Dernière mise à jour :
C'est l'idée reçue la plus répandue — et la plus fausse. Dès que vous traitez des données personnelles ou que vous déployez de l'IA en Europe, vous êtes concerné par deux cadres : le RGPD (protection des données) et l'AI Act (le règlement européen sur l'IA). Aucun des deux ne pose de seuil « réservé aux grandes entreprises ». Un solopreneur qui branche un agent IA sur les e-mails de ses clients manipule des données personnelles, exactement comme une multinationale.
L'objectif de cette page n'est pas de vous faire peur. C'est de clarifier ce qui s'applique, pourquoi, et ce que vous y gagnez concrètement.
Le RGPD encadre la manière dont vous collectez, stockez et utilisez les données personnelles (noms, e-mails, comportements, et a fortiori données sensibles). Il existe depuis 2018 et s'applique à toute organisation qui traite les données de personnes situées dans l'UE — y compris un indépendant.
Ce qu'il demande, en résumé : une base légale pour chaque traitement, de la transparence envers les personnes, de la sécurité (Art. 32), et la capacité à démontrer que vous respectez ces règles.
L'AI Act est le règlement européen spécifique à l'intelligence artificielle. Il classe les systèmes IA par niveau de risque et impose des obligations proportionnées. Pour la plupart des solopreneurs et TPE, l'article central est l'Article 50 : l'obligation de transparence quand un utilisateur interagit avec une IA ou voit du contenu généré par IA (un chatbot doit se signaler, un contenu synthétique doit être marqué).
Texte officiel de référence : le règlement est consultable sur EUR-Lex. Le calendrier d'application européen est en cours d'ajustement — nous nous appuyons toujours sur la version en vigueur, pas sur des dates-couperets non confirmées.
Vous assemblez probablement un système IA sans même le formuler ainsi : un LLM ici, un SaaS d'automatisation là, un agent qui lit vos données, un workflow qui transfère des informations d'un outil à l'autre. Chacune de ces briques peut :
La difficulté n'est pas la mauvaise volonté — c'est le manque de visibilité. On ne peut pas être conforme sur ce qu'on ne voit pas. C'est précisément le problème que la carte vivante de votre système IA résout : recenser, scorer et rattacher chaque brique à un responsable.
La conformité est souvent vécue comme une case à cocher. Notre position est différente : bien outillée, elle devient un avantage business.
Un point non négociable, parce que nous vendons de la conformité : nous documentons et instruisons votre conformité, nous ne la certifions jamais nous-mêmes au sens du RGPD (Art. 42-43) ou de l'AI Act (Art. 43). EuTrustedIA prépare le dossier ; c'est un expert vérifié de l'Annuaire (DPO ou avocat tech) qui revoit et signe les points réglementés. Nous ne sommes ni un cabinet, ni un DPO, ni une agence — nous outillons votre conformité et vous mettons en relation avec ceux qui la valident.
Si vous vous reconnaissez ici, l'étape suivante est concrète : voir Premiers pas pour savoir par où commencer.