Intelligence artificielle
Contrôles renforcés sur les traitements d'IA combinant risques élevés et données sensibles. Décision automatisée (article 22) et articulation avec l'AI Act.
Mis à jour mars 2026
RGPD 2026-2027 : ce qui change pour les entreprises et les DPO
AI Act, Digital Omnibus, sanctions CNIL record, priorités de contrôle : tout ce que vous devez savoir pour rester conforme en 2026-2027.
La conformité RGPD entre dans une nouvelle phase. Entre le programme du CEPD 2026-2027, l'entrée en application complète de l'AI Act en août 2026, la proposition de simplification du registre pour les PME, et les sanctions record de la CNIL (487 millions d'euros en 2025), le paysage réglementaire évolue à grande vitesse.
Le programme CEPD 2026-2027 : quatre piliers pour simplifier la conformité
Le Comité européen de la protection des données (CEPD) a adopté début 2026 son programme de travail. Pour la première fois, le mot « simplification » figure en tête des priorités.
Pilier 1 — Harmonisation et conformité facilitée
Le CEPD va publier des lignes directrices sur le consentement, l'anonymisation, les données des mineurs et l'intérêt légitime. Des modèles standardisés gratuits seront publiés courant 2026 : modèle d'analyse de l'intérêt légitime (LIA), registre des traitements type, politique de confidentialité modulaire, formulaire harmonisé de notification de violation, et modèle d'AIPD simplifié.
Pilier 2 — Coopération renforcée entre autorités
Le mécanisme de guichet unique sera accéléré pour le traitement des plaintes transfrontalières. Décisions plus rapides, mais aussi sanctions plus vite prononcées.
Pilier 3 — Encadrement des nouvelles technologies
IA, biométrie, technologies immersives : le CEPD va publier des lignes directrices sur l'articulation RGPD / AI Act.
Pilier 4 — Dialogue mondial
Réévaluation des décisions d'adéquation (dont le Data Privacy Framework UE-USA) et négociations de nouveaux accords.
La proposition « Digital Omnibus » : le registre simplifié pour les PME
La Commission européenne a proposé une modification ciblée de l'article 30 du RGPD. Le seuil d'exemption du registre des traitements passerait de 250 à 750 salariés.
La proposition n'est pas encore adoptée — le processus législatif prendra probablement jusqu'à fin 2026 ou début 2027. Et même si elle est votée, le registre restera fortement recommandé. C'est comme supprimer l'extincteur parce que le code du bâtiment a changé — le risque d'incendie reste le même.
L'AI Act entre en application : le 2 août 2026
Le règlement européen sur l'IA applique ses obligations progressivement. Le 2 août 2026 marque l'entrée en application complète pour les systèmes d'IA à haut risque.
| Date | Obligation |
|---|---|
| Février 2025 | Interdiction des systèmes IA à risque inacceptable (notation sociale, manipulation subliminale) |
| Août 2025 | Obligations pour les modèles GPAI : transparence, documentation technique |
| 2 août 2026 | Application complète pour les systèmes IA à haut risque : marquage CE, évaluation de conformité, gouvernance des données |
| Août 2027 | Application aux systèmes IA intégrés dans des produits déjà réglementés |
La double conformité RGPD + AI Act
Quand un système d'IA traite des données personnelles, les deux règlements s'appliquent simultanément. Une AIPD devra intégrer les exigences des deux cadres. Les DPO verront leur périmètre s'élargir considérablement.
L'AI Act prévoit des sanctions significatives : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les systèmes d'IA interdits.
Sanctions CNIL 2025-2026 : une tendance au durcissement
L'année 2025 a marqué un tournant avec un montant total de 487 millions d'euros pour 83 décisions.
Les deux sanctions les plus lourdes visaient Google (325 M€) et Shein (150 M€) pour non-respect de la réglementation sur les cookies. Hors géants, le montant cumulé pour les 81 autres sanctions s'élève à 11,8 M€ — en hausse constante.
Début 2026 : Free Mobile et Free (42 M€) pour des failles de sécurité, et France Travail (5 M€) pour manquement à la sécurité des données des demandeurs d'emploi. Les PME ne sont pas épargnées.
Priorités de contrôle CNIL 2026
Dans le cadre de son plan stratégique 2025-2028, quatre axes prioritaires :
Protection des mineurs
Vérification de l'âge, collecte de données par les réseaux sociaux et jeux en ligne, conformité des établissements scolaires et edtech.
Cybersécurité
Mesures de sécurité techniques et organisationnelles, sanctions systématiques en cas de manquements flagrants. Sous-traitants dans le viseur.
Usages numériques
Applications mobiles, collecte excessive par les SDK tiers, respect du consentement dans les écosystèmes mobiles.
Action coordonnée européenne (CEF) 2026 : la transparence
Le CEPD a lancé son action coordonnée 2026 avec 25 autorités européennes. Thème : les obligations de transparence (articles 12 à 14). Les politiques de confidentialité incompréhensibles sont dans le collimateur.
Checklist : préparer votre organisation pour 2026-2027
Actions immédiates
1. Auditez vos systèmes d'IA — Identifiez tous les outils IA (y compris les SaaS avec IA embarquée) et classez-les selon le niveau de risque AI Act.
2. Vérifiez votre politique de confidentialité — L'action CEF 2026 porte sur la transparence. Mentions claires, complètes et à jour.
3. Mettez à jour votre registre des traitements — Même si la simplification est en cours, un registre à jour reste votre meilleur argument en cas de contrôle.
Avant août 2026
4. Réalisez les AIPD manquantes — Particulièrement pour les traitements impliquant de l'IA à haut risque.
5. Formez vos équipes — L'AI Act inclut une obligation de compétence IA (article 4).
6. Revoyez vos contrats sous-traitants — Clauses de sécurité renforcées, surtout pour les hébergeurs de données sensibles.
Actions continues
7. Suivez les publications du CEPD — Nouvelles lignes directrices sur l'anonymisation, le consentement et l'intérêt légitime.
8. Documentez, documentez, documentez — Le principe d'accountability : pouvoir démontrer vos efforts de conformité.
9. Outillez-vous — Un logiciel RGPD comme Dativo centralise registre, AIPD, droits et documentation.
Ce qui ne change pas (et c'est important)
Les six principes fondamentaux du RGPD restent inchangés. Les droits des personnes ne sont pas modifiés. L'obligation de notification (72 heures) reste identique. Le rôle du DPO est même renforcé par l'articulation avec l'AI Act.
La conformité RGPD n'est pas un projet ponctuel, c'est un processus continu. Les entreprises qui l'ont compris traversent les évolutions réglementaires sans stress.
Questions fréquentes — RGPD 2026-2027
Les changements majeurs sont l'entrée en application de l'AI Act pour les systèmes à haut risque (2 août 2026), la proposition Digital Omnibus de simplification du registre pour les PME de moins de 750 salariés, le programme CEPD 2026-2027, l'action coordonnée européenne sur la transparence (CEF 2026), et le renforcement des contrôles CNIL sur l'IA, les mineurs et la cybersécurité.
Oui, à ce jour le registre reste obligatoire pour toutes les entreprises. La proposition Digital Omnibus prévoit de relever le seuil d'exemption de 250 à 750 salariés, mais le texte n'est pas encore adopté. Le registre restera fortement recommandé comme outil de pilotage et preuve d'accountability.
Lorsqu'un système d'IA traite des données personnelles, les deux règlements s'appliquent simultanément. Il faut réaliser une AIPD intégrant les deux cadres, documenter le fonctionnement du système, mettre en place une supervision humaine et former les équipes. Le DPO est le profil naturel pour coordonner cette double conformité.
Les sanctions RGPD restent plafonnées à 20 millions d'euros ou 4 % du CA mondial. L'AI Act ajoute un barème pouvant atteindre 35 millions d'euros ou 7 % du CA. En 2025, la CNIL a prononcé 83 sanctions pour 487 millions d'euros. Début 2026, Free (42M€) et France Travail (5M€) ont déjà été sanctionnés.
Le plan stratégique CNIL 2025-2028 définit quatre axes prioritaires : l'intelligence artificielle, la protection des mineurs, la cybersécurité (mesures de sécurité des sous-traitants), et les usages du quotidien numérique (applications mobiles, SDK tiers, consentement).
L'application est progressive : interdictions IA à risque inacceptable depuis février 2025, obligations GPAI depuis août 2025, obligations complètes pour les systèmes à haut risque le 2 août 2026, et obligations pour les systèmes IA intégrés dans des produits réglementés en août 2027.
Anticipez les changements RGPD avec les bons outils
AI Act, nouvelles obligations, contrôles renforcés : soyez prêt. Dativo centralise votre registre, vos AIPD et vos demandes de droits en un seul outil.
Essayer gratuitement