Philippe Salaün, président de l’AFCDP (Association Française des Correspondants à la Protection des Données)
1. Le report de certaines obligations de l’AI Act à 2027-2028 constitue-t-il une respiration nécessaire pour les organisations, ou un risque de relâchement en matière de protection des données ?
Pour les organisations, ce report peut constituer un véritable ballon d’oxygène, en leur permettant d’intégrer ces nouvelles exigences de manière structurée et d’investir de façon plus ciblée dans la conformité des systèmes d’IA. Les PME, en particulier, pourraient bénéficier de simplifications, notamment sur le plan documentaire. Mais ce répit ne doit en aucun cas être interprété comme un droit à l’inaction : ne pas engager de démarche de conformité pourrait être perçu comme un choix délibéré par les autorités de contrôle. D’autant que ces reports ne sont pas, à ce stade, définitivement actés ! Il serait donc risqué de parier sur un calendrier assoupli.
2. En quoi l’AI Act s’inscrit-il dans la continuité du RGPD, et comment ce nouveau cadre fait-il évoluer concrètement le rôle des DPO ?
L’AI Act s’inscrit clairement dans la continuité du RGPD, en prolongeant ses principes fondamentaux (transparence, limitation des finalités, proportionnalité) dans l’univers des systèmes d’intelligence artificielle. Il en renforce la logique en mettant l’accent sur l’analyse de risques, notamment pour les systèmes traitant des données sensibles. En France, il contribue aussi à donner une cohérence d’action et d'autorité à la CNIL, appelée à intervenir à la fois sur le RGPD et sur l’AI Act.
Dans ce contexte, le DPO voit son rôle s’élargir et se structurer davantage : il doit identifier les systèmes d’IA concernés, piloter ou coordonner les analyses d’impact, articuler le registre des traitements avec les nouvelles exigences et s’assurer de la conformité des fournisseurs et sous-traitants. Il joue un rôle clé de vigie sur les décisions automatisées et devient un véritable point de convergence entre les enjeux juridiques, techniques et opérationnels.
3. Dans un contexte de multiplication des cyberattaques visant les données, ce calendrier plus souple ne risque-t-il pas de créer un décalage entre régulation et réalité des risques ?
Oui, si ce délai conduit certaines organisations à différer leurs investissements en matière de sécurité des traitements utilisant l'IA. Reporter les efforts, c’est aussi retarder la correction des non-conformités et en amplifier les conséquences, tant pour les personnes concernées que pour la fiabilité des décisions produites par ces systèmes, notamment en matière de biais ou de deepfakes.
Le risque serait alors de créer un décalage entre un cadre réglementaire en construction et des usages déjà bien installés. C’est pourquoi la CNIL insiste sur un point essentiel : ce temps doit être utilisé pour avancer concrètement, et non pour attendre.
Pour les organisations, ce report peut constituer un véritable ballon d’oxygène, en leur permettant d’intégrer ces nouvelles exigences de manière structurée et d’investir de façon plus ciblée dans la conformité des systèmes d’IA. Les PME, en particulier, pourraient bénéficier de simplifications, notamment sur le plan documentaire. Mais ce répit ne doit en aucun cas être interprété comme un droit à l’inaction : ne pas engager de démarche de conformité pourrait être perçu comme un choix délibéré par les autorités de contrôle. D’autant que ces reports ne sont pas, à ce stade, définitivement actés ! Il serait donc risqué de parier sur un calendrier assoupli.
2. En quoi l’AI Act s’inscrit-il dans la continuité du RGPD, et comment ce nouveau cadre fait-il évoluer concrètement le rôle des DPO ?
L’AI Act s’inscrit clairement dans la continuité du RGPD, en prolongeant ses principes fondamentaux (transparence, limitation des finalités, proportionnalité) dans l’univers des systèmes d’intelligence artificielle. Il en renforce la logique en mettant l’accent sur l’analyse de risques, notamment pour les systèmes traitant des données sensibles. En France, il contribue aussi à donner une cohérence d’action et d'autorité à la CNIL, appelée à intervenir à la fois sur le RGPD et sur l’AI Act.
Dans ce contexte, le DPO voit son rôle s’élargir et se structurer davantage : il doit identifier les systèmes d’IA concernés, piloter ou coordonner les analyses d’impact, articuler le registre des traitements avec les nouvelles exigences et s’assurer de la conformité des fournisseurs et sous-traitants. Il joue un rôle clé de vigie sur les décisions automatisées et devient un véritable point de convergence entre les enjeux juridiques, techniques et opérationnels.
3. Dans un contexte de multiplication des cyberattaques visant les données, ce calendrier plus souple ne risque-t-il pas de créer un décalage entre régulation et réalité des risques ?
Oui, si ce délai conduit certaines organisations à différer leurs investissements en matière de sécurité des traitements utilisant l'IA. Reporter les efforts, c’est aussi retarder la correction des non-conformités et en amplifier les conséquences, tant pour les personnes concernées que pour la fiabilité des décisions produites par ces systèmes, notamment en matière de biais ou de deepfakes.
Le risque serait alors de créer un décalage entre un cadre réglementaire en construction et des usages déjà bien installés. C’est pourquoi la CNIL insiste sur un point essentiel : ce temps doit être utilisé pour avancer concrètement, et non pour attendre.
Autres articles
-
Privacy day : les données, c’est pas donné !
-
L’AFCDP vous présente la 15e édition de son Baromètre trimestriel
-
Qu'est-ce qui attend les DPO en 2025 ?
-
Mise à jour majeure du dossier technique du CLUSIF sur le traitement des données de santé avec la participation de l’AFCDP
-
Les règles du jeu des partage et réutilisation des données personnelles à l'ère du numérique
