Le piège classique
Ce considérant final acte que le AI Act a ete co-construit avec le CEPD et l'EDPB, les deux gardiens européens de la protection des données. Le piège concret : croire que le AI Act remplace ou prime sur le RGPD. Faux. Les deux textes s'appliquent cumulativement, et la CNPD reste pleinement competente pour le volet données personnelles de tout système d'IA deploye au Luxembourg, en parallele de la future autorité de surveillance IA et de l'EU AI Office a Bruxelles.
Ce que cet avis conjoint EDPB-CEPD du 18 juin 2021 implique en pratique
L'avis conjoint a directement influence plusieurs garde-fous du texte final, qu'il faut anticiper dans toute gouvernance IA :
- Interdiction renforcee de la notation sociale et de l'identification biometrique a distance (articles 5), portee par la pression EDPB-CEPD.
- Articulation explicite entre AIA et RGPD : une DPIA RGPD ne dispense pas d'une analyse d'impact sur les droits fondamentaux (FRIA) au titre de l'article 27 AIA pour les systèmes a haut risque.
- Base légale RGPD obligatoire pour l'entrainement : le AI Act ne cree aucune base légale nouvelle pour traiter des données personnelles d'entrainement.
- Double notification possible en cas d'incident : CNPD sous 72h (article 33 RGPD) ET autorité de surveillance IA (article 73 AIA) si l'incident touche un système a haut risque.
- Désignation d'un point de contact unique en interne capable de dialoguer avec les deux régulateurs sans contradiction.
Le test 'cumul AIA + RGPD' : la clé de votre défense devant CNPD et future autorité IA
Un contrôle CNPD sur un chatbot, un scoring RH ou un outil de détection de fraude portera autant sur l'article 22 RGPD (décision automatisée) que sur les articles 14 et 26 AIA (supervision humaine, transparence). Si vos deux registres (registre des traitements RGPD et registre des systèmes IA AIA) ne se parlent pas, vous defendrez deux fois la même chose avec des réponses incoherentes.
Comment Luxgap automatise ce risque
Notre Luxgap Dual-Compliance Bridge reconcilie automatiquement votre registre RGPD article 30 et votre registre des systèmes IA article 49 AIA en une vue unique, opposable simultanement a la CNPD et a la future autorité IA luxembourgeoise. L'outil ingere vos traitements Odoo, vos workflows M365 Copilot, vos modèles deployes sur Azure ML, AWS Bedrock ou Vertex AI, et cartographie automatiquement les recouvrements entre obligations RGPD et obligations AIA, sans saisie manuelle.
- Detecte automatiquement chaque système d'IA actif dans votre SI via les API Azure OpenAI, AWS Bedrock, Hugging Face, GitHub Copilot for Business et flags ML d'Odoo Studio.
- Classifie chaque système selon la pyramide AIA (interdit, haut risque, risque limite, risque minimal) et croise avec sa qualification RGPD (décision automatisée article 22, profilage, traitement sensible).
- Genere automatiquement la FRIA article 27 AIA en reutilisant les elements de votre DPIA RGPD existante, evitant le double travail tout en respectant les exigences spécifiques de chaque texte.
- Alerte en temps reel quand un incident remplit les critères de double notification (CNPD 72h + autorité IA), avec brouillons pre-rediges pour chaque régulateur.
- Produit un dossier d'audit unique horodate, structure en deux volets (CNPD / autorité IA), demontrant la coherence de votre gouvernance et l'absence de contradiction entre les deux registres.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes d'IA reels, avec un audit blanc gratuit sous 48h pour mesurer votre double exposition RGPD + AIA avant tout engagement.
