Bottom Line. Le RGPD et l’EU AI Act s’appliquent simultanément à la grande majorité des déploiements IA enterprise. Leurs obligations se recoupent sur 14 points critiques. Et leurs amendes sont cumulables — RGPD à 4 % du CA, AI Act à 7 % du CA — pour un total théorique de 11 % du CA mondial. La double conformité n’est pas une option : c’est le cadre dans lequel opèrent toutes les organisations européennes déployant de l’IA sur des données personnelles.
La superposition des régimes
Le RGPD s’applique depuis 2018 à tout traitement de données personnelles. L’EU AI Act s’applique depuis 2024 aux systèmes d’IA. Ces deux régimes coexistent — et pour la grande majorité des déploiements IA enterprise, ils s’appliquent simultanément.
L’analyse Brain identifie 14 obligations croisées entre RGPD et AI Act :
| Domaine | Obligation RGPD | Obligation AI Act | Synergie |
|---|---|---|---|
| Transparence | Art. 13-14 : information utilisateurs | Art. 13 : transparence systèmes IA | Chevauchement partiel |
| Droits des personnes | Art. 22 : décision automatisée | Annexe III : supervision humaine | Complémentaires |
| Évaluation des risques | DPIA (Art. 35) | Évaluation conformité haut risque | Synergies documentaires |
| Documentation | Registre traitements | Documentation technique AI Act | Registres distincts |
| Sécurité | Art. 32 : sécurité des données | Art. 9 : sécurité systèmes IA | Chevauchement partiel |
Source : rgpd-ai-act-articulation · Observatoire IA Brain
Plafond d'amendes RGPD × AI Act — % du CA mondial
Les deux régimes sont indépendamment exécutoires : les amendes sont cumulables.
Les amendes cumulables
| Régime | Amende maximale |
|---|---|
| RGPD | 20 M EUR ou 4 % du CA mondial |
| EU AI Act (haut risque) | 35 M EUR ou 7 % du CA mondial |
| Total théorique | 11 % du CA mondial |
Ce cumul n’est pas théorique. La CNIL, le Garante (Italie) et l’AEPD (Espagne) ont explicitement indiqué qu’un incident impliquant des données personnelles traitées par un système IA non conforme pourrait entraîner des sanctions simultanées sous les deux régimes.
Le cas santé : 14 obligations croisées
La double conformité est particulièrement complexe dans le secteur de la santé, où RGPD (données sensibles catégorie spéciale) et AI Act (systèmes à haut risque) se superposent avec le plus d’intensité.
L’analyse du guide CNIL-HAS de mars 2026 identifie 14 obligations croisées spécifiques au secteur santé — incluant :
- Consentement explicite RGPD + transparence AI Act pour tout système de diagnostic IA
- DPIA RGPD obligatoire + évaluation conformité AI Act pour les systèmes d’aide à la décision médicale
- Droits d’accès et de rectification RGPD + supervision humaine AI Act pour les systèmes de scoring patient
Les acteurs concernés : solutions de diagnostic IA, systèmes de triage aux urgences, outils de prédiction de réadmission, assistants de prescription.
L’opportunité de la synergie documentaire
La double conformité n’est pas que contrainte — elle offre des synergies documentaires que les organisations qui anticipent peuvent exploiter.
Une DPIA (Data Protection Impact Assessment) bien conduite couvre une grande partie des exigences d’évaluation des risques de l’AI Act. Un registre des traitements RGPD complété par les informations techniques AI Act devient un document de conformité dual. Un DPO renforcé en compétences IA peut couvrir les deux régimes.
Estimation Brain : les organisations qui coordonnent leur mise en conformité RGPD × AI Act (plutôt que de les traiter séparément) réduisent leur coût de conformité de 30 à 50 % par rapport à une approche silotée.
Le Digital Omnibus : une évolution en cours
Le Digital Omnibus est une révision réglementaire en cours de discussion qui vise à simplifier certaines obligations digitales pour les entreprises de moins de 250 employés.
Le statut en avril 2026 : en discussion au niveau européen, aucune adoption formelle. Les organisations ne peuvent pas planifier leur conformité sur la base du Digital Omnibus — mais peuvent suivre son évolution pour anticiper d’éventuels allègements.
Implication stratégique : La double conformité RGPD × AI Act est le nouveau standard réglementaire de l’IA enterprise européenne. Les organisations qui traitent ces deux régimes séparément paient deux fois le coût et ratent les synergies. La bonne approche : un programme de conformité unifié, piloté par un DPO renforcé en compétences IA, avec une DPIA qui couvre simultanément les deux exigences. Le coût de cette approche intégrée est de 30 à 50 % inférieur à l’approche silotée — pour une protection contre un cumul d’amendes de 11 % du CA.