoirs de sanction renforcés depuis l'articulation avec l'AI Act.