RGPD et intelligence artificielle : les nouvelles obligations 2026

1. Contexte 2026 : pourquoi le RGPD et l’IA sont indissociables

L’année 2026 marque un tournant. Le règlement sur l’intelligence artificielle (AI Act), adopté en 2024, entre pleinement en vigueur pour les systèmes à haut risque. Parallèlement, le Comité européen de la protection des données (CEPD) a publié en décembre 2025 des lignes directrices spécifiques sur l’articulation entre RGPD et intelligence artificielle. Désormais, tout système IA qui traite des données personnelles doit respecter cumulativement les deux textes.

« L’AI Act ne remplace pas le RGPD : il le complète. En 2026, un algorithme de recrutement ou de credit scoring doit non seulement être non discriminatoire (AI Act), mais aussi permettre à la personne concernée d’exercer son droit à l’explication et à la portabilité des données (RGPD). » — Maître Élise Vernon, IAAvocat.com

Les premières délibérations de la CNIL en 2026 montrent une montée en puissance des contrôles : 40 % des plaintes reçues concernent désormais l’utilisation de l’IA sans base légale claire. Le principe de responsabilité (accountability) est au cœur des nouvelles obligations.

2. Analyse d’impact (AIPD) : le nouveau seuil obligatoire pour toute IA traitant des données personnelles

L’AIPD (Analyse d’Impact relative à la Protection des Données) était déjà obligatoire pour les traitements susceptibles d’engendrer des risques élevés. La nouveauté 2026 : la présomption irréfragable de risque élevé pour tout système IA utilisant des données biométriques, des données de santé, ou procédant à du profilage à grande échelle.

Quels systèmes sont concernés ?

• Systèmes de recommandation utilisant l’historique de navigation et des données de localisation
• Chatbots et assistants vocaux qui enregistrent des conversations
• Outils de recrutement basés sur l’analyse de CV et d’entretiens vidéo
• IA de détection de fraude utilisant des données comportementales

« L’AIPD doit désormais inclure une section spécifique sur les biais algorithmiques et les mesures de fairness. Ne pas réaliser d’AIPD en 2026 expose à une sanction automatique, même en l’absence de plainte. » — Extrait de la délibération CNIL n°2026-012

3. Transparence et information : l’obligation de « explicabilité » des décisions IA

L’article 22 du RGPD (décisions automatisées) est renforcé en 2026. Toute décision produite par une IA ayant un effet juridique ou significatif sur une personne doit être explicable. La personne doit pouvoir comprendre les principaux facteurs ayant conduit à la décision.

Que doit contenir l’information ?

• La logique utilisée (pas nécessairement le code source, mais les catégories de données déterminantes)
• Le poids relatif des variables (ex : « votre demande a été refusée car le score de confiance était inférieur à 0,6, principalement en raison de l’historique de remboursement »)
• La possibilité de demander une intervention humaine

« L’explicabilité n’est pas une option technique, c’est une obligation juridique. À défaut, le traitement est considéré comme non loyal. En 2026, nous assistons aux premières annulations de décisions commerciales basées sur des boîtes noires. » — Maître Élise Vernon

4. Minimisation et anonymisation : les règles strictes pour l’entraînement des modèles

L’un des angles morts du RGPD était l’entraînement des modèles. En 2026, le principe de minimisation s’applique pleinement aux jeux de données d’apprentissage. Vous ne pouvez pas collecter massivement des données « au cas où ».

Les nouvelles exigences :

• Anonymisation fonctionnelle : les données d’entraînement doivent être anonymisées dès que possible. Les techniques de pseudonymisation ne suffisent plus pour les modèles génératifs.
• Durée de conservation limitée : les données brutes doivent être supprimées après l’entraînement, sauf justification documentée.
• Registre des sources : toute donnée utilisée pour l’entraînement doit être tracée (origine, base légale, consentement éventuel).

« La CNIL a sanctionné en janvier 2026 une entreprise de chatbot pour avoir conservé des conversations clients pendant 5 ans afin d’améliorer son modèle, sans information préalable. La base légale invoquée (intérêt légitime) a été rejetée car le traitement n’était pas nécessaire à la fourniture du service. » — Décision CNIL SAN-2026-003

5. Droit d’opposition et profilage : les recours renforcés des personnes

Le profilage par IA (notation, scoring, catégorisation) est particulièrement surveillé. En 2026, le droit d’opposition (article 21) est étendu : la personne peut s’opposer à tout moment à un traitement de profilage, même si l’intérêt légitime est invoqué, sauf motif impérieux démontré par le responsable.

Exemples concrets :

• Opposition au scoring publicitaire basé sur l’analyse des émotions faciales
• Opposition à la catégorisation automatique des clients en segments de risque
• Opposition à l’utilisation d’un modèle prédictif de désabonnement sans intervention humaine

« La charge de la preuve s’inverse : c’est au responsable de traitement de démontrer que son profilage est absolument nécessaire. En pratique, très peu d’entreprises y parviennent. Mieux vaut proposer une alternative non profilée. » — Maître Élise Vernon

6. Responsabilité des plateformes et sous-traitants IA : le nouveau devoir de diligence

L’AI Act impose aux fournisseurs de modèles d’IA générative (comme les API OpenAI, Anthropic, Mistral) de publier un résumé des données d’entraînement. Le RGPD 2026 va plus loin : le sous-traitant IA (le fournisseur du modèle) est co-responsable si le client utilise le modèle pour des décisions automatisées sans pouvoir contrôler les données.

Ce que cela implique :

• Vous devez auditer votre sous-traitant IA (clauses contractuelles types, certifications)
• Le sous-traitant doit garantir que son modèle n’a pas été entraîné avec des données personnelles non autorisées
• En cas de fuite de données via le modèle (ex : mémorisation), la responsabilité peut être conjointe

« Désormais, un contrat avec un fournisseur d’IA doit contenir une annexe détaillant les mesures techniques (differential privacy, filtrage) et une clause de garantie de conformité RGPD. Sans cela, vous êtes en risque de sanction pour manquement à l’obligation de choisir un sous-traitant offrant des garanties suffisantes. »

7. Sanctions 2026 : ce qui change concrètement

Les sanctions administratives pour non-respect du RGPD combiné à l’AI Act peuvent atteindre 30 millions d’euros ou 6 % du chiffre d’affaires annuel mondial pour les infractions les plus graves (traitement illicite, absence d’AIPD). En 2026, la CNIL a déjà prononcé 12 sanctions pour des systèmes IA non conformes, dont une amende de 8 millions d’euros pour un chatbot médical.

Infractions les plus sanctionnées :

• Absence d’information sur le caractère automatisé de la décision
• Non-respect du droit d’opposition au profilage
• Utilisation de données biométriques sans consentement explicite
• Défaut d’AIPD pour un système IA à haut risque

« La jurisprudence 2026 est claire : l’ignorance des règles spécifiques à l’IA n’est plus une excuse. Les DPO doivent se former aux enjeux techniques de l’IA. Les entreprises qui investissent dans la conformité en retirent un avantage concurrentiel. »

8. Checklist de conformité : les 10 actions prioritaires

1. Réaliser une AIPD pour tout système IA traitant des données personnelles (même si le modèle est fourni par un tiers).
2. Mettre à jour la politique de confidentialité avec une section dédiée à l’IA : finalités, logique, droits.
3. Documenter l’explicabilité : préparez des fiches explicatives pour chaque décision automatisée.
4. Auditer les fournisseurs : exigez les garanties contractuelles et techniques.
5. Anonymiser les données d’entraînement ou obtenir un consentement spécifique.
6. Mettre en place un registre des traitements IA distinct.
7. Former les équipes (DPO, juristes, data scientists) aux nouvelles obligations.
8. Intégrer un mécanisme de droit d’opposition simple et effectif.
9. Prévoir une intervention humaine pour les décisions importantes (recrutement, crédit, santé).
10. Contrôler les biais : auditez régulièrement votre modèle pour détecter les discriminations.

« La conformité RGPD-IA n’est pas un projet ponctuel, c’est un processus continu. Les autorités attendent une amélioration constante. Commencez par les actions à fort impact : AIPD et transparence. »