En 2024, 78 % des entreprises européennes avaient déployé au moins un outil d’IA impliquant des données personnelles — mais moins d’un tiers avaient formellement impliqué leur DPO dans le processus de déploiement. Le résultat : des traitements lancés sans analyse d’impact, des données personnelles saisies dans des outils non évalués, des registres de traitements incomplets. Le DPO découvre souvent l’IA en même temps que les risques qu’elle génère.
Ce décalage n’est pas tenable. Le RGPD et l’AI Act placent le DPO au centre de la gouvernance de l’intelligence artificielle. Il n’est plus seulement le gardien des données — il devient un acteur clé de la stratégie IA de l’entreprise.
À retenir
- L'AIPD est obligatoire pour la quasi-totalité des systèmes d'IA qui traitent des données personnelles
- Le DPO doit construire et maintenir un inventaire exhaustif des systèmes d'IA de l'organisation
- L'évaluation des fournisseurs IA nécessite une grille d'analyse combinant RGPD et AI Act
- Les données des employés traitées par l'IA (RH, monitoring, formation) présentent un risque réglementaire élevé
- Le rôle du DPO évolue vers une compétence hybride : juridique, technique et organisationnelle
1. L’AIPD appliquée à l’intelligence artificielle
L’analyse d’impact relative à la protection des données n’est pas une nouveauté pour le DPO. Mais l’IA change profondément la nature de l’exercice. Les traitements sont plus complexes, les flux de données moins prévisibles, et les risques pour les personnes concernées plus difficiles à évaluer.
Pour un système d’IA, l’AIPD doit couvrir des dimensions spécifiques :
- La finalité réelle du traitement — pas seulement « améliorer la productivité », mais la finalité précise : tri de CV, scoring de risque, génération de contenu à partir de données client
- Les données d’entraînement — le modèle a-t-il été entraîné sur des données personnelles ? Lesquelles ? Avec quel consentement ?
- Les données d’entrée et de sortie — quelles données personnelles entrent dans le système ? Quelles inférences en sortent ? Ces inférences constituent-elles elles-mêmes des données personnelles ?
- Les biais potentiels — le système peut-il produire des résultats discriminatoires ? Comment cela est-il évalué et atténué ?
- La transparence — les personnes concernées sont-elles informées du traitement par un système d’IA ? Comprennent-elles la logique sous-jacente ?
73 %
des DPO européens déclarent que l'IA générative a significativement augmenté leur charge de travail liée aux analyses d'impact
Source : IAPP-EY Governance Report, 2025
La CNIL recommande de réaliser l’AIPD avant la mise en production — pas après. En pratique, le DPO doit être consulté dès la phase de sélection de l’outil, pas au moment du déploiement. C’est un changement de posture majeur : passer d’un rôle de contrôle a posteriori à un rôle de conseil en amont.
2. Construire un inventaire des systèmes d’IA
Le DPO ne peut pas protéger ce qu’il ne connaît pas. Or le phénomène de shadow AI — l’utilisation d’outils d’IA non approuvés par les collaborateurs — rend l’inventaire particulièrement difficile.
Un inventaire IA complet doit recenser pour chaque système :
- Le nom de l’outil et du fournisseur
- La nature du traitement (classification, génération, scoring, etc.)
- Les données personnelles traitées (catégories, volume, personnes concernées)
- La base légale retenue
- La localisation de l’hébergement et des données
- L’existence d’une AIPD
- Le niveau de risque AI Act (minimal, limité, élevé, inacceptable)
Cet inventaire n’est pas un exercice ponctuel. Le DPO doit mettre en place un processus de déclaration systématique : tout nouveau projet impliquant un système d’IA doit être signalé au DPO avant sa mise en oeuvre. C’est le socle d’une gouvernance IA efficace.
L’AI Act impose aux « déployeurs » de systèmes d’IA à haut risque de tenir un registre des systèmes utilisés. Cette obligation renforce — et complète — le registre des traitements du RGPD. Le DPO a intérêt à fusionner ces deux registres dans un référentiel unique pour éviter les doublons et les incohérences.
3. Évaluer les fournisseurs d’IA
Chaque outil d’IA est un sous-traitant au sens du RGPD. Le DPO doit évaluer la conformité du fournisseur avant tout déploiement — et cette évaluation est devenue considérablement plus exigeante avec l’AI Act.
La grille d’évaluation d’un fournisseur IA doit couvrir :
Volet RGPD :
- Existence d’un Data Processing Agreement (DPA) conforme à l’article 28
- Localisation des données (UE / hors UE) et mécanismes de transfert
- Politique de rétention et de suppression des données
- Engagement de non-utilisation des données pour l’entraînement du modèle
- Certifications (ISO 27001, SOC 2, certification DPF)
Volet AI Act :
- Classification du système (niveau de risque)
- Documentation technique fournie
- Mesures de transparence et d’explicabilité
- Audits de biais et de non-discrimination
- Engagement de conformité AI Act
Les solutions d’IA souveraine européennes (Mistral AI, déploiements on-premise) simplifient la question des transferts de données — mais ne dispensent pas d’une évaluation complète. Le DPO doit aussi s’assurer que la charte d’utilisation de l’entreprise encadre les usages autorisés pour chaque outil validé.
4. Protéger les données des employés
Les données des employés traitées par des systèmes d’IA représentent un risque réglementaire souvent sous-estimé. Les cas d’usage se multiplient : scoring de performance, analyse de sentiment dans les enquêtes internes, tri automatisé de candidatures, monitoring de la productivité, parcours de formation personnalisés.
Le RGPD est particulièrement protecteur des données des employés, car la relation de subordination rend le consentement difficilement « libre » au sens du règlement. Le DPO doit :
- Vérifier que chaque traitement IA impliquant des données employés repose sur une base légale solide (intérêt légitime ou obligation légale — rarement le consentement)
- S’assurer que les décisions automatisées en matière RH respectent l’article 22 du RGPD
- Garantir la transparence : les employés doivent savoir quels outils d’IA traitent leurs données et pourquoi
- Encadrer l’utilisation de l’IA dans le recrutement — un domaine classé haut risque par l’AI Act
62 %
des entreprises utilisent déjà l'IA dans au moins un processus RH, mais seulement 28 % ont réalisé une AIPD pour ces traitements
Source : Enquête CNIL-AFCDP, 2025
5. Monter en compétences : le DPO face à l’IA
Le DPO ne peut pas remplir ces missions sans une compréhension technique minimale de l’intelligence artificielle. Il ne s’agit pas de devenir data scientist — mais de comprendre ce qu’est un modèle de langage, comment fonctionne un scoring algorithmique, ce que signifie « fine-tuning » ou « retrieval-augmented generation ».
Cette montée en compétences est indispensable pour :
- Dialoguer avec les équipes techniques sur un pied d’égalité
- Évaluer la pertinence des mesures de protection proposées
- Identifier les risques réels — distinguer les craintes infondées des menaces concrètes
- Conseiller la direction sur la stratégie IA en intégrant la dimension conformité dès l’origine
Le DPO doit aussi former les métiers. Les équipes qui utilisent des outils d’IA au quotidien doivent comprendre les implications RGPD de leurs usages : ne pas saisir de données personnelles dans des outils non validés, ne pas contourner les processus d’évaluation, signaler les incidents. C’est un volet essentiel de la préparation des équipes à l’IA.
L’article 4 de l’AI Act impose une obligation de formation pour tous les utilisateurs de systèmes d’IA. Le DPO est naturellement en première ligne de cette obligation — à la fois comme bénéficiaire (il doit lui-même être formé) et comme contributeur (il doit participer à la définition du contenu de formation sur les aspects protection des données). Découvrez les détails de cette obligation dans notre guide sur l’article 4 de l’AI Act.
Le DPO, pilier de la gouvernance IA
Le rôle du DPO dans le contexte de l’IA n’est pas une extension marginale de ses missions traditionnelles — c’est une transformation profonde de sa fonction. L’IA touche tous les métiers, tous les processus, toutes les catégories de données. Le DPO qui maîtrise ces enjeux devient un interlocuteur stratégique de la direction, capable d’arbitrer entre innovation et conformité.
Les organisations qui réussissent leur transformation IA sont celles qui intègrent le DPO dès le début du processus — pas comme un frein, mais comme un accélérateur de confiance.
Brain accompagne les DPO et les équipes conformité dans leur montée en compétences sur l’IA. Nos parcours combinent les dimensions réglementaires (RGPD, AI Act), techniques et opérationnelles pour que la protection des données soit un atout — pas un obstacle — dans votre stratégie IA.
Découvrir les formules Brain pour les équipes conformité.
Articles similaires
RGPD et IA : guide de conformité en 7 étapes
Mettez votre IA en conformité RGPD : bases légales, AIPD, décisions automatisées, droits des personnes et transferts de données expliqués.
Audit IA entreprise : methode en 6 etapes (2026)
Realisez un audit IA complet : cartographie des usages, evaluation des risques et documentation de conformite. Methode et outils inclus.
Cartographie IA entreprise : methode et template AI Act
Cartographiez vos usages IA en 5 etapes. Template telechargeable, categorisation des risques et mise en conformite AI Act inclus.