Blog
Article

RGPD, DORA et AI Act : Comprendre les liens et assurer la conformité

September 29, 2025
xx
min
Emmanuel Adjanohun
Co-fondateur
Copier le lien
RGPD, DORA et AI Act : Comprendre les liens et assurer la conformité
Partager sur Linkedin
Partager sur X
Partager sur Facebook

L'écosystème numérique européen est régi par un cadre réglementaire dense. Trois textes majeurs – le RGPD, DORA, et l'AI Act – redéfinissent la gestion des données, la cybersécurité et l'intelligence artificielle (IA). Bien que distincts, ces règlements tissent une toile d'exigences interconnectées, créant des défis de conformité mais aussi des opportunités stratégiques.

Cet article vise à démystifier les liens entre ces trois piliers législatifs. Comprendre leurs interactions permet aux entreprises de construire une approche globale, transformant la contrainte réglementaire en un levier de confiance, de sécurité et d'innovation responsable. L'enjeu est de bâtir un avenir numérique où l'IA se développe dans un cadre éthique, la résilience financière est garantie et les données personnelles sont rigoureusement protégées.

Introduction : un cadre réglementaire complexe

Le paysage réglementaire européen protège les citoyens et stabilise le marché unique. Le RGPD a posé les fondations de la protection des données. Plus récemment, DORA et l'AI Act ont complété ce cadre pour répondre aux défis de la numérisation financière et de l'essor de l'intelligence artificielle.

Comprendre ce triptyque est une nécessité stratégique pour toute organisation traitant des données personnelles, opérant dans le secteur financier, ou utilisant des systèmes d'IA. Cet article fournit une feuille de route pour naviguer cet environnement, en soulignant les synergies entre RGPD, DORA et AI Act. L'objectif est de passer d'une conformité subie à une stratégie de gouvernance intégrée et créatrice de valeur.

Le RGPD : Protection des Données Rersonnelles

Entré en application en 2018, le Règlement Général sur la Protection des Données (RGPD) a transformé la manière dont les organisations gèrent les données à caractère personnel des résidents de l'UE. Il vise à renforcer les droits des individus et à harmoniser les lois sur la protection des données en Europe.

Le RGPD est le socle de la protection de la vie privée, un droit fondamental que les autres réglementations viennent renforcer. Ce règlement européen s'applique de manière uniforme dans toute l'Union.

Principes clés du RGPD (minimisation des données, finalité déterminée, etc.)

Le RGPD s'articule autour de sept principes fondamentaux pour tout traitement de données personnelles :

  1. Licéité, loyauté, transparence : Le traitement des données doit être légal, équitable et transparent pour l'individu.
  2. Limitation des finalités : Les données doivent être collectées pour des objectifs déterminés, explicites et légitimes.
  3. Minimisation des données : Seules les données strictement nécessaires à la finalité doivent être collectées.
  4. Exactitude : Les données personnelles doivent être exactes et tenues à jour.
  5. Limitation de la conservation : Les données ne doivent être conservées que le temps nécessaire.
  6. Intégrité et confidentialité : Des mesures de sécurité appropriées doivent protéger les données.
  7. Responsabilité (Accountability) : Le responsable du traitement doit pouvoir démontrer sa conformité.

Ces principes sont la pierre angulaire de la protection des données en Europe.

Application du RGPD aux traitements de données par l'IA

Dès qu'un système d'IA traite des données à caractère personnel, il est soumis au RGPD. Cette application soulève des questions spécifiques. Le principe de minimisation des données, par exemple, peut sembler en tension avec le besoin des algorithmes d'IA d'être entraînés sur de vastes jeux de données. Le RGPD exige cependant une sélection rigoureuse pour n'utiliser que les données pertinentes et nécessaires. De même, la transparence est cruciale : les personnes doivent être informées de l'utilisation de leurs données par une IA.

DORA : Résilience Opérationnelle Numérique

Le Digital Operational Resilience Act (DORA), applicable depuis le 17 janvier 2025, vise à renforcer la cybersécurité et la résilience opérationnelle du secteur financier face aux risques liés aux TIC. Il garantit la stabilité et la continuité des services financiers européens.

Ce règlement européen établit un cadre harmonisé pour la gestion des risques TIC, la gestion des incidents, les tests de résilience et la surveillance des fournisseurs critiques. Il s'applique aux banques, assurances, sociétés d'investissement et à leurs fournisseurs technologiques.

Obligations de sécurité pour les entités financières

DORA impose des obligations strictes pour que les entités financières puissent résister et se remettre des menaces liées aux TIC. Les principales exigences sont :

  • Cadre de gestion des risques TIC robuste : Mettre en place une gouvernance et un contrôle interne pour une gestion efficace des risques TIC.
  • Gestion et notification des incidents : Disposer de processus pour détecter, gérer et notifier les incidents majeurs aux autorités.
  • Tests de résilience opérationnelle numérique : Mener des tests réguliers des systèmes de sécurité, y compris des tests de pénétration avancés pour les entités critiques.
  • Gestion des risques liés aux tiers : Surveiller activement les risques posés par les fournisseurs de services TIC et s'assurer que les contrats respectent des exigences strictes.

Impact de DORA sur la gestion des risques et des incidents de sécurité

DORA pousse les institutions financières à adopter une approche plus structurée et proactive de la cybersécurité et de la gestion des risques. Il place la résilience numérique au cœur de la stratégie d'entreprise et renforce la responsabilité des organes de direction. En imposant une gestion des risques de bout en bout, DORA oblige à une vision globale et intégrée de la sécurité.

AI Act : Réglementation de l'Intelligence Artificielle

Adopté en 2024, l'AI Act (ou loi sur l'IA) est le premier cadre réglementaire mondial pour l'intelligence artificielle. Il concilie innovation et protection des droits fondamentaux en suivant une approche basée sur les risques, classant les systèmes d'IA en quatre catégories : risque inacceptable (interdit), haut risque, risque limité et risque minimal.

L'AI Act encadre la mise sur le marché et la mise en service des systèmes d'IA dans l'UE et s'applique progressivement depuis août 2024.

Définition des systèmes d'IA à haut risque

Le cœur de l'AI Act est la régulation des systèmes d'IA à haut risque. Un système est classé à haut risque s'il est un composant de sécurité d'un produit déjà réglementé, ou s'il relève de domaines critiques listés dans l'annexe III du règlement (ex: gestion d'infrastructures critiques, emploi, accès aux services essentiels, justice).

Obligations spécifiques pour les systèmes d'IA à haut risque (évaluation des risques, transparence, etc.)

Les systèmes d'IA à haut risque sont soumis à des obligations strictes avant leur mise sur le marché :

  • Système de gestion des risques : Mettre en place un processus continu de gestion des risques.
  • Gouvernance et qualité des données : Utiliser des ensembles de données d'entraînement de haute qualité, pertinents et exempts de biais.
  • Documentation technique et enregistrement : Rédiger une documentation détaillée et assurer la traçabilité des opérations via des "logs".
  • Transparence et information : Concevoir des systèmes transparents pour que les utilisateurs puissent interpréter leurs résultats.
  • Supervision humaine : Permettre une supervision humaine adéquate pour prévenir ou minimiser les risques.
  • Exactitude, robustesse et cybersécurité : Assurer un niveau approprié de performance et de sécurité.

Les interactions entre RGPD, DORA et AI Act

Ces trois réglementations ne sont pas des silos. Elles forment un cadre cohérent visant à construire un espace numérique européen sûr. Elles partagent des objectifs de protection et de gestion des risques technologiques, rendant une approche de conformité intégrée indispensable.

RGPD et AI Act : une complémentarité essentielle

L'AI Act et le RGPD sont intrinsèquement liés dès qu'un système d'IA traite des données personnelles. L'AI Act complète le RGPD sans le remplacer.

Protection des données personnelles dans le développement et l'utilisation des systèmes d'IA

Un système d'IA conforme à l'AI Act doit aussi respecter le RGPD. Les exigences de l'AI Act sur la gouvernance des données renforcent les principes du RGPD comme l'exactitude et la minimisation. La supervision humaine requise par l'AI Act fait écho au droit des personnes de ne pas être soumises à une décision entièrement automatisée.

Nécessité du consentement et des analyses d'impact

Les deux règlements promeuvent une approche basée sur les risques. Le RGPD impose une Analyse d'Impact relative à la Protection des Données (AIPD) pour les traitements à risque élevé. L'AI Act impose une évaluation de conformité pour les systèmes à haut risque. Les informations de l'AI Act sont essentielles pour réaliser l'AIPD requise par le RGPD.

Gestion des données sensibles et minimisation des données

Le RGPD pose des conditions strictes au traitement des données sensibles. L'AI Act renforce cette protection en classant souvent les systèmes qui les utilisent comme étant à haut risque. Le principe de minimisation du RGPD, un défi pour l'IA, est complété par l'exigence de l'AI Act d'utiliser des données de haute qualité, menant à une meilleure gouvernance des données.

DORA et RGPD : une approche complémentaire

DORA peut être vu comme une application sectorielle et détaillée des exigences de sécurité générales du RGPD.

Sécurité des systèmes d'information et protection des données

L'article 32 du RGPD impose des mesures de sécurité appropriées. DORA précise cette obligation pour le secteur financier en détaillant un cadre de gestion des risques TIC. Les mesures de conformité à DORA aident directement à démontrer la conformité à l'article 32 du RGPD.

Gestion des risques de sécurité et respect de la vie privée

Les deux textes sont centrés sur la gestion des risques. L'analyse des risques de sécurité d'un système (DORA) doit inclure le risque d'une violation de données personnelles (RGPD) et son impact. La gestion des incidents doit articuler les notifications requises par DORA et le RGPD.

DORA et AI Act : convergence sur la sécurité

Pour une entité financière utilisant une IA à haut risque, les deux règlements s'appliquent, créant une double exigence de sécurité.

Sécurité des systèmes d'IA et résilience opérationnelle numérique

L'AI Act exige que les systèmes d'IA à haut risque soient robustes et sécurisés. DORA exige que toute l'infrastructure numérique soit résiliente. La sécurité d'un système d'IA (AI Act) dépend de la sécurité de son environnement (DORA).

Développement d'une approche globale de la sécurité pour les institutions financières utilisant l'IA

Les institutions financières doivent adopter une approche holistique. L'évaluation des risques d'un système d'IA (AI Act) doit s'intégrer dans le cadre de gestion des risques TIC de DORA. La surveillance d'un fournisseur d'IA doit couvrir les exigences de l'AI Act et de DORA.

Défis et opportunités pour les entreprises

Naviguer ce cadre réglementaire est un défi, mais aussi une opportunité de renforcer la confiance et la sécurité.

Mise en conformité avec les trois réglementations

La clé est d'éviter une approche en silos. La mise en conformité nécessite une vision d'ensemble et une collaboration interne étroite.

Élaboration d'une stratégie de conformité globale

Il faut cartographier les obligations applicables et élaborer une stratégie unique qui intègre les exigences de chaque règlement. Le cadre de gouvernance des données, par exemple, peut répondre à la fois au RGPD et à l'AI Act.

Adaptation des processus et des systèmes d'information

La conformité exige d'adapter les processus et les systèmes. La conformité doit être intégrée "by design" dès la conception des nouveaux produits et services impliquant une IA.

Formation du personnel

La formation du personnel est un pilier essentiel. Tous les collaborateurs doivent comprendre leur rôle. Les dirigeants doivent être conscients de leurs responsabilités renforcées, notamment sous DORA.

Amélioration de la cybersécurité et de la protection des données

La conformité est une opportunité d'améliorer drastiquement la posture de l'entreprise en matière de cybersécurité et de protection des données.

Renforcement de la confiance des clients et des partenaires

Une entreprise qui démontre son engagement envers la sécurité et l'éthique bâtit un capital confiance inestimable, qui devient un avantage concurrentiel.

Gestion proactive des risques et des incidents

L'approche structurée de la gestion des risques permet de passer d'une posture réactive à une gestion proactive, réduisant la probabilité et l'impact des incidents de sécurité.

Ressources et outils pratiques

De nombreuses ressources et outils aident les entreprises dans leur mise en conformité.

Les textes réglementaires officiels

Il est primordial de se référer aux textes sources pour comprendre les exigences : le RGPD (UE 2016/679), DORA (UE 2022/2554) et l'AI Act.

Exemples de bonnes pratiques et cas d'usage

Les autorités de régulation (comme la CNIL) publient des guides et des bonnes pratiques. Adopter une approche de "privacy by design" et "security by design" est fondamental.

Outils et technologies pour faciliter la conformité

Le marché offre une gamme d'outils pour soutenir la conformité :

  • Logiciels de gestion de la conformité (GRC) : pour centraliser le suivi des obligations et la gestion des risques.
  • Outils de cartographie des données : pour maintenir le registre des traitements RGPD.
  • Plateformes de gouvernance de l'IA : pour documenter les modèles, tester les biais et gérer le cycle de vie des systèmes d'IA.
  • Solutions de cybersécurité : pour la détection des menaces et la réponse aux incidents (pilier de DORA).

Conclusion : Vers une IA responsable et sécurisée

L'articulation entre RGPD, DORA et l'AI Act dessine un avenir numérique européen où l'innovation rime avec sécurité et éthique.

Importance d'une approche globale de la conformité

L'ère de la conformité en silo est révolue. Les entreprises doivent adopter une approche holistique, intégrer les principes de protection des données et de sécurité dès la genèse des projets, pour transformer l'obligation réglementaire en avantage stratégique.

Nécessité d'une collaboration entre les acteurs publics et privés

La complexité de ces technologies nécessite un dialogue constant entre législateurs, régulateurs et entreprises. Cette collaboration est essentielle pour créer un cadre à la fois protecteur et favorable à l'innovation.

Perspectives d'évolution du cadre réglementaire

2025 est une année charnière avec l'entrée en application de DORA et la poursuite de la mise en œuvre de l'AI Act. Les autorités de contrôle intensifieront leurs actions. Les entreprises qui auront anticipé ces échéances avec une stratégie de conformité intégrée seront les mieux placées pour prospérer, en faisant de la confiance et de la sécurité les piliers de leur développement.

Emmanuel Adjanohun
Co-fondateur

Derniers articles

Vous souhaitez avoir plus d'informations sur notre offre de services ?

Contactez-nous
Audit & stratégie Cloud
Stratégie Cloud
Audit, stratégie et GRC
Stratégie et GRC Cyber
Audit et Conseil Stratégique IA
Stratégie IA
Architecture Cloud & Ingénierie
Architecture Cloud
RSSI Externalisé
RSSI Externalisé
Gouvernance & Qualité des données
Qualité des données
Sécurité des environnements Cloud
Sécurité Cloud
Sécurité Offensive
Sécurité Offensive
Gouvernance & Ethique de l'IA
Ethique de l'IA
Gouvernance & Conformité Cloud
Gouvernance & Conformité Cloud
Centre de gestion des vulnérabilités (VOC)
VOC
Data science et analytique avancée
Analytique
Migration & modernisation applicative
Migration
Protection des environnements
Protection
Formation & acculturation IA & Data
Formation IA / Data
Exploitation et supervision Cloud (CloudOps)
CloudOps
Surveillance et détection intelligente des cyberattaques
Détection
Architecture & ingénierie IA / Data
Architecture IA / Data
Réponse aux incidents
Réponse
Développement de solutions IA sur mesure
Développement
Formation & acculturation au Cloud
Formation Cloud
Sensibilisation et Formation
Sensibilisation et Formation Cyber
Intégration & déploiement
Intégration
Maintenance et évolution des solutions IA / Data
Maintenance