Conformité RGPD et AI Act : Une approche opérationnelle et pratique

Votre entreprise traite des données personnelles de résidents européens, développe ou utilise des systèmes d'IA, ou opère sur le marché européen ? Les obligations réglementaires s'appliquent indépendamment de votre pays d'établissement.

J'accompagne les entreprises tech et les PME dans l'identification de leurs obligations réelles et leur mise en conformité concrète, en français, anglais et espagnol, avec une approche opérationnelle construite sur 15 ans de pratique in-house internationale.

Réglementations traitées

RGPD : Règlement Général sur la Protection des Données (EU) 2016/679

Applicable à toute entreprise traitant des données personnelles de résidents européens, quelle que soit sa localisation. Audit des traitements, documentation, sous-traitance, transferts hors UE, gestion des droits des personnes et des incidents.

AI Act : Règlement européen sur l'intelligence artificielle (EU) 2024/1689

En vigueur progressivement depuis 2024. Obligations applicables selon la classification de risque de vos systèmes d'IA (inacceptable / élevé / limité / minimal). Identification des systèmes concernés (cartographie), documentation technique, évaluation de conformité, politiques internes d'utilisation, FAQ pour clients sur utilisation IA et gouvernance IA interne.

DSA et DMA : Digital Services Act (EU 2022/2065) et Digital Markets Act (EU 2022/1925)

Obligations pour les plateformes numériques opérant dans l'UE : modération de contenus, transparence algorithmique, interopérabilité. Analyse d'applicabilité et mise en conformité selon votre modèle.

Data Act (EU 2023/2854)

Nouvelles règles sur l'accès et le partage des données industrielles. Implications contractuelles et organisationnelles pour les entreprises traitant de grandes volumétries de données. Règles applicables sur la portabilité des données.

Mon intervention

Audit et gap analysis

• Cartographie des traitements de données personnelles et identification des écarts RGPD.

• Analyse d'applicabilité AI Act : classification des systèmes d'IA et obligations correspondantes.

• Revue des contrats de sous-traitance existants (DPA, SCC).

Documentation et mise en conformité

• Registre des traitements, politique de confidentialité, mentions légales, politique cookies.

• Accords de sous-traitance (DPA) conformes au RGPD.

• Documentation technique AI Act : notice de transparence, évaluation des risques.

• Politique IA interne et gouvernance des systèmes d'IA.

Conformité by design

• Intégration de la conformité dans les processus produit et business dès la conception.

• Formation des équipes (sales, produit, tech) aux obligations pratiques.

• Déploiement de formulaires et d'outils internes de gestion de la conformité.

Gestion des incidents et des demandes

• Procédure de réponse aux violations de données (72h RGPD).

• Gestion des demandes d'exercice de droits (accès, effacement, portabilité).

Une expérience internationale au service de votre opérationnel

Construit sur 15 ans de pratique in-house auprès de l'ESA, l'OCDE, l'Organisation ITER, CMA CGM et ADP, mon approche combine rigueur juridique et compréhension des contraintes business. Je sais ce que c'est que d'être du côté client, et je structure mes interventions en conséquence.

Inscrit au Barreau de Paris et à l'ICAB. Barcelone et Paris. Français, anglais, espagnol.

Questions fréquentes

Mon entreprise est établie hors UE mais vend à des clients européens. Le RGPD s'applique-t-il ?

Oui. Le RGPD s'applique dès lors que vous ciblez des personnes résidant dans l'UE, que vous soyez établi en Europe ou non.

Comment savoir si mon système d'IA est concerné par l'AI Act ?

L'AI Act classe les systèmes d'IA selon leur niveau de risque (inacceptable, élevé, limité, minimal). La classification détermine les obligations applicables. Une analyse préalable permet d'identifier rapidement ce qui s'applique à votre situation concrète.

Quelle est la sanction maximale prévue par l'AI Act ?

L'AI Act prévoit trois niveaux de sanctions administratives, en fonction de la nature de l'infraction. La mise sur le marché ou l'utilisation d'un système d'IA à risque inacceptable (systèmes interdits, tels que la notation sociale généralisée ou la reconnaissance faciale en temps réel dans les espaces publics à des fins répressives) expose à une amende pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Le non-respect des obligations applicables aux systèmes à haut risque est sanctionné jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires. Les manquements aux obligations de transparence (notamment pour les systèmes d'IA en interaction avec des humains) peuvent donner lieu à des amendes allant jusqu'à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires. Pour les PME et les startups, les plafonds sont calculés sur le chiffre d'affaires effectif lorsque cela conduit à un montant inférieur aux seuils fixes. Ces sanctions sont applicables par les autorités nationales compétentes.

Nous avons déjà une politique de protection des données. Sommes-nous conformes ?

Pas nécessairement. La conformité RGPD ne se réduit pas à un document publié sur le site. Elle implique une organisation interne, des contrats avec vos sous-traitants, une gestion des droits des personnes et une capacité de réponse aux incidents. Un audit rapide permet d'identifier les écarts réels.

Combien de temps prend une mise en conformité RGPD ?

Pour une PME ou une startup, un premier niveau de conformité opérationnelle peut être atteint en 4 à 8 semaines selon la complexité des traitements.

DSA et DMA : mon entreprise est-elle une plateforme concernée ?

Le Digital Services Act (DSA) s'applique à toute plateforme numérique proposant des services à des utilisateurs dans l'UE : places de marché, réseaux sociaux, plateformes de contenu, moteurs de recherche, hébergeurs. Les obligations varient selon la taille : les très grandes plateformes (plus de 45 millions d'utilisateurs actifs mensuels dans l'UE) sont soumises aux obligations les plus lourdes, mais les plateformes de taille intermédiaire ont également des obligations de modération, de transparence et de signalement. Le Digital Markets Act (DMA) cible quant à lui un périmètre plus étroit : les "contrôleurs d'accès" (gatekeepers), soit les grandes plateformes systémiques désignées par la Commission européenne (Apple, Google, Meta, Amazon, etc.). Si vous n'êtes pas désigné gatekeeper, le DMA ne s'applique pas directement à vous, mais il peut affecter vos conditions d'accès aux plateformes qui le sont. Si votre modèle repose sur une place de marché, une plateforme de mise en relation, ou la distribution de contenu à des utilisateurs européens, une analyse DSA est pertinente.

Qu'est-ce que le Data Act et qui est concerné ?

Le Data Act (Règlement (UE) 2023/2854, applicable depuis septembre 2025) régit l'accès aux données générées par les objets connectés et les services associés. Il s'adresse principalement aux fabricants de produits connectés (IoT), aux éditeurs de services numériques liés à ces produits, et aux fournisseurs de services de traitement de données (cloud, edge). Son objectif : permettre aux utilisateurs (particuliers comme entreprises) d'accéder aux données que leurs équipements génèrent, et de les partager avec des tiers de leur choix. Si vous fabriquez un produit connecté, si vous proposez un service SaaS lié à un équipement physique, ou si vous traitez des volumes importants de données industrielles pour le compte de clients, le Data Act vous concerne probablement. Une analyse d'applicabilité permet d'identifier rapidement vos obligations concrètes.

Évaluer votre conformité data / IA. Réponse sous 24h ouvrées

Décrivez votre situation via le formulaire ou contactez-moi directement : contact@pslavocat.com · +34 672 939 146