Pédagogique · Par stade de projet · Sources EUR-Lex

Articles clés des obligations RGPD + AI Act : votre porte d'entrée pédagogique

Le RGPD et l'AI Act, ce ne sont pas que l'Article 50. Voici la sélection des articles qui frappent réellement un solopreneur IA, organisée selon votre cycle de vie projet : avant de coder, au lancement, en opération et passage à l'échelle. Pour chacun : pourquoi c'est votre problème, ce que dit l'article, une ou deux actions concrètes, et le lien vers le texte officiel.

EuTrustedIA documente la conformité, elle ne certifie jamais (RGPD Art. 42-43 / AI Act Art. 43). Ce contenu est pédagogique et factuel — ce n'est pas un conseil juridique. La revue et la signature relèvent d'un DPO ou d'un avocat tech. Cette page n'est pas exhaustive : c'est une porte d'entrée.

Étape 1

Avant de coder

Les arbitrages structurants se jouent ici. Une base légale mal choisie ou une pratique interdite ne se rattrape pas après le build.

RGPD Art. 25 — Protection des données dès la conception

Pourquoi c'est votre problème : Si vous attendez d'avoir codé pour penser conformité, vous reconstruisez. Anticiper la minimisation des données dès l'architecture vous évite un refactoring coûteux.

Ce que dit l'article : Vous devez intégrer la protection des données dans la conception même de votre système et par défaut (minimisation, paramètres protecteurs par défaut).

À faire : Cartographier les données collectées et supprimer tout ce qui n'est pas strictement nécessaire ; activer les réglages les plus protecteurs par défaut.

Lire l'Article 25 sur EUR-Lex

RGPD Art. 9 — Catégories particulières (données sensibles)

Pourquoi c'est votre problème : Si votre agent IA touche à la santé, aux opinions, à la biométrie ou à la vie privée intime, le traitement est quasi impossible sans consentement explicite — autant le savoir avant.

Ce que dit l'article : Le traitement des données sensibles (santé, opinions, biométrie, orientation, syndicat) est interdit par principe, sauf exceptions strictes dont le consentement explicite.

À faire : Vérifier si votre cas d'usage traite ces données ; si oui, sécuriser une base d'exception valable (souvent le consentement explicite) avant tout traitement.

Lire l'Article 9 sur EUR-Lex

RGPD Art. 35 — Analyse d'impact (AIPD)

Pourquoi c'est votre problème : Traitement à grande échelle, IA, données sensibles : un solopreneur IA est presque toujours concerné. Sans AIPD, vous êtes à découvert face à la CNIL.

Ce que dit l'article : Une analyse d'impact relative à la protection des données est obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les personnes.

À faire : Rédiger une AIPD documentée (finalités, risques, mesures) ; POSITRONIA-CORE en pré-remplit la trame à partir de votre scan.

Lire l'Article 35 sur EUR-Lex

AI Act Art. 5 — Pratiques interdites

Pourquoi c'est votre problème : Manipulation subliminale, notation sociale, reconnaissance d'émotion au travail : si votre produit tombe dedans, il est purement illégal. C'est éliminatoire, pas négociable.

Ce que dit l'article : Certaines pratiques d'IA sont totalement interdites dans l'UE (manipulation, exploitation de vulnérabilités, notation sociale, catégorisation biométrique sensible, etc.).

À faire : Confronter votre concept à la liste des interdictions avant de coder ; si une fonctionnalité s'en approche, la repenser ou l'abandonner.

Lire l'Article 5 sur EUR-Lex

AI Act Art. 6 + Annexe III — Classification à haut risque

Pourquoi c'est votre problème : RH, éducation, crédit, santé, justice : si votre IA y opère, vous basculez dans un régime d'obligations lourdes (qualité des données, traçabilité, surveillance humaine).

Ce que dit l'article : Les systèmes listés à l'Annexe III sont classés à haut risque et soumis aux obligations renforcées des Articles 9 à 15 (gouvernance, robustesse, surveillance humaine).

À faire : Vérifier si votre domaine figure à l'Annexe III ; si oui, intégrer les obligations haut risque dès la conception et prévoir une revue par un expert.

Lire l'Article 6 sur EUR-Lex

Étape 2

Au lancement

Mise en service : contrats avec vos fournisseurs, registre, sécurité et transparence vis-à-vis de vos utilisateurs.

RGPD Art. 28 — Sous-traitants (DPA)

Pourquoi c'est votre problème : Pas de contrat de sous-traitance signé avec votre fournisseur LLM ou cloud = violation pure et simple. C'est l'oubli n°1 des solopreneurs IA.

Ce que dit l'article : Tout recours à un sous-traitant (LLM, hébergeur, outils) doit être encadré par un contrat de sous-traitance (DPA) définissant les garanties et instructions.

À faire : Lister vos fournisseurs traitant des données ; récupérer et signer un DPA avec chacun (Mistral, OpenAI, Anthropic, hébergeur…).

Lire l'Article 28 sur EUR-Lex

RGPD Art. 30 — Registre des traitements

Pourquoi c'est votre problème : Dès que vous traitez régulièrement des données sensibles, le registre devient obligatoire — et 90 % des solopreneurs IA sont concernés.

Ce que dit l'article : Vous devez tenir un registre des activités de traitement décrivant finalités, catégories de données, destinataires et durées de conservation.

À faire : Démarrer un registre simple (un tableau suffit) et le tenir à jour à chaque nouveau traitement ; POSITRONIA-CORE en pré-remplit la base.

Lire l'Article 30 sur EUR-Lex

RGPD Art. 32 — Sécurité du traitement

Pourquoi c'est votre problème : Chiffrement, MFA, sauvegardes, gestion des incidents : si vous vendez de l'IA sans ces bases, la première fuite vous expose directement.

Ce que dit l'article : Vous devez mettre en place des mesures techniques et organisationnelles appropriées au risque (chiffrement, contrôle d'accès, résilience, tests réguliers).

À faire : Activer le chiffrement au repos et en transit, le MFA sur les accès admin et des sauvegardes testées ; documenter ces mesures.

Lire l'Article 32 sur EUR-Lex

AI Act Art. 50 — Transparence (chatbots, deepfakes, contenus IA)

Pourquoi c'est votre problème : Presque tous les déployeurs sont concernés : si un utilisateur interagit avec votre IA sans le savoir, vous êtes en infraction. C'est la marche la plus visible.

Ce que dit l'article : Les utilisateurs doivent être informés qu'ils interagissent avec une IA, et les contenus générés ou manipulés (deepfakes) doivent être marqués comme tels.

À faire : Afficher une mention claire « contenu / réponse générée par IA » et marquer les médias synthétiques ; POSITRONIA génère la fiche Art. 50.

Lire l'Article 50 sur EUR-Lex

Étape 3

En opération & passage à l'échelle

Le run continu et la croissance ouvrent de nouvelles obligations : décisions automatisées, incidents, et la discipline des principes de base.

RGPD Art. 22 — Décision automatisée et profilage

Pourquoi c'est votre problème : Si votre IA décide seule d'un effet juridique (RH, crédit, accès à un service), la personne a droit à une intervention humaine. Critique pour tout produit IA décisionnel.

Ce que dit l'article : Une personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs.

À faire : Identifier vos décisions 100 % automatisées à effet juridique ; prévoir un recours humain et l'information de la personne (humain dans la boucle).

Lire l'Article 22 sur EUR-Lex

RGPD Art. 33-34 — Notification de violation sous 72 h

Pourquoi c'est votre problème : En cas de fuite, le chronomètre démarre : 72 heures pour notifier la CNIL. Sans procédure prête, vous découvrez le délai au pire moment.

Ce que dit l'article : Une violation de données doit être notifiée à l'autorité de contrôle sous 72 heures, et aux personnes concernées si le risque est élevé.

À faire : Préparer à l'avance une fiche de procédure violation (qui contacter, quoi documenter, modèle de notification) avant d'en avoir besoin.

Lire l'Article 33 sur EUR-Lex

RGPD Art. 5 — Principes (minimisation, conservation, exactitude)

Pourquoi c'est votre problème : C'est la base de toute défense : ces principes s'appliquent toujours, et l'oubli de la limitation de conservation est l'erreur silencieuse la plus fréquente.

Ce que dit l'article : Le traitement doit respecter licéité, minimisation, exactitude, limitation de conservation, intégrité et responsabilité (accountability).

À faire : Définir des durées de conservation et purger automatiquement les données obsolètes ; ne collecter que le strictement nécessaire.

Lire l'Article 5 sur EUR-Lex

Data Act — Portabilité & anti-lock-in (mention déclarative)

Pourquoi c'est votre problème : Le Data Act vous donne des droits de portabilité et facilite le changement de fournisseur cloud. Vous êtes plutôt bénéficiaire de droits que débiteur d'obligations.

Ce que dit l'article : Le Data Act (Règlement UE 2023/2854) encadre l'accès aux données et le changement de prestataire cloud (portabilité, clauses, juridiction).

À faire : Vérifier les clauses de sortie et de portabilité de vos contrats cloud ; privilégier des formats et fournisseurs qui évitent l'enfermement.

Lire le Data Act sur EUR-Lex

Passer de la liste d'articles à l'action

Cette page est une porte d'entrée. Pour aller plus loin : le Livre Blanc EUDAI documente les 5 piliers en profondeur, la checklist 25 points vous donne un diagnostic rapide, et les plans EuTrustedIA outillent concrètement votre conformité à un prix solopreneur.