Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
AI Act

DPO et AI Act 2026 : les nouvelles missions du délégué

Comment l'AI Act transforme le rôle du DPO : inventaire des systèmes IA, articulation AIPD/FRIA, gouvernance IA, littératie (Art. 4) et positionnement.

L’essentiel. L’AI Act (règlement (UE) 2024/1689) ne crée pas de « délégué à l’IA » obligatoire, mais il transforme de fait le rôle du DPO. Le délégué devient souvent le point de coordination naturel de la conformité IA : inventaire des systèmes, articulation entre l’AIPD (Art. 35 RGPD) et l’analyse d’impact sur les droits fondamentaux (FRIA, Art. 27), gouvernance des données d’entraînement, et pilotage de l’obligation de littératie IA (Art. 4). Ce rôle élargi doit être formalisé sans confondre le DPO avec un responsable IA, qui relève d’une logique métier distincte.

Depuis l’entrée en application progressive du AI Act, une question revient dans presque tous mes échanges avec des DPO : « Est-ce que la conformité IA, c’est mon rôle ? ». La réponse est nuancée. Le règlement n’impose pas de désigner un délégué à l’IA. Mais dans les faits, le DPO est le professionnel le mieux positionné pour absorber une large part de la conformité IA, parce que la majorité des systèmes d’IA à haut risque traitent des données personnelles, et parce que le DPO maîtrise déjà la logique d’analyse d’impact, de registre et de gouvernance.

Cet article détaille comment l’AI Act redéfinit concrètement les missions du DPO, où se situent les nouvelles obligations, et comment articuler ce rôle élargi avec les autres fonctions de gouvernance. Pour le contexte, voir notre actualité AI Act 2026 et le calendrier de l’AI Act.

L’AI Act crée-t-il un « DPO de l’IA » ?

Non — et c’est important de le dire clairement. Le AI Act n’institue aucune fonction obligatoire équivalente au DPO du RGPD. Il n’existe pas de « délégué à l’IA » imposé par le règlement. Le texte répartit les responsabilités entre fournisseurs et déployeurs de systèmes d’IA, sans désigner de fonction dédiée.

En revanche, deux dynamiques poussent le DPO au centre du dispositif :

  • Le recouvrement matériel : la plupart des systèmes d’IA à haut risque de l’annexe III (RH, recrutement, accès aux services, éducation) traitent des données personnelles. Le DPO est déjà compétent sur ces traitements.
  • La proximité méthodologique : l’AI Act mobilise des outils que le DPO manie déjà — analyse d’impact, registre, gouvernance des données, information des personnes. Le transfert de compétence est naturel.

Le DPO devient donc, dans beaucoup d’organisations, le coordinateur de fait de la conformité IA, sans que cela soit une obligation légale. Ce rôle doit être formalisé pour éviter les zones grises de responsabilité.

Les nouvelles missions concrètes du DPO

1. L’inventaire des systèmes d’IA

Première brique : on ne gouverne que ce qu’on connaît. Le DPO est bien placé pour piloter le recensement des systèmes d’IA en usage, y compris les outils SaaS introduits par les métiers hors circuit DSI (ChatGPT, Copilot, Mistral, etc.). Cet inventaire alimente le registre des systèmes d’IA, pendant naturel du registre des traitements.

2. La classification des risques

Chaque système doit être classé (risque inacceptable, haut risque, risque limité, minimal). Le DPO, habitué à qualifier les traitements, contribue à cette classification des risques IA, qui détermine le régime d’obligations applicable.

3. L’articulation AIPD / FRIA

C’est le cœur du rôle élargi. Deux analyses d’impact coexistent désormais :

Analyse Base légale Objet Qui la mène
AIPD Art. 35 RGPD Risques pour la protection des données personnelles Responsable de traitement, avec l’avis du DPO
FRIA Art. 27 AI Act Risques pour les droits fondamentaux (systèmes haut risque, certains déployeurs) Déployeur du système à haut risque

L’analyse d’impact sur les droits fondamentaux (FRIA) de l’article 27 est une nouveauté du AI Act. Elle vise certains déployeurs de systèmes à haut risque (notamment organismes publics et certains acteurs privés fournissant des services essentiels) et couvre un périmètre plus large que l’AIPD : discrimination, atteinte aux droits fondamentaux, effets sur les groupes de personnes.

Le DPO est le mieux placé pour articuler ces deux analyses sans les dupliquer : lorsqu’un système traite des données personnelles ET relève du haut risque, l’AIPD et la FRIA se recoupent partiellement. Une méthodologie intégrée évite le doublon et les incohérences. Voir nos guides AIPD et intelligence artificielle et AIPD. Les modalités précises de la FRIA restent à préciser par les lignes directrices attendues de la Commission et de l’AI Office.

4. La gouvernance des données d’entraînement

L’article 10 du AI Act impose, pour les systèmes haut risque, une gouvernance des jeux de données d’entraînement, de validation et de test (pertinence, représentativité, absence de biais). Le DPO apporte sa compétence sur la licéité et la minimisation, en lien avec les données sensibles éventuellement présentes.

5. Le pilotage de la littératie IA (Art. 4)

L’article 4 impose, depuis février 2025, que le personnel concevant ou utilisant des systèmes d’IA dispose d’un niveau suffisant de littératie en matière d’IA. Cette obligation de formation, souvent négligée, est un terrain naturel pour le DPO, qui pilote déjà la sensibilisation RGPD. Documenter la formation dispensée est aussi un élément de preuve en cas de contrôle — voir notre guide contrôles AI Act 2026.

6. L’information des personnes et la transparence

L’article 50 impose d’informer les personnes lorsqu’elles interagissent avec un système d’IA ou lorsqu’un contenu est généré par IA. Le DPO intègre ces mentions dans les politiques de confidentialité et les procédures d’information, en cohérence avec les obligations RGPD.

7. La supervision de la chaîne de sous-traitance IA

Un système d’IA déployé en entreprise mobilise presque toujours une chaîne d’acteurs : le fournisseur du modèle de fondation, l’éditeur qui l’intègre dans une application, l’hébergeur cloud, parfois un intégrateur. Le DPO doit cartographier cette chaîne comme il le fait déjà pour les sous-traitants au sens de l’article 28 RGPD. L’AI Act ajoute une exigence de traçabilité : savoir quel modèle sous-tend quel outil, quelles données transitent où, et quelles garanties chaque maillon apporte. Pour les outils bâtis sur des modèles américains (Copilot, ChatGPT), cette cartographie recoupe l’analyse des transferts hors UE.

L’impact organisationnel sur la fonction DPO

Ces missions élargies ont un effet concret sur la charge et le positionnement du DPO. Trois évolutions se dessinent dans les organisations qui prennent le sujet au sérieux :

  • Une montée en compétence technique : le DPO doit comprendre, au moins fonctionnellement, comment un modèle est entraîné, ce qu’est un biais algorithmique, pourquoi une IA générative peut « halluciner ». Sans cette culture, il ne peut ni conseiller ni contrôler utilement.
  • Un travail en binôme avec les fonctions IT et métier : la conformité IA ne se pilote pas depuis un bureau isolé. Le DPO s’appuie sur la DSI pour la dimension technique et sur les métiers pour la finalité réelle des systèmes.
  • Un besoin d’outillage : multiplier les tableurs devient vite ingérable dès qu’une organisation dépasse une poignée de systèmes d’IA. La tenue d’un inventaire vivant, articulé au registre RGPD, appelle un outil dédié.

Le risque inverse existe aussi : celui d’un DPO à qui l’on confie la conformité IA sans lui donner ni le temps, ni la formation, ni l’autorité correspondante. Une désignation de façade, sans moyens, expose l’organisation autant que l’absence de désignation. La direction doit calibrer les ressources sur l’ampleur réelle du parc de systèmes d’IA.

DPO ou responsable IA : deux fonctions distinctes

Il faut se garder de tout confondre. Le DPO reste un contrôleur indépendant de la conformité, avec un statut protégé par le RGPD (Art. 37-39). Un responsable IA (ou AI officer, ou chef de projet IA) relève d’une logique métier et opérationnelle : il conçoit, déploie et exploite les systèmes.

Dimension DPO Responsable IA
Nature Contrôle, conseil, indépendance Mise en œuvre opérationnelle
Base Obligatoire dans certains cas (Art. 37 RGPD) Fonction non imposée par la loi
Posture Ne doit pas être juge et partie Porte le projet et ses objectifs
Rôle AI Act Coordination conformité, avis, articulation AIPD/FRIA Responsabilité du déploiement, documentation technique

Le risque à éviter absolument : confier au DPO la conception des systèmes d’IA, ce qui créerait un conflit d’intérêts (il contrôlerait sa propre œuvre) contraire à l’indépendance exigée par l’article 38(6) du RGPD. Le DPO conseille et contrôle ; il ne pilote pas le projet IA. Pour savoir si votre organisation doit désigner un DPO, voir DPO obligatoire.

Recommandations pratiques

1. Formaliser le périmètre du DPO sur l’IA

Écrire noir sur blanc ce qui relève du DPO (coordination conformité, avis, articulation des analyses d’impact) et ce qui n’en relève pas (conception, exploitation). Une lettre de mission actualisée évite les malentendus.

2. Construire un registre IA articulé au registre RGPD

Ne pas créer deux silos. Le registre des systèmes d’IA doit dialoguer avec le registre des traitements pour les systèmes traitant des données personnelles.

3. Développer une méthodologie AIPD/FRIA intégrée

Bâtir un modèle unique couvrant les deux analyses lorsqu’elles se recoupent, avec des sections spécifiques FRIA (droits fondamentaux, discrimination, groupes affectés).

4. Piloter la littératie IA

Mettre en place et documenter un programme de formation IA adapté aux profils (concepteurs, utilisateurs métier, direction), en s’appuyant sur les recommandations CNIL sur l’IA.

5. Se former soi-même

Le DPO doit lui-même monter en compétence sur l’IA : fonctionnement des modèles, biais, décisions automatisées de l’article 22 RGPD, enjeux de la donnée générative. C’est la condition de sa crédibilité sur le sujet.

6. Obtenir un mandat et des moyens explicites

Un rôle élargi sur l’IA sans lettre de mission actualisée, sans budget de formation et sans accès aux projets en amont est une source d’exposition, pas de conformité. Le DPO doit obtenir de la direction un mandat clair, une place dans la gouvernance des projets IA dès leur conception, et les moyens d’outiller sa mission. C’est aussi la meilleure protection de l’organisation : un DPO informé tôt peut corriger une trajectoire non conforme avant qu’un système ne soit déployé, quand la correction reste peu coûteuse. Associer le DPO en aval, une fois l’outil en production, revient à subir la contrainte au lieu de la piloter.

FAQ : le DPO face à l’AI Act

L’AI Act oblige-t-il à désigner un DPO de l’IA ?

Non. Le AI Act ne crée aucune fonction obligatoire équivalente au DPO. Il répartit les responsabilités entre fournisseurs et déployeurs. Dans les faits, le DPO devient souvent le coordinateur naturel de la conformité IA, mais ce n’est pas une obligation légale.

Quelle est la différence entre AIPD et FRIA ?

L’AIPD (Art. 35 RGPD) évalue les risques pour la protection des données personnelles. La FRIA (Art. 27 AI Act) évalue les risques pour les droits fondamentaux et concerne certains déployeurs de systèmes à haut risque. Elles se recoupent partiellement mais ont des bases juridiques et des périmètres distincts.

Le DPO peut-il aussi être le responsable des projets IA ?

Ce n’est pas recommandé. Concevoir ou exploiter les systèmes d’IA tout en contrôlant leur conformité créerait un conflit d’intérêts contraire à l’indépendance exigée du DPO (Art. 38(6) RGPD). Le DPO conseille et contrôle ; un responsable IA distinct porte le projet.

Qu’est-ce que la littératie IA de l’article 4 ?

C’est l’obligation, applicable depuis février 2025, d’assurer que le personnel concevant ou utilisant des systèmes d’IA dispose d’un niveau de compréhension suffisant de ces systèmes. Le DPO est bien placé pour piloter et documenter cette formation.

Le DPO doit-il tenir un registre des systèmes d’IA ?

Le AI Act n’impose pas formellement un « registre » côté déployeur au sens strict, mais un inventaire structuré des systèmes d’IA est une bonne pratique essentielle et le socle de toute conformité. Il s’articule naturellement avec le registre des traitements du DPO.

Comment le DPO peut-il gérer cette charge supplémentaire ?

En outillant la démarche et en la structurant plutôt qu’en la traitant au cas par cas. Un logiciel de conformité permet de centraliser l’inventaire des systèmes d’IA, les AIPD, la documentation FRIA et le suivi de la formation, pour absorber la charge sans démultiplier les tableurs. Pour évaluer votre maturité globale, voir notre guide audit RGPD.