L'AI Act remplace-t-il le RGPD pour l'information des personnes ?

Non. L'AI Act s'AJOUTE au RGPD, il ne le remplace pas. Vous devez respecter les deux réglementations simultanément. C'est une double couche de transparence : le RGPD régit les données personnelles, l'AI Act régit le fonctionnement du système IA lui-même.

Quelles informations dois-je fournir selon l'AI Act ?

Selon le niveau de risque : pour les systèmes à risque limité (chatbots), informer qu'il s'agit d'une IA. Pour les systèmes haut risque : identité du fournisseur, usage prévu, limitations, niveau de précision, mesures de surveillance humaine, instructions d'utilisation.

Qui doit informer les personnes : le fournisseur ou le déployeur ?

Les deux ont des obligations distinctes. Le fournisseur doit fournir la documentation technique et les instructions au déployeur. Le déployeur doit informer les utilisateurs finaux de l'utilisation d'un système IA et de son impact sur eux.

Quelle différence entre RGPD Article 22 et AI Act ?

Le RGPD Article 22 concerne le droit de ne pas faire l'objet d'une décision automatisée. L'AI Act va plus loin : il impose d'informer sur le fonctionnement du système, ses limites, sa précision, même quand aucune décision automatisée n'est prise.

Dois-je informer si mon système est à risque minimal ?

L'AI Act n'impose pas d'obligation d'information spécifique pour les systèmes à risque minimal. Cependant, le RGPD s'applique toujours si des données personnelles sont traitées. Une transparence volontaire est recommandée.

Comment prouver que j'ai bien informé les personnes ?

Conservez des preuves horodatées : captures d'écran des messages, logs des informations affichées, accusés de réception pour les communications importantes. Pour les systèmes haut risque, conservation recommandée de 10 ans.

information personnes - formation-ia-act

🚨 Ce Que Beaucoup Ignorent

L'AI Act NE REMPLACE PAS le RGPD.

Il s'y AJOUTE. Vous devez gérer une double couche de transparence.

Beaucoup d'entreprises pensent que l'AI Act va simplifier leurs obligations d'information en remplaçant le RGPD. C'est faux.

L'AI Act crée une couche supplémentaire d'obligations de transparence qui s'empile sur le RGPD. Le RGPD régit les données personnelles. L'AI Act régit le fonctionnement du système IA lui-même.

Ce guide détaille comment gérer cette double couche, les 3 niveaux d'information selon le risque, et qui doit informer qui.

227 jours restants

2 Couches de transparence

15M€ Sanction max (défaut info)

Loïc Gros-Flandre - Expert Information Personnes IA

Par Loïc Gros-Flandre

Directeur de Modernee - Agence IA. Expertise en conformité réglementaire RGPD et AI Act, spécialiste de la transparence algorithmique.

📋 Spécialiste Transparence IA • 🎯 Expert AI Act • ✅ +50 entreprises accompagnées

                📋 Ce que vous allez maîtriser
                → La double couche RGPD + AI Act
→ Les 3 niveaux d'information selon le risque
→ Qui informe qui : fournisseur vs déployeur
→ Le contenu spécifique de l'information AI Act
→ 3 cas pratiques : chatbot, RH, crédit
→ Simulateur : vos obligations d'information

            

Infographie : La double couche de transparence RGPD + AI Act

📘 RGPD vs AI Act : Comprendre la Double Couche

L'erreur la plus fréquente est de penser que l'AI Act "modernise" ou "remplace" le RGPD. C'est faux.

📋 Ce Que Régit Chaque Texte

Aspect	RGPD	AI Act
Objet	Les données personnelles	Le système IA lui-même
Question posée	"Quelles données utilisez-vous ?"	"Comment fonctionne votre IA ?"
Information principale	Finalité, base légale, durée, droits	Usage prévu, limites, précision, surveillance
Décision automatisée	Droit de s'y opposer (Art. 22)	Obligation de l'expliquer et la documenter

"Le RGPD vous dit ce que vous faites avec les données. L'AI Act vous dit comment votre système prend ses décisions. Les deux sont nécessaires pour une transparence complète."
— CNIL, Lignes directrices IA et RGPD, 2024

⚠️ Conséquence Pratique

Pour un système IA traitant des données personnelles, vous devez fournir :

1️⃣ L'information RGPD (données, droits, finalité)
2️⃣ L'information AI Act (fonctionnement, limites, précision)

📊 Les 3 Niveaux d'Information AI Act

L'AI Act ne traite pas tous les systèmes IA de la même façon. Les obligations d'information varient selon le niveau de risque.

🟢 Niveau 1 : Risque Minimal

Pour les systèmes à risque minimal (filtres anti-spam, recommandations produits...), l'AI Act n'impose pas d'obligation d'information spécifique.

💡 Recommandation

Même sans obligation AI Act, le RGPD s'applique si vous traitez des données personnelles. Une transparence volontaire renforce la confiance.

🟡 Niveau 2 : Risque Limité (Article 50)

Les systèmes à risque limité ont des obligations de transparence spécifiques :

💬 Chatbots — Informer que c'est une IA AVANT l'interaction
🎭 Deepfakes — Mentionner que le contenu est généré/manipulé
🖼️ IA générative — Marquage des contenus (watermarking)
😢 Détection d'émotions — Informer les personnes concernées

🔴 Niveau 3 : Haut Risque (Article 13)

Pour les systèmes haut risque, l'information est exhaustive. Le déployeur doit avoir accès à :

📛 Identification — Nom du système, version, fournisseur
🎯 Usage prévu — Ce que le système est censé faire
⚠️ Limitations — Ce que le système ne peut PAS faire
📊 Niveau de précision — Métriques de performance
👁️ Surveillance humaine — Mesures de contrôle prévues
🔧 Maintenance — Mises à jour, durée de support

📋 Testez Vos Obligations d'Information

Évaluez si votre information est conforme RGPD + AI Act

👥 Qui Informe Qui ?

L'AI Act distingue les obligations du fournisseur et du déployeur.

🏭 Le Fournisseur Informe le Déployeur

Le fournisseur (celui qui développe ou met sur le marché le système IA) doit fournir au déployeur :

📚 Documentation technique — Spécifications complètes
📋 Instructions d'utilisation — Mode d'emploi détaillé
⚠️ Limitations connues — Ce que le système ne sait pas faire
📊 Métriques de performance — Précision, rappel, biais identifiés
👁️ Mesures de surveillance — Comment superviser le système

🏢 Le Déployeur Informe l'Utilisateur Final

Le déployeur (celui qui utilise le système IA dans son activité) doit informer les personnes concernées :

🤖 Qu'un système IA est utilisé — Nature automatisée
🎯 Pour quel usage — Finalité du traitement
⚖️ Quel impact — Conséquences pour la personne
👤 Contact humain — Comment obtenir une intervention humaine

📋 Cas des Personnes Vulnérables

Pour les publics vulnérables (seniors, handicap, précarité), l'information doit être adaptée : langage simple, formats accessibles, temps de réflexion.

🔬 3 Cas Pratiques d'Information

📌 Cas 1 : Chatbot Service Client

Contexte : Une banque déploie un chatbot IA pour répondre aux questions des clients.

Obligations RGPD :

📋 Information sur le traitement (finalité, durée, droits)
🔒 Base légale du traitement des données de la conversation

Obligations AI Act :

💬 Message clair : "Vous discutez avec un assistant IA"
👤 Option visible : "Parler à un conseiller humain"

✅ Formulation Conforme

"Bonjour ! Je suis l'assistant virtuel de [Banque]. Je suis une intelligence artificielle. Tapez 'conseiller' à tout moment pour parler à un humain."

📌 Cas 2 : Système de Tri de CV

Contexte : Une entreprise utilise l'IA pour pré-sélectionner les candidatures.

Obligations RGPD :

📋 Information dans l'offre d'emploi
⚖️ Mention du traitement automatisé (Article 22)
🔍 Droit d'obtenir une intervention humaine

Obligations AI Act (haut risque) :

🤖 Informer que l'IA intervient dans la sélection
📊 Expliquer les critères utilisés (si demandé)
👤 Garantir une décision finale humaine

⚠️ Point d'Attention

Pour les sanctions liées au défaut d'information, le cumul RGPD + AI Act peut aggraver les amendes.

📌 Cas 3 : Scoring Crédit

Contexte : Une fintech utilise l'IA pour calculer le score de crédit des demandeurs.

Double obligation :

RGPD	AI Act
Finalité : évaluation solvabilité	Usage prévu du système
Données utilisées (revenus, historique)	Variables d'entrée du modèle
Droit à l'explication (Art. 22)	Documentation des limites
Droits d'accès et rectification	Niveau de précision du score

🛡️ Guide : Mettre en Place l'Information

📋 7 Étapes pour une Information Conforme

Cartographier les Systèmes IA

Identifiez tous vos systèmes IA et leur niveau de risque. Pour chacun, déterminez si des données personnelles sont traitées (RGPD) et le niveau de risque AI Act.

Auditer l'Information RGPD Existante

Vérifiez que vos mentions d'information RGPD sont à jour et conformes. Elles constituent la base sur laquelle s'ajoute l'AI Act.

Définir le Contenu AI Act

Pour chaque système, préparez les informations AI Act spécifiques : usage prévu, limites, précision, surveillance humaine.

Clarifier les Rôles Fournisseur/Déployeur

Vérifiez vos contrats : qui doit fournir quelle information ? Assurez-vous que le fournisseur vous a transmis la documentation requise.

Rédiger les Mentions d'Information

Rédigez des messages clairs, compréhensibles, adaptés à votre public. Testez-les auprès d'utilisateurs réels.

Implémenter les Points de Contact

Identifiez les moments où l'information doit être délivrée : AVANT l'interaction, PENDANT si nécessaire, et comment accéder à plus de détails.

Documenter et Conserver les Preuves

Gardez trace de toutes les informations fournies : captures d'écran, logs, accusés de réception. Conservation 10 ans pour haut risque.

📋 Simulateur Obligations d'Information

Votre système traite-t-il des données personnelles ?

Niveau de risque AI Act

Votre rôle

Le système interagit-il directement avec des personnes ?

❓ Questions Fréquentes - Information Personnes

L'AI Act remplace-t-il le RGPD ?

Non. L'AI Act s'AJOUTE au RGPD.

RGPD = données. AI Act = fonctionnement IA. Les deux s'appliquent.

Mon chatbot doit-il indiquer qu'il est une IA ?

Oui. Article 50(1) : informer AVANT l'interaction.

Sauf si c'est "évident dans le contexte".

Qui informe les utilisateurs finaux ?

Le déployeur informe les utilisateurs finaux.

Le fournisseur informe le déployeur (documentation).

Quand dois-je fournir l'information ?

AVANT que la personne interagisse ou soit affectée.

Chatbot : message d'accueil. RH : offre d'emploi.

Quelle différence entre Article 22 RGPD et AI Act ?

Article 22 = droit de ne pas subir de décision automatisée.

AI Act = obligation d'expliquer le fonctionnement, même sans décision.

Les vulnérables nécessitent-ils une info spécifique ?

Oui. Langage simple, formats accessibles, recours humain.

Attention particulière aux seniors, handicap, précarité.

Quelles sanctions pour défaut d'information ?

Jusqu'à 15M€ ou 3% CA (risque limité et haut).

Le défaut d'info peut aggraver d'autres sanctions.

Dois-je informer si risque minimal ?

Pas d'obligation AI Act spécifique.

Mais le RGPD s'applique si données personnelles.

Comment prouver que j'ai informé ?

Conservez des preuves horodatées : captures, logs, accusés.

Haut risque : conservation 10 ans recommandée.

Quel format pour l'information ?

Clair, compréhensible, accessible.

Adapté au public (professionnel vs grand public).

🎯 Conclusion : Double Couche, Double Effort

L'information des personnes sous l'AI Act ne remplace pas le RGPD. Elle s'y ajoute. C'est une double couche de transparence qui nécessite un double effort.

Le bon côté : si vous êtes déjà conformes RGPD, vous avez une base solide. Il "suffit" d'ajouter les éléments spécifiques AI Act.

"La transparence n'est plus un bonus. C'est le socle de la confiance numérique. RGPD + AI Act = le nouveau standard européen."
— Marie-Laure Denis, Présidente de la CNIL

1️⃣ Auditez vos informations RGPD — C'est la base
2️⃣ Ajoutez la couche AI Act — Fonctionnement, limites, précision
3️⃣ Documentez et conservez — Preuves horodatées

L'échéance d'août 2025 approche. Vos informations doivent être conformes.