IA Act vs RGPD : Différences et Complémentarités pour les Experts-Comptables
Les cabinets comptables entendent de plus en plus parler de deux cadres réglementaires européens : le RGPD, déjà bien installé dans les pratiques de conformité, et l'IA Act, qui redessine la gouvernance des systèmes d'intelligence artificielle. Beaucoup de dirigeants de cabinet se posent la même question : faut-il traiter l'IA Act comme une nouvelle couche du RGPD, ou comme un chantier totalement distinct ? La bonne réponse est entre les deux. Les textes poursuivent des objectifs différents, s'appliquent à des objets différents, mais se croisent très souvent dans les usages concrets des experts-comptables, notamment lorsqu'un outil d'IA traite des données clients, automatise une analyse ou produit des recommandations ayant un impact métier.
Pour un cabinet, comprendre les différences entre IA Act et RGPD est devenu essentiel. Non seulement pour éviter un angle mort de conformité, mais aussi pour cadrer correctement les déploiements d'outils d'IA générative, d'assistants documentaires, d'automatisation de la saisie, de contrôle de cohérence, d'analyse de trésorerie ou de scoring de dossiers. Dans cet article, nous faisons le point sur la complémentarité entre IA Act et RGPD, les zones de chevauchement, les obligations spécifiques à chacun, et la manière de construire une matrice de conformité simple pour un cabinet d'expertise comptable.
1. Le point de départ : l'objet du RGPD n'est pas celui de l'IA Act
Le RGPD protège les personnes physiques lorsque leurs données personnelles sont collectées, utilisées, conservées ou partagées. Son centre de gravité, c'est la donnée personnelle : identité, coordonnées, données salariales, informations fiscales, données bancaires, tout ce qui permet d'identifier directement ou indirectement une personne. Peu importe que le traitement soit manuel, automatisé, intelligent ou non. Si des données personnelles circulent, le RGPD peut s'appliquer.
L'IA Act, lui, ne vise pas d'abord la donnée personnelle. Il vise les systèmes d'IA, leur niveau de risque, leurs conditions de mise sur le marché, de mise en service ou d'utilisation. Son centre de gravité, c'est le système, ses finalités, ses capacités, ses usages et les risques qu'il fait peser sur les droits fondamentaux, la sécurité ou la transparence.
Autrement dit, un outil peut relever du RGPD sans relever fortement de l'IA Act, et inversement. Un moteur de paie classique manipulant des données personnelles est très RGPD. Un outil d'IA qui génère des synthèses internes sans traiter de données personnelles peut entrer dans le champ IA Act avec un enjeu RGPD limité. Mais dans un cabinet comptable, la réalité la plus fréquente est le croisement des deux : un système d'IA traite des données personnelles, parfois sensibles, parfois à fort enjeu professionnel.
2. Pourquoi les cabinets d'expertise comptable sont concernés par les deux textes
Un cabinet est presque toujours déjà exposé au RGPD, car il traite quotidiennement des données de salariés, de dirigeants, de clients particuliers, d'entrepreneurs individuels ou de représentants de sociétés. En parallèle, il adopte de plus en plus d'outils incorporant de l'IA : OCR intelligent, rapprochement automatique, assistants de rédaction, extraction d'informations depuis des pièces, copilotes métier, outils de détection d'anomalies, voire logiciels de scoring ou d'aide à la décision.
C'est là que le sujet devient concret. Si votre cabinet utilise un assistant d'analyse financière qui produit un niveau de risque sur un dossier client, vous devez vous demander :
- quelles données personnelles alimentent le système ;
- sur quelle base juridique ce traitement repose ;
- si les personnes concernées sont correctement informées ;
- si des sous-traitants interviennent et avec quelles garanties ;
- et, côté IA Act, si l'usage ou la catégorie du système entraîne des obligations spécifiques de transparence, de documentation, de supervision humaine ou de gestion du risque.
Le réflexe utile pour un expert-comptable est donc le suivant : RGPD = que fait-on des données personnelles ? IA Act = quel est le niveau de risque du système d'IA et comment l'encadre-t-on ?
3. Les principales différences entre IA Act et RGPD
Pour clarifier les arbitrages, voici les différences les plus structurantes.
- Objet réglementaire : le RGPD encadre les traitements de données personnelles, l'IA Act encadre les systèmes d'IA.
- Logique de conformité : le RGPD repose sur les principes de licéité, proportionnalité, minimisation et droits des personnes ; l'IA Act repose sur une logique par niveaux de risque.
- Déclencheur : pour le RGPD, il faut des données personnelles ; pour l'IA Act, il faut un système entrant dans sa définition et un usage visé par le texte.
- Acteurs visés : le RGPD cible responsables de traitement et sous-traitants ; l'IA Act vise notamment fournisseurs, déployeurs, importateurs, distributeurs et certains utilisateurs professionnels.
- Obligations clés : registre, information, DPA, DPIA, sécurité et gestion des droits pour le RGPD ; documentation, gouvernance du risque, supervision humaine, transparence et suivi post-déploiement pour l'IA Act selon les cas.
- Philosophie : le RGPD protège la vie privée ; l'IA Act encadre les risques sociétaux, opérationnels et fondamentaux liés à l'IA.
Ces différences sont importantes, car elles évitent une erreur fréquente : croire qu'un cabinet déjà « conforme RGPD » serait automatiquement prêt pour l'IA Act. Ce n'est pas le cas. Le RGPD fournit une base de gouvernance utile, mais il ne remplace pas la qualification des usages d'IA, ni la documentation spécifique des systèmes, ni la vérification des catégories de risque.
🤖 Votre cabinet sait-il vraiment distinguer RGPD et IA Act ?
Faites le diagnostic Klareo pour identifier vos angles morts de conformité et prioriser les actions les plus urgentes.
Faire le diagnostic →4. Là où l'IA Act et le RGPD se recoupent réellement
Malgré leurs différences, les deux textes se rencontrent dans plusieurs dimensions opérationnelles. D'abord, la gouvernance. Les deux imposent une logique de responsabilité, de documentation et de preuve. Ensuite, la gestion du risque. Le RGPD demande d'identifier les risques pour les personnes et, dans certains cas, de conduire une analyse d'impact relative à la protection des données. L'IA Act, surtout pour les systèmes à haut risque, impose également une documentation des risques, des contrôles et de la supervision.
Ils se recoupent aussi sur la transparence. Le RGPD impose d'informer les personnes sur l'utilisation de leurs données. L'IA Act impose, selon les cas, d'informer qu'une interaction ou un contenu implique de l'IA. Enfin, ils se rejoignent sur la maîtrise des prestataires : si votre cabinet s'appuie sur un éditeur SaaS intégrant de l'IA, vous devez à la fois examiner ses engagements RGPD et comprendre sa posture IA Act.
Exemple simple : un copilote qui rédige des réponses à des e-mails clients à partir d'informations extraites du dossier. RGPD : quelles données personnelles partent dans l'outil, où sont-elles hébergées, quelle base juridique, quelle durée de conservation, quelles garanties contractuelles ? IA Act : quel type de système, quel niveau de risque, quelles consignes de supervision humaine, quelles limites d'usage, quelle traçabilité des sorties ?
5. Les obligations à ne pas confondre dans un cabinet
Côté RGPD
Le cabinet doit continuer à sécuriser ses fondamentaux : registre des traitements, information des clients et salariés, base juridique, contrats de sous-traitance, limitation des accès, politique de conservation, sécurité des environnements, gestion des droits d'accès et, quand nécessaire, analyse d'impact. L'ajout d'un outil d'IA ne supprime rien, il augmente souvent l'exigence de vigilance.
Côté IA Act
Le cabinet doit d'abord cartographier ses usages d'IA. Tous les outils ne présentent pas le même enjeu. Un assistant rédactionnel interne n'appelle pas le même niveau de formalisme qu'un système influençant une décision crédit, un recrutement ou une évaluation automatisée. Il faut ensuite qualifier le rôle du cabinet : simple utilisateur, déployeur, intégrateur d'un outil tiers, ou acteur proposant à ses clients des solutions embarquant de l'IA. Enfin, il faut documenter les procédures internes : supervision humaine, restrictions d'usage, validation des résultats, gestion des erreurs, choix des fournisseurs.
6. Enforcement et sanctions : deux régimes, une même exigence de preuve
Le RGPD est déjà bien connu pour ses contrôles par les autorités de protection des données, comme la CNIL en France. Les sanctions peuvent être lourdes, mais au-delà de l'amende, le vrai coût est souvent opérationnel : mise en demeure, remédiation rapide, perte de confiance des clients, tension avec les donneurs d'ordre et risque réputationnel.
L'IA Act introduit un cadre d'enforcement distinct, avec des autorités compétentes selon les dispositifs nationaux et européens. Là encore, la sanction financière compte, mais pour les cabinets, l'effet le plus immédiat viendra probablement des exigences contractuelles, des questionnaires fournisseurs, des audits clients, des assureurs et de la pression de place. En pratique, les cabinets devront être capables de démontrer qu'ils savent quels outils d'IA ils utilisent, pour quoi, avec quelles règles, et sous quelle supervision.
La logique commune est claire : ce qui n'est pas documenté sera difficile à défendre. Sur ce point, l'expérience acquise avec le RGPD est un avantage précieux pour aborder l'IA Act avec méthode.
7. Matrice pratique de conformité IA Act / RGPD pour un cabinet comptable
La façon la plus utile de piloter les deux textes est de construire une matrice simple, par usage. Pour chaque outil ou cas d'usage, posez quatre questions : traite-t-il des données personnelles ? a-t-il un impact sur une décision ou une appréciation métier ? existe-t-il une interaction directe ou indirecte avec un client ou un collaborateur ? le fournisseur fournit-il une documentation claire sur la conformité et la gouvernance ?
- Usage 1 : OCR et extraction de pièces comptables
RGPD : oui, car données personnelles fréquentes. IA Act : généralement enjeu faible à modéré, mais documentation fournisseur et supervision nécessaires. - Usage 2 : assistant de rédaction interne
RGPD : oui si prompts ou pièces contiennent des données personnelles. IA Act : obligation de cadrage d'usage, de revue humaine et de politique interne. - Usage 3 : détection d'anomalies ou de fraude
RGPD : oui, souvent fortement. IA Act : examiner le niveau de risque, les biais, la supervision et la traçabilité. - Usage 4 : scoring de solvabilité ou recommandation automatisée
RGPD : très sensible, avec vigilance particulière sur les décisions automatisées. IA Act : potentiellement haut risque selon le contexte, donc exigence renforcée. - Usage 5 : chatbot client ou portail enrichi par IA
RGPD : information, consentement ou autre base légale selon le traitement, sécurité et encadrement des données. IA Act : transparence sur l'interaction avec une IA.
Cette matrice devient rapidement votre tableau de bord. Elle permet d'éviter les discussions abstraites et de piloter les priorités. En général, un cabinet n'a pas besoin de produire une usine à gaz. Il a besoin d'un inventaire propre, d'une qualification sérieuse et d'un socle documentaire cohérent.
8. La bonne stratégie : ne pas opposer les deux textes
La meilleure approche n'est pas de traiter le RGPD et l'IA Act comme deux mondes séparés, ni de les fusionner artificiellement. Il faut plutôt organiser une conformité à deux étages. Premier étage : votre socle RGPD, qui sécurise la gestion des données. Deuxième étage : votre gouvernance IA, qui encadre la sélection, l'usage, la revue et la surveillance des systèmes d'IA.
Dans les cabinets les plus avancés, cela se traduit par des mesures très concrètes : une politique d'usage de l'IA, une liste d'outils autorisés, des consignes sur les données qu'il est interdit de coller dans certains assistants, un processus de validation avant déploiement, des clauses contractuelles revues avec les fournisseurs et un point de contrôle régulier entre référent conformité, IT et direction de mission.
Pour les experts-comptables, c'est aussi une opportunité de conseil. Les clients vont eux aussi confondre protection des données et conformité IA. Un cabinet capable d'expliquer clairement ce qui relève du RGPD, ce qui relève de l'IA Act, et comment articuler les deux va créer beaucoup de valeur, en interne comme en mission.
🎯 Besoin d'une feuille de route claire ?
Le diagnostic Klareo vous aide à prioriser vos obligations RGPD et IA Act selon les usages réels de votre cabinet.
Lancer le diagnostic IA →9. Ce qu'un cabinet doit faire maintenant
- Inventorier les outils d'IA déjà utilisés dans les équipes et chez les prestataires critiques.
- Identifier les flux de données personnelles associés à chaque usage.
- Qualifier le niveau de risque de chaque système ou fonctionnalité d'IA.
- Documenter une politique interne d'usage, de validation et de supervision humaine.
- Vérifier les contrats éditeurs sur les volets RGPD, sécurité, localisation, sous-traitance et gouvernance IA.
- Former les collaborateurs pour éviter les usages invisibles ou non maîtrisés.
- Tenir une matrice de conformité simple, mise à jour à chaque nouveau déploiement.
En résumé, le RGPD et l'IA Act ne se remplacent pas. Ils se complètent. Le premier protège la donnée personnelle, le second encadre les systèmes d'IA et leurs risques. Pour un cabinet comptable, la vraie maturité consiste à savoir traiter les deux ensemble, sans confusion et sans doublons inutiles. Ceux qui structureront cette gouvernance dès maintenant seront non seulement plus sereins face aux contrôles, mais aussi mieux placés pour faire de la conformité IA un levier de différenciation.