Le cadre réglementaire autour de l'IA en entreprise s'est considérablement durci depuis 2024. Entre l'EU AI Act entré en vigueur, NIS2 transposée en droit français, et un RGPD que la CNIL applique désormais avec vigueur aux outils IA, les DSI et DPO font face à un labyrinthe normatif aux conséquences financières très concrètes. Voici la checklist complète pour savoir où vous en êtes — et ce qu'il faut corriger.
1. Les obligations RGPD spécifiques aux outils IA
Le RGPD ne mentionne pas explicitement l'intelligence artificielle, mais ses principes s'appliquent intégralement. La CNIL a publié en 2024 ses lignes directrices sur l'IA, qui clarifient plusieurs points cruciaux.
Base légale du traitement
Tout traitement de données personnelles par un outil IA nécessite une base légale. Pour les outils IA d'entreprise, les bases les plus courantes sont :
- L'intérêt légitime (Art. 6.1.f) : applicable si le traitement est proportionné et n'empiète pas sur les droits des personnes
- L'exécution d'un contrat (Art. 6.1.b) : si l'IA traite des données nécessaires à l'exécution d'un contrat
- Le consentement (Art. 6.1.a) : difficile à mettre en œuvre en contexte professionnel
Si votre outil IA prend des décisions automatisées ayant un impact significatif sur des personnes (scoring RH, évaluation clients), l'article 22 du RGPD impose le droit à l'intervention humaine, à l'explication et à la contestation.
Analyse d'impact (DPIA)
Une DPIA est obligatoire si votre outil IA :
- Effectue une évaluation systématique de personnes physiques
- Traite à grande échelle des données sensibles (santé, opinions politiques, données biométriques)
- Surveille systématiquement des personnes dans des espaces accessibles au public
Droit des personnes concernées
Votre outil IA doit permettre l'exercice de tous les droits RGPD : accès, rectification, effacement, portabilité, limitation, opposition. Concrètement :
- Pouvoir supprimer les données d'une personne de l'historique d'entraînement
- Fournir une explication intelligible des décisions automatisées
- Garantir la portabilité des données vers un autre système
- ☐ Base légale identifiée et documentée pour chaque traitement IA
- ☐ DPIA réalisée si traitement à risque élevé
- ☐ Registre des traitements mis à jour avec les nouveaux outils IA
- ☐ DPA signé avec chaque fournisseur IA (sous-traitant)
- ☐ Procédure d'exercice des droits (accès, suppression, portabilité)
- ☐ Politique de conservation des données définie
- ☐ Procédure de notification CNIL en 72h en cas de violation
- ☐ Information des salariés sur l'utilisation d'outils IA
2. NIS2 : les nouvelles obligations pour les DSI
La directive NIS2, transposée en France en 2024, impose aux entités essentielles et importantes (EE/EI) des obligations de cybersécurité renforcées. Elle concerne désormais ~15 000 entités françaises (contre 300 sous NIS1). Si votre organisation opère dans les secteurs énergie, transport, santé, finance, eau, numérique, espace ou infrastructures critiques — vous êtes concerné.
Ce que NIS2 impose pour vos outils IA
- Gestion des risques de la chaîne d'approvisionnement : vous devez auditer vos fournisseurs IA comme s'ils faisaient partie de votre SI critique
- Mesures de sécurité proportionnées : chiffrement des données, contrôle d'accès, journalisation
- Plan de continuité : que se passe-t-il si votre fournisseur IA est indisponible ou compromis ?
- Déclaration d'incidents : tout incident significatif touchant votre outil IA doit être déclaré à l'ANSSI
NIS2 introduit la responsabilité personnelle des organes de direction. En cas de non-conformité grave, les dirigeants peuvent être tenus personnellement responsables et se voir interdire temporairement d'exercer des fonctions de direction.
- ☐ Identification si votre organisation est EE ou EI
- ☐ Cartographie des outils IA utilisés dans le SI critique
- ☐ Audit de sécurité des fournisseurs IA (questionnaire, certifications)
- ☐ SLA et engagements de continuité de service documentés
- ☐ Plan de réponse aux incidents incluant les outils IA
- ☐ Formation des équipes à la gestion des risques IA
- ☐ Déclaration ANSSI si entité concernée
3. EU AI Act : ce qui change dès 2026
L'EU AI Act est entré en application progressive depuis août 2024. Pour les entreprises utilisant l'IA :
Les IA à haut risque
Si votre IA est utilisée dans des décisions RH, l'accès au crédit, les services essentiels ou l'éducation, elle est classée à haut risque et soumise à des obligations strictes : documentation technique, enregistrement dans une base européenne, tests de robustesse, conformité aux normes harmonisées.
La transparence obligatoire
Tout système IA interagissant avec des humains doit clairement indiquer sa nature artificielle. Les deepfakes et contenus synthétiques doivent être marqués comme tels.
Pourquoi l'IA souveraine simplifie drastiquement la conformité
La conformité RGPD/NIS2/EU AI Act avec des outils IA publics exige un travail juridique et technique considérable — souvent sous-estimé. Avec une IA souveraine hébergée en France, plusieurs contraintes disparaissent naturellement :
- Pas de transfert hors UE → Article 44-49 RGPD non applicable
- Infrastructure auditable → NIS2 chaîne d'approvisionnement simplifiée
- SLA contractuel opposable → Continuité de service garantie
- Données jamais réutilisées pour entraînement tiers → Pas de risque de fuite par réentraînement
Votre conformité IA, clé en main
Intelligence Privée fournit la documentation DPA, DPIA-type et les attestations de conformité nécessaires à votre DPO.
Demander un audit de conformité →