Sommaire
- 1. Pourquoi la conformité data devient un sujet de comité exécutif
- 2. RGPD : les fondamentaux que les entreprises ratent encore
- 3. L’IA Act européen : classification des risques
- 4. Systèmes d’IA à haut risque : ce qui change concrètement
- 5. La responsabilité personnelle du dirigeant
- 6. Registre des traitements et DPIA
- 7. Gouvernance des sous-traitants et transferts de données
- 8. Construire une matrice de conformité juridique
- 9. Anticiper un contrôle CNIL
- 10. Une trajectoire de mise en conformité réaliste
- FAQ
- Regard d’expert
- Passons à l’action
- Références
La conformité juridique de la donnée n’est plus un sujet cantonné au service juridique ou au DPO — c’est devenu un sujet de comité exécutif, pour une raison simple : entre le RGPD et l’IA Act européen, les sanctions et les responsabilités personnelles engagées ont changé d’échelle. Un dirigeant qui découvre après coup qu’un outil d’IA RH ou marketing déployé dans son entreprise est classé « à haut risque » sans documentation associée ne peut plus se retrancher derrière l’ignorance technique.
Ce guide s’adresse aux dirigeants, DPO, juristes et directions data qui doivent articuler ces deux textes réglementaires dans une gouvernance opérationnelle, pas seulement dans un classeur de conformité qui prend la poussière.
1. Pourquoi la conformité data devient un sujet de comité exécutif
Trois évolutions expliquent ce basculement. D’abord, l’ampleur des sanctions RGPD, qui peuvent atteindre 4% du chiffre d’affaires mondial annuel — un montant qui capte immédiatement l’attention d’un conseil d’administration. Ensuite, la multiplication des outils d’IA déployés dans l’entreprise sans validation centralisée, souvent achetés directement par les métiers (marketing, RH, ventes) sans passage par la DSI ou le juridique. Enfin, l’entrée en application progressive de l’IA Act européen, qui introduit une classification par niveau de risque directement opposable à l’entreprise utilisatrice, pas seulement au fournisseur de la technologie.
Le résultat concret observé en mission : des comités de direction qui découvrent, souvent à l’occasion d’un audit ou d’une due diligence de cession, qu’ils utilisent depuis des mois un outil de scoring ou de recommandation dont personne n’a jamais évalué la classification réglementaire.
2. RGPD : les fondamentaux que les entreprises ratent encore
Près de huit ans après son entrée en application, le RGPD reste mal appliqué sur des points pourtant fondamentaux dans de nombreuses organisations :
- La base légale de chaque traitement est rarement documentée traitement par traitement — beaucoup d’entreprises invoquent « l’intérêt légitime » par défaut sans analyse de mise en balance documentée
- La minimisation des données est systématiquement négligée : on collecte « au cas où » plutôt que ce qui est strictement nécessaire à la finalité déclarée
- Les durées de conservation sont rarement appliquées automatiquement, ce qui fait grossir le volume de données à risque sans justification
- Les droits des personnes (accès, rectification, opposition, portabilité) sont souvent gérés manuellement, sans processus formalisé, ce qui allonge les délais de réponse légaux
Ces manquements ne sont pas propres aux petites structures : ils se retrouvent régulièrement dans des groupes de taille significative, simplement parce que la gouvernance data n’a jamais été construite de façon systématique, traitement par traitement.
3. L’IA Act européen : classification des risques
L’IA Act structure les systèmes d’intelligence artificielle en quatre niveaux de risque : inacceptable (interdit, comme la notation sociale généralisée), élevé (soumis à des obligations renforcées), risque limité (obligations de transparence) et risque minimal (pas d’obligation spécifique). La classification « à haut risque » couvre notamment les systèmes utilisés pour le recrutement, l’évaluation des collaborateurs, l’octroi de crédit, l’évaluation de solvabilité, et certains usages dans l’éducation et la santé.
Ce qui change fondamentalement par rapport au RGPD : l’IA Act impose des obligations non seulement au fournisseur de la technologie, mais également au déployeur — c’est-à -dire l’entreprise qui utilise l’outil, même si elle ne l’a pas développé elle-même. Une PME qui achète un outil de scoring RH auprès d’un éditeur tiers reste responsable de sa propre documentation d’usage.
4. Systèmes d’IA à haut risque : ce qui change concrètement
Pour un système classé à haut risque, l’entreprise déployeuse doit notamment : assurer une supervision humaine effective (pas seulement théorique) sur les décisions générées, documenter les cas d’usage et les limites du système, informer les personnes concernées lorsque la décision les affecte significativement, et conserver une traçabilité des décisions permettant un contrôle a posteriori.
Concrètement, cela signifie qu’un outil de présélection de CV ne peut pas fonctionner en pilote automatique sans intervention humaine documentée à un point de contrôle du processus, et que l’entreprise doit pouvoir démontrer, en cas de contestation, sur quelle base le système a généré sa recommandation.
5. La responsabilité personnelle du dirigeant
Un point souvent sous-estimé : la responsabilité en matière de conformité data ne s’arrête pas à l’entreprise en tant que personne morale. Selon les juridictions et la gravité du manquement, la responsabilité personnelle du dirigeant peut être engagée, en particulier en cas de manquement caractérisé et répété, ou de défaut de mise en Å“uvre de mesures correctives après une alerte documentée (DPO, audit interne, signalement).
Cette dimension change la nature du sujet : ce n’est plus seulement un risque financier pour l’entreprise, mais un risque personnel pour les dirigeants qui n’ont pas mis en place une gouvernance minimale et n’ont pas réagi aux alertes documentées.
6. Registre des traitements et DPIA
Le registre des traitements (article 30 RGPD) reste le document de référence, mais il doit désormais être complété par une analyse d’impact relative à la protection des données (DPIA) pour tout traitement susceptible d’engendrer un risque élevé pour les droits des personnes — ce qui inclut mécaniquement la plupart des systèmes d’IA classés à haut risque au sens de l’IA Act. Une DPIA bien conduite documente la finalité, la proportionnalité, les risques identifiés et les mesures d’atténuation retenues, avant le déploiement, pas après.
7. Gouvernance des sous-traitants et transferts de données
La conformité ne s’arrête pas aux frontières de l’entreprise : chaque sous-traitant (hébergeur cloud, éditeur SaaS, prestataire d’IA) doit être couvert par un contrat de sous-traitance conforme à l’article 28 du RGPD, et tout transfert de données hors Union européenne doit reposer sur un mécanisme juridique valide (clauses contractuelles types, décision d’adéquation). Beaucoup d’entreprises découvrent tardivement qu’un outil SaaS utilisé au quotidien héberge en réalité les données sur des serveurs hors UE sans mécanisme de transfert documenté.
8. Construire une matrice de conformité juridique
Une matrice de conformité opérationnelle croise, pour chaque système ou traitement : la classification RGPD (base légale, catégories de données), la classification IA Act le cas échéant (niveau de risque), le responsable métier, le DPO ou juriste référent, et le statut de conformité (conforme, en cours, à traiter). Cette matrice, mise à jour à chaque nouveau déploiement d’outil, permet un pilotage continu plutôt qu’un audit ponctuel tous les deux ou trois ans qui découvre les problèmes trop tard.
9. Anticiper un contrôle CNIL
Un contrôle CNIL, qu’il soit déclenché par une plainte, un signalement ou une thématique sectorielle prioritaire de l’année, se prépare en amont, pas au moment de la notification. Les éléments qui font la différence : un registre des traitements à jour et cohérent avec la réalité opérationnelle (pas seulement avec ce qui a été documenté au moment de la mise en conformité RGPD initiale en 2018), une capacité à démontrer les mesures de sécurité effectivement en place, et une traçabilité des décisions prises en matière de gouvernance data.
10. Une trajectoire de mise en conformité réaliste
La trajectoire qui fonctionne sur le terrain commence toujours par un état des lieux honnête : cartographie des traitements existants, y compris ceux qui n’ont jamais été formellement documentés. Vient ensuite la priorisation par niveau de risque — traiter d’abord les traitements à haut risque et les systèmes d’IA classés comme tels, avant les sujets de conformité de moindre enjeu. Enfin, la mise en place d’une gouvernance continue (comité de revue des nouveaux outils, matrice de conformité vivante) plutôt qu’un exercice ponctuel qui redevient obsolète dès le trimestre suivant.
Regard d’expert
Sur des missions de gouvernance data en environnements multi-pays, le signal d’alarme que je recherche systématiquement en premier n’est pas technique : c’est de demander qui, dans l’organisation, a le pouvoir réel de bloquer le déploiement d’un nouvel outil tant que sa conformité n’est pas validée. Si la réponse est « personne » ou « ça dépend », la gouvernance existe sur le papier mais pas dans les faits — et c’est exactement ce type de situation qu’un contrôle CNIL ou un contentieux révèle a posteriori, au pire moment possible.
FAQ
Une PME est-elle concernée par l’IA Act au même titre qu’un grand groupe ?
Oui, les obligations s’appliquent selon la classification du système utilisé, pas selon la taille de l’entreprise — une PME qui déploie un outil à haut risque a les mêmes obligations de documentation et de supervision humaine qu’un grand groupe.
Qui doit porter la conformité IA Act en interne ?
Idéalement un comité conjoint DPO, juridique et DSI, avec une validation obligatoire avant tout déploiement d’un nouvel outil intégrant de l’IA, quelle que soit la direction métier à l’origine de la demande.
Combien de temps prend une mise en conformité complète ?
Pour une cartographie initiale et une priorisation des risques, comptez 2 à 3 mois. Une mise en conformité complète, incluant les DPIA nécessaires, s’étend généralement sur 6 à 18 mois selon le nombre de systèmes concernés.
Le dirigeant peut-il vraiment être tenu personnellement responsable ?
Oui, en particulier en cas de manquement caractérisé et d’absence de réaction à une alerte documentée — c’est un facteur aggravant reconnu dans plusieurs juridictions européennes.
Passons à l’action
Si votre entreprise a déployé des outils d’IA sans validation de conformité centralisée, le risque grandit avec chaque nouveau cas d’usage. Découvrez notre e-book Gouvernance des Données à l’Ère de l’IA Agentique, ou contactez-nous pour un audit de conformité RGPD et IA Act.
Références
Notoriti — retour de terrain sur des missions de gouvernance data et de conformité réglementaire en environnements multi-pays. Règlement Général sur la Protection des Données (UE) 2016/679. Règlement européen sur l’intelligence artificielle (UE) 2024/1689.
