Le 2 août 2026, l'AI Act devient applicable de façon générale dans l'Union européenne. Le RGPD suffit-il encore ? L'échéance approche, et peu d'entreprises utilisatrices d'IA savent précisément ce qu'elles doivent avoir vérifié d'ici là.
L'AI Act et le RGPD se cumulent, chacun avec son objet : le premier encadre les systèmes d'IA et leurs risques, le second le traitement des données personnelles. Si votre entreprise utilise déjà un outil d'IA (Claude, ChatGPT, Copilot, un outil RH ou de scoring), elle n'a donc pas deux chantiers de conformité séparés. Elle en a un seul, où deux textes s'appliquent aux mêmes données et aux mêmes traitements. Le règlement européen sur l'IA (Règlement (UE) 2024/1689, dit AI Act) ajoute ses exigences propres aux systèmes à haut risque. Il ne retire rien de ce que le RGPD impose déjà.
Qu'est-ce qu'un déployeur au sens de l'AI Act
L'AI Act distingue deux qualifications. Le fournisseur développe ou met sur le marché un système d'IA. Le déployeur l'utilise dans le cadre de son activité professionnelle, sans l'avoir développé lui-même (Commission européenne, EU AI Act Service Desk). Une entreprise qui utilise Claude, ChatGPT ou un outil de scoring RH tiers est, dans l'immense majorité des cas, un déployeur. C'est cette qualification qui détermine ses obligations.
Pour vous, la différence est très concrète. Les exigences les plus lourdes de l'AI Act (documentation technique, marquage CE, évaluation de conformité) pèsent sur le fournisseur. Le déployeur, lui, doit surtout s'assurer d'un usage conforme du système qu'il a acquis : information des personnes concernées, supervision humaine, documentation de l'usage.
Le calendrier de l'AI Act, du 1er août 2024 au 2 décembre 2027
L'AI Act est entré en vigueur le 1er août 2024, avec une application progressive (artificialintelligenceact.eu). Trois jalons structurent le calendrier pour une entreprise déployeuse :
- 2 février 2025 : les pratiques d'IA jugées inacceptables sont interdites, application déjà effective.
- 2 août 2025 : les obligations propres aux modèles d'IA à usage général (GPAI) sont applicables, application déjà effective (EU AI Act Service Desk).
- 2 août 2026 : l'application générale du règlement. Seules les exigences propres aux systèmes à haut risque listés en annexe III y échappent : elles viennent d'être reportées au 2 décembre 2027 (voir ci-dessous).
Les deux premières dates sont derrière vous. La troisième vous concerne directement, quel que soit l'outil que vous utilisez. Reste le calendrier propre aux systèmes à haut risque, qui vient d'être modifié par un texte adopté fin juin 2026.
Le report des systèmes à haut risque au 2 décembre 2027 est adopté
Le paquet de simplification dit « Omnibus numérique sur l'IA » avait été proposé par la Commission le 17 novembre 2025. Le Conseil et le Parlement ont trouvé un accord politique le 6 mai 2026. L'adoption formelle a suivi : vote du Parlement européen le 16 juin 2026, feu vert final du Conseil le 29 juin 2026 (Conseil de l'UE, 29 juin 2026). Concrètement, les règles propres aux systèmes à haut risque s'appliqueront à compter du 2 décembre 2027 pour les systèmes autonomes de l'annexe III, et du 2 août 2028 pour ceux intégrés dans des produits (même source). À la date de rédaction de cet article, le Conseil annonce une publication imminente au Journal officiel de l'Union européenne. L'entrée en vigueur intervient trois jours après.
Ce report ne dispense de rien sur le fond. Les exigences restent les mêmes, seule leur date d'application recule. Et le 2 août 2026 demeure la date d'application générale pour le reste du règlement.
Ce que le RGPD impose encore aux entreprises qui utilisent l'IA
Le RGPD encadre le traitement des données personnelles, peu importe l'outil qui le réalise. L'AI Act encadre le système d'IA lui-même : ses risques, sa documentation, sa supervision. Un outil d'IA qui traite des données personnelles reste soumis au RGPD, que l'AI Act le qualifie ou non de système à haut risque. Ce que cela implique, de la base légale à la contractualisation, est détaillé dans notre guide complet RGPD et intelligence artificielle.
La CNIL a mis en place un groupe de travail interne en 2025 sur cette articulation entre IA et RGPD (CNIL). Elle participe aussi aux travaux du Comité européen de la protection des données pour harmoniser l'interprétation entre autorités nationales. Le contenu détaillé de cette doctrine n'est pas encore publié : il ne s'anticipe pas. Nous suivons ce chantier dans un article dédié : les recommandations CNIL sur l'IA.
La même superposition se lit du côté des fournisseurs de modèles. Anthropic, OpenAI, Google et Microsoft ont signé le Code of Practice européen pour l'IA à usage général sur ses trois chapitres complets. xAI n'en a signé qu'un sur trois. Meta a refusé de signer, au 9 juillet 2026 (Commission européenne, Code of Practice GPAI). Ces engagements portent sur la sécurité et la transparence des modèles. Ils ne vous donnent aucun avantage RGPD en tant que déployeur : les deux sujets restent distincts.
Ce qu'un déployeur a intérêt à avoir vérifié avant le 2 août 2026
Chez les décideurs que nous accompagnons, le réflexe le plus fréquent face à ce calendrier est d'attendre décembre 2027 pour s'y mettre. C'est se tromper de date : l'essentiel des vérifications relève du RGPD et de l'application générale d'août 2026. Sans entrer dans le détail de chaque brique, trois points sont à couvrir.
D'abord, savoir si l'un de vos outils d'IA relève de l'annexe III à haut risque (recrutement, scoring de crédit, évaluation des personnes, entre autres catégories). Ensuite, vérifier que vos traitements de données restent documentés au sens du RGPD, indépendamment de la qualification AI Act. Enfin, vous assurer qu'une supervision humaine réelle existe sur les décisions automatisées qui touchent des personnes.
Ces trois points ne s'épuisent pas ici. L'analyse d'impact relative à la protection des données (AIPD) fait l'objet d'un article dédié de ce cluster. Il en va de même pour la désignation d'un DPO et le détail des recommandations CNIL. Cet article reste volontairement sur la vue d'ensemble.
Sur les certifications de l'outil lui-même, la conformité RGPD de Claude détaille ce que l'éditeur documente. Côté entreprise, notre checklist RGPD pour les dirigeants qui utilisent l'IA prend le relais, point par point.
Questions fréquentes
Qu'est-ce qu'un déployeur au sens de l'AI Act ? C'est toute organisation qui utilise un système d'IA dans le cadre de son activité professionnelle, sans l'avoir développé ni mis sur le marché elle-même. Cette qualification se distingue de celle du fournisseur, qui conçoit le système.
L'AI Act remplace-t-il le RGPD ? Non. Les deux règlements s'appliquent en parallèle. L'AI Act encadre le système d'IA et ses risques, le RGPD encadre le traitement des données personnelles, quel que soit l'outil utilisé pour le réaliser.
Quelles sont les obligations d'une entreprise qui utilise un outil IA tiers comme Claude ou ChatGPT ? En tant que déployeur, elle doit s'assurer d'un usage conforme du système, informer les personnes concernées quand c'est requis, maintenir une supervision humaine sur les décisions automatisées, et documenter ses traitements de données au sens du RGPD.
Quand les obligations de l'AI Act pour les systèmes à haut risque entrent-elles en application ? À compter du 2 décembre 2027 pour les systèmes à haut risque autonomes de l'annexe III, et du 2 août 2028 pour ceux intégrés dans des produits, selon le règlement de simplification adopté fin juin 2026. Le reste de l'AI Act s'applique de façon générale à compter du 2 août 2026.
Le report de l'échéance du 2 août 2026 est-il déjà voté ? Oui, pour les systèmes à haut risque. Le Parlement européen a voté le texte le 16 juin 2026 et le Conseil a donné son feu vert final le 29 juin 2026, la publication au Journal officiel étant annoncée comme imminente à la date de rédaction. Les autres dispositions du règlement restent applicables au 2 août 2026.
Le calendrier est désormais écrit : décembre 2027 pour les systèmes à haut risque autonomes, août 2026 pour le reste du règlement. Situer votre usage de l'IA dans ce paysage, au-delà de la case réglementaire à cocher, c'est aussi l'objet d'un accompagnement Trajectoire. Ce type d'évolution, nous le suivons d'abord pour notre propre compte : c'est l'exercice que documente notre fiche veille réglementaire automatisée.
Réservez un premier échange pour faire le point sur votre usage réel de l'IA en entreprise.