La conformité réglementaire européenne sur l'IA ne se réduit pas au RGPD.

3 min de lecture
AIActRGPDGouvernanceIAConformité

insight_identity

Le RGPD reste la base, il s'applique dès que vous traitez des données personnelles, et il exige déjà une accountability continue : AIPD, gestion des violations, documentation des traitements. Ce n'est pas un cadre figé.

Mais il régule la donnée. Pas le comportement du système d'IA. Deux exemples concrets : un outil de présélection CV peut être RGPD-conforme et ne produire aucun log permettant de reconstituer pourquoi un candidat a été écarté (AI Act Art. 12). Un modèle de scoring de délivrance de crédit peut respecter l'Art. 22 RGPD et ne pas documenter la supervision humaine effective exigée par l'AI Act Art. 14. Ce ne sont pas des redondances, ce sont des objets différents.

Sur la question de savoir quels textes s'appliquent : ça dépend du contexte, pas de la technologie. Une PME utilisant Copilot pour de la bureautique aura des obligations légères, principalement organisationnelles. Une banque déployant un scoring crédit ajoute DORA et l'AI Act Annexe III. Un fabricant d'équipement connecté mis sur le marché ajoute le CRA. Ces textes ne s'accumulent pas par défaut.

Ce qui est universel, en revanche : le problème de visibilité interne. Baromètre Privacy 2026, EQS Group / Usine Digitale (206 professionnels, fév. 2026) : 80% des organisations sans vision claire de leurs usages de l'IA — 48% n'ont pas identifié leurs systèmes IA au sens de l'AI Act. Par ailleurs, elles souffrent de "Shadow AI" avec le marketing utilisant Midjourney avec des comptes perso, les devs qui balancent du code propriétaire dans ChatGPT pour débugger plus vite, et les commerciaux qui résument des comptes-rendus de réunions clients (pleins de données sensibles) via des extensions d'appels non validées par l'IT.

Peut-être que la question à se poser avant les textes est : qui utilise quoi, pour quelles décisions ? Je me demande souvent si dans les PME les reglementations restent une enclume à tirer pour s'épuiser, ou un moyen de se muscler pour devenir plus fort (même avec les courbatures au départ).

Source baromètre : https://www.usine-digitale.fr/intelligence-artificielle/shadow-ai-80-des-organisations-nont-pas-de-vision-claire-de-leurs-usages-de-lintelligence-artificielle.A6H7APP5FFCRNKAA6NWGRAF6AM.html

slides

Les opinions exprimées dans cet article sont strictement personnelles et ne reflètent pas nécessairement celles de mon employeur. Les contenus sont fournis à titre informatif et ne constituent pas un conseil juridique. Cet article explore des concepts architecturaux émergents et analyse des tendances de marché. RegOS est ici une proposition conceptuelle personnelle et non propriétaire — un cadre d'ingénierie systémique que j'explore pour contribuer au débat public sur la conformité IA industrialisée en Europe.