Quelles sont les missions du DPO face à l'IA ?

Le DPO face à l'IA doit : vérifier la licéité des traitements de données pour l'entraînement des modèles, s'assurer du respect des droits (accès, rectification, opposition), coordonner les AIPD pour les systèmes haut risque, veiller à la transparence algorithmique, et articuler les obligations RGPD et AI Act.

Quelles sont les synergies entre RGPD et AI Act ?

Les synergies sont nombreuses : documentation technique (registre RGPD + documentation AI Act), évaluation des risques (AIPD + évaluation de conformité), droits des personnes (transparence + explicabilité), gouvernance (DPO peut coordonner les deux), et contrôle (CNIL a des compétences sur les deux).

dpo ia - formation-ia-act

Q: Le DPO doit-il gérer l'AI Act ?

Pas obligatoirement, mais c'est fortement recommandé. L'AI Act ne crée pas de fonction équivalente au DPO, mais les nombreuses intersections avec le RGPD (données personnelles dans l'IA, droits des personnes, documentation) font du DPO un acteur naturel de la conformité IA. De nombreuses entreprises étendent le rôle du DPO à l'AI Act.

Q: L'AI Act crée-t-il une fonction équivalente au DPO ?

NON. L'AI Act ne prévoit pas de 'Délégué à la Protection IA' obligatoire. Cependant, l'Article 4 impose une 'maîtrise suffisante de l'IA' pour les personnes impliquées. De facto, beaucoup d'entreprises désignent un référent IA, souvent le DPO ou un profil dédié travaillant avec lui.

Q: Le DPO doit-il se former à l'AI Act ?

OUI, c'est essentiel. L'Article 4 de l'AI Act impose une 'maîtrise suffisante' pour toute personne impliquée dans l'IA. Le DPO, acteur clé de la conformité, doit comprendre les interactions RGPD/AI Act. Une formation certifiante Article 4 est fortement recommandée.

Q: Comment articuler AIPD et évaluation AI Act ?

L'AIPD (RGPD) et l'évaluation de conformité (AI Act) peuvent être menées conjointement pour les systèmes IA traitant des données personnelles. Les risques pour les droits fondamentaux sont évalués dans les deux cas. Une méthodologie unifiée évite les doublons et assure une couverture complète.

Q: La CNIL contrôle-t-elle l'AI Act ?

PARTIELLEMENT. La CNIL reste l'autorité pour le RGPD. Pour l'AI Act, une autorité nationale de surveillance sera désignée (potentiellement la CNIL pour les aspects données, ou une nouvelle entité). La CNIL a déjà publié des recommandations sur l'IA et les données personnelles.

Q: Quelles sanctions si le DPO néglige l'IA ?

Le DPO n'est pas personnellement sanctionnable. En revanche, l'entreprise risque : sanctions RGPD (20M€ ou 4% CA) si l'IA viole la protection des données, ET sanctions AI Act (jusqu'à 35M€ ou 7% CA) si les systèmes IA ne sont pas conformes. Le cumul est possible.

Q: Faut-il créer un poste de 'DPO IA' ?

Pas obligatoirement, mais c'est une option. Trois modèles existent : étendre le rôle du DPO existant (formation complémentaire), créer un poste dédié 'Responsable IA' collaborant avec le DPO, ou recruter un profil hybride 'DPO-IA'. Le choix dépend de la taille et du niveau d'exposition à l'IA.

Q: Le registre des traitements doit-il inclure l'IA ?

OUI. Le registre RGPD doit déjà documenter tout traitement de données personnelles, y compris ceux utilisant l'IA. L'AI Act ajoute des exigences de documentation technique spécifiques. Une approche intégrée (registre unifié RGPD + AI Act) est recommandée pour éviter les doublons.

🔄 Deux Réglementations, Un Seul Gardien ?

Le DPO maîtrise le RGPD. Mais l’AI Act arrive. Données personnelles + Intelligence Artificielle = intersection massive. Qui va gérer la conformité IA ? Le DPO est le candidat naturel. Mais est-il préparé ?

L’AI Act ne crée pas de « Délégué à la Protection IA ». Pourtant, 80% des systèmes IA traitent des données personnelles. Le DPO, expert RGPD, se retrouve en première ligne.

RGPD et AI Act partagent un objectif commun : protéger les droits fondamentaux des personnes. Mais leurs approches diffèrent. Le DPO doit comprendre les deux pour assurer une conformité globale.

Ce guide vous explique le rôle du DPO face à l’AI Act, les synergies entre les deux réglementations, et comment préparer votre DPO — ou vous-même si vous êtes DPO — à cette nouvelle responsabilité.

80% IA utilise données perso

2 réglementations à articuler

227 jours restants

Par Loïc Gros-Flandre

Directeur de Modernee – Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.

🎯 Spécialiste AI Act • 💼 Conseil stratégique IA • ✅ +50 entreprises accompagnées

                📚 Ce que vous allez apprendre
                → Ce que l’AI Act attend du DPO (et ce qu’il n’impose pas)
→ Les synergies entre RGPD et AI Act
→ Comment articuler AIPD et évaluation AI Act
→ Les nouvelles missions du DPO face à l’IA
→ Les compétences à acquérir
→ Le guide pratique pour préparer le DPO
→ Évaluer la maturité de votre DPO face à l’IA

            

Infographie : Le DPO au carrefour du RGPD et de l’AI Act

🔍 L’AI Act et le DPO : Ce Que Dit le Texte

L’AI Act ne mentionne pas explicitement le DPO. Mais il crée des obligations qui recoupent largement ses missions RGPD.

Photo par Campaign Creators sur Unsplash

❌ Ce Que l’AI Act N’Impose PAS

Contrairement au RGPD qui a créé la fonction de DPO, l’AI Act :

❌ Ne crée pas de « Délégué à la Protection IA » obligatoire
❌ Ne désigne pas le DPO comme responsable AI Act
❌ N’étend pas formellement les missions du DPO
❌ Ne prévoit pas de déclaration d’un référent IA aux autorités

✅ Ce Que l’AI Act Impose (et qui concerne le DPO)

En revanche, l’AI Act crée des obligations qui touchent directement le périmètre du DPO :

✅ Article 4 — Formation : « Maîtrise suffisante de l’IA » pour toute personne impliquée
✅ Transparence : Information des personnes sur l’utilisation de l’IA
✅ Documentation : Registre des systèmes IA (analogue au registre RGPD)
✅ Évaluation des risques : Pour les droits fondamentaux (comme l’AIPD)
✅ Gouvernance : Supervision humaine des systèmes à haut risque

« L’AI Act et le RGPD partagent un même objectif : protéger les droits fondamentaux des personnes. Le DPO est naturellement au cœur de cette double conformité. »
— Analyse croisée RGPD/AI Act, CNIL 2024

🔄 Le DPO : Acteur Naturel de la Conformité IA

Sans obligation légale, le DPO devient de facto l’acteur clé pour plusieurs raisons :

🔍 Compétences transférables — Analyse d’impact, documentation, gouvernance
🔍 Position stratégique — Interface entre technique, juridique et métier
🔍 Indépendance — Capacité à alerter la direction
🔍 Réseau — Contact avec la CNIL et autorités de contrôle

🔗 Synergies RGPD / AI Act : Ce Qui Rapproche les Deux

RGPD et AI Act ne sont pas des réglementations isolées. Elles partagent une vision commune et des mécanismes similaires.

Photo par Scott Graham sur Unsplash

📋 Tableau des Synergies

Domaine	RGPD	AI Act	Synergie DPO
Documentation	Registre des traitements	Documentation technique IA	Registre unifié
Évaluation risques	AIPD (Art. 35)	Évaluation conformité	Méthodologie intégrée
Transparence	Information traitements	Transparence IA	Mentions communes
Droits personnes	Accès, rectification, etc.	Explicabilité décisions	Guichet unique
Gouvernance	DPO obligatoire	Supervision humaine	DPO coordonnateur
Contrôle	CNIL	Autorité AI Act (à définir)	CNIL probable

🎯 L’Intersection Clé : IA + Données Personnelles

La grande majorité des systèmes IA traitent des données personnelles :

📊 Données d’entraînement — Souvent issues de données personnelles
📊 Données d’entrée — Informations sur les utilisateurs
📊 Données de sortie — Décisions impactant des personnes
📊 Profilage — Classification automatique d’individus

⚠️ Double Conformité Obligatoire

Un système IA traitant des données personnelles doit être conforme aux deux réglementations. Une violation peut déclencher des sanctions cumulées : RGPD (20M€ / 4% CA) + AI Act (35M€ / 7% CA).

📋 Nouvelles Missions du DPO Face à l’IA

Le périmètre du DPO s’élargit naturellement avec l’AI Act. Voici les missions supplémentaires.

🆕 Missions Directement Liées à l’AI Act

📊 Cartographie des systèmes IA — Inventaire de tous les systèmes IA de l’organisation
📊 Classification des risques — Déterminer si les systèmes sont interdits, haut risque, etc.
📊 Coordination formation Article 4 — S’assurer que les équipes sont formées
📊 Veille réglementaire IA — Suivre les évolutions de l’AI Act et guidelines
📊 Interface avec l’autorité AI Act — Point de contact (si désigné)

🔄 Missions Renforcées (RGPD + AI Act)

🔄 AIPD élargies — Inclure l’évaluation des risques AI Act
🔄 Transparence renforcée — Mentions IA dans les politiques de confidentialité
🔄 Droits des personnes — Gérer les demandes d’explicabilité des décisions IA
🔄 Documentation — Registre unifié traitements + systèmes IA
🔄 Audits — Contrôler la conformité RGPD ET AI Act des systèmes

📈 Compétences à Acquérir

Pour assumer ces nouvelles missions, le DPO doit développer :

🎓 Compréhension technique de l’IA — Fonctionnement des algorithmes, biais, etc.
🎓 Maîtrise de l’AI Act — Classification, obligations, sanctions
🎓 Méthodologie d’évaluation IA — Analyser les risques spécifiques à l’IA
🎓 Gouvernance IA — Structurer la supervision humaine

💡 Formation Article 4 : La Base

L’Article 4 de l’AI Act impose une « maîtrise suffisante de l’IA ». Le DPO, acteur clé, doit impérativement suivre cette formation. C’est le socle de sa légitimité sur les sujets IA.

📊 Articuler AIPD et Évaluation AI Act

L’AIPD (Analyse d’Impact relative à la Protection des Données) et l’évaluation de conformité AI Act peuvent être fusionnées.

📋 Similitudes Méthodologiques

Élément	AIPD (RGPD Art. 35)	Évaluation AI Act
Objectif	Identifier risques sur vie privée	Identifier risques IA
Déclencheur	Traitement à risque élevé	Système haut risque
Contenu	Description, nécessité, risques, mesures	Documentation, tests, conformité
Mise à jour	Révision régulière	Révision continue
Responsable	DPO consulté	Fournisseur/Déployeur

🔄 Méthodologie Intégrée : AIPD + AI Act

Voici comment fusionner les deux évaluations :

Description du Système

Un seul document décrivant le système IA, ses finalités, les données traitées, et son fonctionnement. Couvre les exigences RGPD et AI Act.

Double Classification

Classifier le traitement selon le RGPD (risque élevé = AIPD) ET selon l’AI Act (interdit, haut risque, limité, minimal).

Évaluation des Risques Unifiée

Analyser les risques pour les droits fondamentaux sous les deux angles : vie privée (RGPD) + autres droits (AI Act : non-discrimination, sécurité, etc.).

Mesures d’Atténuation

Définir les mesures techniques et organisationnelles répondant aux deux réglementations. Éviter les doublons.

Documentation Intégrée

Produire un document unique servant de preuve de conformité RGPD ET AI Act. Facilite les contrôles.

🛠️ Guide Pratique : Préparer le DPO à l’AI Act

Voici les étapes pour étendre les missions du DPO à la conformité AI Act.

Photo par Carlos Muza sur Unsplash

Former le DPO à l’AI Act

Formation Article 4 certifiante. Le DPO doit maîtriser la classification des risques, les obligations par catégorie, et les sanctions. Sans cette base, il ne peut pas piloter la conformité IA.

Livrable : Certificat de formation Article 4

Cartographier les Systèmes IA

Inventorier tous les systèmes IA de l’organisation. Pour chacun : finalité, données utilisées, fournisseur, classification AI Act, statut RGPD.

Livrable : Registre des systèmes IA

Identifier les Intersections RGPD/AI Act

Pour chaque système IA : traite-t-il des données personnelles ? Quelle base légale ? Une AIPD est-elle nécessaire ? Le système est-il haut risque AI Act ?

Livrable : Matrice de conformité croisée

Créer le Registre Unifié

Fusionner le registre RGPD et la documentation AI Act. Un seul référentiel pour tous les traitements et systèmes IA.

Livrable : Registre unifié RGPD + AI Act

Définir la Gouvernance IA

Clarifier le rôle du DPO dans la conformité IA : coordonnateur, référent, ou simple consultant ? Formaliser dans une charte.

Livrable : Charte de gouvernance IA

Mettre à Jour les Politiques

Intégrer l’IA dans la politique de confidentialité, les mentions d’information, et les procédures internes (droits des personnes, incidents).

Livrable : Politiques mises à jour

📊 Évaluateur Maturité DPO face à l’IA

Le DPO est-il formé à l’AI Act ?

Les systèmes IA sont-ils cartographiés ?

Le registre RGPD inclut-il les systèmes IA ?

Des AIPD incluent-elles l’évaluation IA ?

🏢 Modèles d’Organisation : DPO, Référent IA, ou les Deux ?

Trois modèles d’organisation sont possibles pour gérer la conformité IA :

📋 Modèle 1 : DPO Étendu

Principe : Le DPO existant prend en charge l’AI Act en plus du RGPD.

✅ Avantages : Vision unifiée, pas de nouveau poste, synergies naturelles
❌ Inconvénients : Charge de travail accrue, compétences techniques à acquérir
🎯 Pour qui : PME, organisations avec peu de systèmes IA

📋 Modèle 2 : Référent IA Dédié

Principe : Un nouveau poste « Responsable IA » ou « AI Officer » est créé, distinct du DPO.

✅ Avantages : Expertise technique dédiée, charge répartie
❌ Inconvénients : Coût, risque de silos, coordination nécessaire avec DPO
🎯 Pour qui : Grandes entreprises, tech companies, portefeuille IA important

📋 Modèle 3 : Profil Hybride DPO-IA

Principe : Recruter ou former un profil maîtrisant les deux domaines.

✅ Avantages : Expertise complète, vision intégrée, efficacité
❌ Inconvénients : Profils rares, salaire élevé
🎯 Pour qui : ETI, scale-ups, entreprises IA-first

⚠️ Quelle Que Soit l’Organisation

DPO et Référent IA doivent collaborer étroitement. Les intersections RGPD/AI Act sont trop nombreuses pour travailler en silos. Prévoyez des réunions régulières et des processus communs.

❓ Questions Fréquentes – DPO et AI Act

Le DPO doit-il gérer l’AI Act ?

Pas obligatoirement, mais c’est fortement recommandé. L’AI Act ne désigne pas le DPO comme responsable, mais les nombreuses intersections avec le RGPD font de lui l’acteur naturel. De nombreuses entreprises étendent son rôle à l’AI Act.

L’AI Act crée-t-il une fonction équivalente au DPO ?

NON. L’AI Act ne prévoit pas de « Délégué à la Protection IA » obligatoire. Cependant, l’Article 4 impose une « maîtrise suffisante de l’IA » pour les personnes impliquées. De facto, beaucoup d’entreprises désignent un référent IA.

Le DPO doit-il se former à l’AI Act ?

OUI, c’est essentiel. L’Article 4 impose une « maîtrise suffisante » pour toute personne impliquée dans l’IA. Le DPO, acteur clé de la conformité, doit comprendre les interactions RGPD/AI Act. Une formation certifiante est recommandée.

Comment articuler AIPD et évaluation AI Act ?

L’AIPD et l’évaluation AI Act peuvent être fusionnées pour les systèmes IA traitant des données personnelles. Une méthodologie unifiée évite les doublons et assure une couverture complète des risques pour les droits fondamentaux.

La CNIL contrôle-t-elle l’AI Act ?

PARTIELLEMENT. La CNIL reste l’autorité pour le RGPD. Pour l’AI Act, une autorité nationale de surveillance sera désignée. La CNIL pourrait avoir un rôle pour les aspects données personnelles. Elle a déjà publié des recommandations sur l’IA.

Quelles sanctions si le DPO néglige l’IA ?

Le DPO n’est pas personnellement sanctionnable. L’entreprise risque : sanctions RGPD (20M€ ou 4% CA) si l’IA viole la protection des données, ET sanctions AI Act (35M€ ou 7% CA). Le cumul est possible.

Faut-il créer un poste de « DPO IA » ?

Pas obligatoirement. Trois modèles : étendre le DPO existant (+ formation), créer un Référent IA distinct, ou recruter un profil hybride. Le choix dépend de la taille de l’organisation et de son exposition à l’IA.

Le registre des traitements doit-il inclure l’IA ?

OUI. Le registre RGPD doit documenter tout traitement de données personnelles, y compris ceux utilisant l’IA. L’AI Act ajoute des exigences de documentation. Un registre unifié RGPD + AI Act est recommandé.

✅ Conclusion : Le DPO, Gardien de la Double Conformité

L’AI Act ne crée pas de fonction dédiée. Mais le DPO est naturellement l’acteur clé de la conformité IA.

                🎯 3 Points à Retenir
                🔗 Synergies RGPD/AI Act — 80% des systèmes IA traitent des données personnelles
🎓 Formation essentielle — Le DPO doit maîtriser l’AI Act (Article 4)
📋 Approche intégrée — Registre unifié, AIPD élargie, gouvernance commune

            

Le DPO qui ignore l’IA prend un risque. Le DPO qui s’y prépare devient indispensable à son organisation.