Aileway

👤 Mon compte

Aileway Services
Accueil / Ressources documentaires / Impact du RGPD et de l’AI Act en entreprise
715 d Impact du RGPD et de l'IA Act sur l'entreprise

Impact du RGPD et de l’AI Act en entreprise

Ce document liste les différents articles du RGPD et de l'IA Act qui ont un impact direct sur l'entreprise. Pour chaque article, ces impacts sont détaillés et les sanctions en cas d'infractions sont indiquées.

PARTIE 1 — RGPD (Règlement (UE) 2016/679)

Article 4 — Définitions

Impact sur les pratiques et le travail dans l’entreprise

Cet article définit notamment :

  • donnée à caractère personnel

  • traitement

  • responsable de traitement

  • sous-traitant

👉 Impact direct :

  • Toute information permettant d’identifier directement ou indirectement une personne (client, salarié, prospect, fournisseur) entre dans le champ du RGPD.

  • Toute utilisation d’un outil (CRM, messagerie, logiciel RH, IA en ligne, cloud) constitue un traitement.

  • Le dirigeant est responsable de traitement dès lors qu’il décide des finalités et moyens.

En pratique :

  • L’usage d’une IA en ligne avec des données clients ou salariés = traitement RGPD.

  • L’ignorance ou l’absence d’intention ne protège pas juridiquement.

Sanctions en cas d’infraction

  • Amendes administratives jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial

  • Mise en demeure et contrôles renforcés par l’autorité de contrôle (CNIL en France)

Article 5 — Principes relatifs au traitement des données

Impact sur les pratiques et le travail dans l’entreprise

Les principes fondamentaux imposent que les données soient :

  • licites, loyales et transparentes

  • collectées pour des finalités déterminées

  • minimisées

  • exactes

  • conservées pour une durée limitée

  • sécurisées

👉 Impact concret :

  • Interdiction de “garder au cas où”

  • Obligation de définir une durée de conservation

  • Interdiction d’utiliser des données pour un autre usage sans base légale

  • Obligation de sécuriser les accès (mots de passe, droits, chiffrement)

Exemple IA :

  • Injecter un fichier client dans une IA sans nécessité métier = violation du principe de minimisation.

Sanctions en cas d’infraction

  • Amendes jusqu’à 20 millions d’euros ou 4 % du CA

  • Sanctions souvent fondées sur cet article en pratique (article central du RGPD)

Article 6 — Licéité du traitement

Impact sur les pratiques et le travail dans l’entreprise

Tout traitement doit reposer sur une base légale :

  • obligation légale

  • contrat

  • intérêt légitime

  • consentement

👉 Impact concret :

  • Chaque outil ou traitement doit pouvoir être justifié juridiquement

  • Le consentement doit être libre, éclairé et révocable

  • L’argument “outil pratique” ou “outil IA performant” est juridiquement insuffisant

Sanctions en cas d’infraction

  • Amendes jusqu’à 20 millions d’euros ou 4 % du CA

  • Nullité du traitement et interdiction de poursuite

Article 9 — Données sensibles

Impact sur les pratiques et le travail dans l’entreprise

Sont notamment concernées :

  • données de santé

  • données biométriques

  • opinions politiques

  • données syndicales

👉 Impact concret :

  • Utilisation d’IA ou d’outils RH analysant des données de santé ou comportementales = risque majeur

  • Interdiction par principe, sauf exceptions strictes

Sanctions en cas d’infraction

  • Sanctions maximales

  • Risque pénal indirect (atteinte à la vie privée)

Article 13 & 14 — Information des personnes

Impact sur les pratiques et le travail dans l’entreprise

L’entreprise doit informer clairement :

  • pourquoi les données sont collectées

  • combien de temps elles sont conservées

  • quels sont les droits des personnes

👉 Impact concret :

  • Mentions obligatoires dans les formulaires, contrats, sites web

  • Obligation d’information même en cas d’usage d’IA

  • Interdiction des politiques de confidentialité floues ou génériques

Sanctions en cas d’infraction

  • Amendes administratives

  • Mise en demeure avec obligation de correction sous délai

Article 15 à 22 — Droits des personnes

Impact sur les pratiques et le travail dans l’entreprise

Droits clés :

  • accès

  • rectification

  • effacement

  • opposition

  • limitation

  • portabilité

👉 Impact concret :

  • Obligation de répondre sous 1 mois

  • Obligation de supprimer réellement les données (y compris dans certains systèmes IA)

  • Nécessité de procédures internes claires

Sanctions en cas d’infraction

  • Amendes

  • Condamnations civiles possibles (préjudice moral)

Article 24 — Responsabilité du responsable de traitement

Impact sur les pratiques et le travail dans l’entreprise

Le dirigeant doit :

  • mettre en œuvre des mesures techniques et organisationnelles

  • être capable de prouver la conformité

👉 Impact concret :

  • Documentation obligatoire

  • Politiques internes

  • Traçabilité des décisions IA

Sanctions en cas d’infraction

  • Amendes

  • Responsabilité directe du dirigeant

Article 28 — Sous-traitants

Impact sur les pratiques et le travail dans l’entreprise

Tout prestataire (cloud, IA, SaaS) doit :

  • offrir des garanties suffisantes

  • être encadré par un contrat RGPD

👉 Impact concret :

  • Vérification obligatoire des fournisseurs IA

  • Interdiction d’utiliser un outil non conforme “à l’essai”

Sanctions en cas d’infraction

  • Responsabilité conjointe

  • Amendes administratives

Article 32 — Sécurité du traitement

Impact sur les pratiques et le travail dans l’entreprise

Obligation de :

  • sécuriser les données

  • limiter les accès

  • prévenir les fuites

👉 Impact concret :

  • Interdiction du partage libre de fichiers sensibles

  • Sécurisation des outils IA et collaboratifs

  • Politique de mots de passe et accès différenciés

Sanctions en cas d’infraction

  • Amendes

  • Aggravation des sanctions en cas de violation de données

Article 33 & 34 — Violations de données

Impact sur les pratiques et le travail dans l’entreprise

  • Obligation de notifier la CNIL sous 72 heures

  • Obligation d’informer les personnes concernées si risque élevé

👉 Impact concret :

  • Procédure d’alerte obligatoire

  • Gestion de crise structurée

Sanctions en cas d’infraction

  • Amendes

  • Atteinte réputationnelle majeure

PARTIE 2 — AI Act (Règlement européen sur l’intelligence artificielle)

Article 3 — Définitions

Impact sur les pratiques et le travail dans l’entreprise

Définit :

  • système d’IA

  • fournisseur

  • déployeur

👉 Impact concret :

  • Une entreprise utilisant une IA est souvent déployeur, même si elle n’est pas conceptrice

  • Responsabilité juridique dès l’usage professionnel

Sanctions en cas d’infraction

  • Applicabilité des régimes de sanctions de l’AI Act

Article 5 — Pratiques interdites

Impact sur les pratiques et le travail dans l’entreprise

Sont interdites notamment :

  • IA manipulant les comportements

  • IA exploitant la vulnérabilité de personnes

  • notation sociale

👉 Impact concret :

  • Interdiction de certaines IA RH, marketing ou de surveillance

  • Obligation de vérifier les fonctionnalités des outils utilisés

Sanctions en cas d’infraction

  • Jusqu’à 35 millions d’euros ou 7 % du CA mondial

Article 6 à 15 — Systèmes d’IA à haut risque

Impact sur les pratiques et le travail dans l’entreprise

IA concernées :

  • recrutement

  • gestion RH

  • notation des personnes

  • décisions juridiques ou financières

👉 Impact concret :

  • Évaluation préalable obligatoire

  • Documentation, traçabilité, contrôle humain

  • Interdiction de décisions entièrement automatisées sans supervision

Sanctions en cas d’infraction

  • Jusqu’à 15 millions d’euros ou 3 % du CA

Article 26 — Obligations du déployeur

Impact sur les pratiques et le travail dans l’entreprise

Le déployeur doit :

  • utiliser l’IA conformément à sa finalité

  • former les utilisateurs

  • assurer une supervision humaine

👉 Impact concret :

  • Formation obligatoire des salariés utilisant l’IA

  • Procédures internes documentées

Sanctions en cas d’infraction

  • Amendes administratives

  • Suspension de l’usage de l’IA

Article 50 — Obligations de transparence

Impact sur les pratiques et le travail dans l’entreprise

Obligation d’informer lorsqu’une IA est utilisée :

  • IA conversationnelle

  • génération de contenus

👉 Impact concret :

  • Mention obligatoire “contenu généré par IA”

  • Transparence vis-à-vis des clients et partenaires

Sanctions en cas d’infraction

  • Amendes

  • Interdiction temporaire d’exploitation

Article 99 à 101 — Sanctions

Impact sur les pratiques et le travail dans l’entreprise

L’AI Act instaure :

  • un régime de sanctions progressif

  • des contrôles nationaux

👉 Impact concret :

  • Alignement stratégique nécessaire

  • L’IA devient un risque juridique structurant, au même titre que la cybersécurité

Sanctions en cas d’infraction

  • Jusqu’à 35 millions d’euros ou 7 % du CA mondial

  • Interdiction de mise sur le marché ou d’usage

Conclusion opérationnelle

Pour un chef d’entreprise :

  • Le RGPD encadre les données

  • L’AI Act encadre les usages et décisions automatisées

  • L’IA ne réduit pas la responsabilité humaine : elle l’augmente

👉 L’absence de gouvernance IA et données est désormais un risque juridique majeur.