Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juillet 2026
Votre DPA protège vos données personnelles. Mais protège-t-il vos données face à l’intelligence artificielle ? En 2026, l’AI Act s’applique progressivement, et le DPA classique ne suffit plus. L’articulation entre DPA et AI Act est le nouveau chantier de conformité. Entraînement de modèles sur vos données, transparence, systèmes à haut risque, surveillance humaine, répartition des rôles : autant d’enjeux que votre accord de sous-traitance doit désormais couvrir. Cet article présente les 5 clauses à ajouter à votre DPA pour articuler RGPD et AI Act, leur cadre juridique et les pièges à éviter.
SOMMAIRE
- Pourquoi articuler DPA et AI Act est stratégique en 2026
- Le cadre juridique applicable
- Les 5 clauses à ajouter
- Tableau de synthèse des clauses
- Les 5 pièges à éviter
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi articuler DPA et AI Act est stratégique en 2026
L’intelligence artificielle s’invite dans presque tous les traitements de données. Le DPA classique n’avait pas anticipé cette révolution. Trois dynamiques rendent l’articulation entre DPA et AI Act incontournable en 2026.
1.1 L’IA partout dans les traitements
Les outils SaaS intègrent massivement des fonctions d’IA. Analyse, scoring, génération de contenu, aide à la décision : l’IA traite désormais les données personnelles. Or, le DPA standard ne prévoit rien sur ces usages. Il encadre la protection des données, pas les spécificités de l’IA. Cette lacune crée un angle mort. Cette articulation comble un vide devenu incontournable.
1.2 L’application progressive de l’AI Act
L’AI Act (Règlement UE 2024/1689) entre en application par étapes. Les interdictions s’appliquent déjà, et les obligations pour les systèmes à haut risque suivent un calendrier progressif. Les entreprises doivent donc anticiper. Attendre expose à une non-conformité coûteuse. Mettre à jour son DPA dès maintenant est la démarche prudente. C’est pourquoi cette mise à jour devient urgente en 2026.
1.3 Le cumul des sanctions
Les sanctions se cumulent. L’AI Act prévoit jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites. Le RGPD prévoit jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Un traitement par IA mal encadré expose donc aux deux. Le contrat est le meilleur outil pour répartir ces risques. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
2. Le cadre juridique applicable
L’articulation entre DPA et AI Act repose sur deux réglementations qui se complètent. Quatre fondements principaux structurent ce nouveau cadre.
2.1 Le DPA et l’article 28 du RGPD
L’article 28 du RGPD (Règlement UE 2016/679) impose le DPA entre le responsable de traitement et son sous-traitant. Ce contrat encadre les finalités, la sécurité et les instructions. Un principe est central : le sous-traitant agit uniquement sur instruction du responsable. Cette règle est décisive pour l’IA. Utiliser les données à d’autres fins, comme entraîner un modèle, sort du cadre du DPA classique.
2.2 L’AI Act et ses obligations (Règlement UE 2024/1689)
L’AI Act (Règlement UE 2024/1689) encadre les systèmes d’intelligence artificielle. Il impose des obligations selon le niveau de risque. Les systèmes à haut risque (Annexe III) sont soumis aux exigences les plus strictes. L’article 50 impose la transparence pour certains systèmes. L’article 14 exige une surveillance humaine. Ces obligations sont nouvelles et distinctes de celles du RGPD. Le DPA doit désormais les intégrer.
2.3 La distinction des rôles
L’AI Act définit des rôles propres : fournisseur (qui développe le système d’IA) et déployeur (qui l’utilise). Ces rôles ne coïncident pas avec ceux du RGPD (responsable de traitement et sous-traitant). Une même partie peut cumuler plusieurs qualités. Cette superposition crée une complexité nouvelle. Le contrat doit clarifier qui est quoi, pour répartir correctement les obligations entre les parties.
2.4 Les sanctions cumulées
Les deux règlements prévoient des sanctions lourdes. L’AI Act atteint 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites, et 15 millions d’euros ou 3 % pour les manquements sur les systèmes à haut risque. Le RGPD atteint 20 millions d’euros ou 4 %. Ces sanctions se cumulent pour un même traitement. Le contrat permet de répartir ces risques. Pour aller plus loin, consultez nos services en matière de contrats commerciaux et IT.
3. Les 5 clauses à ajouter
Cinq clauses permettent d’articuler efficacement DPA et AI Act. Chacune couvre un enjeu que le DPA classique laisse ouvert.
3.1 La clause d’encadrement de l’entraînement des modèles
La première clause est la plus importante. Elle encadre l’usage des données pour entraîner des modèles d’IA. Le contrat doit soit interdire cet usage, soit l’autoriser sous conditions strictes (anonymisation, finalité définie, accord exprès). Sans cette clause, un fournisseur peut exploiter les données du client pour ses propres modèles. Cette clause protège la valeur et la confidentialité des données. C’est le cœur de l’articulation des deux cadres.
3.2 La clause de transparence (article 50)
La deuxième clause concerne la transparence. L’article 50 de l’AI Act impose d’informer les personnes lorsqu’elles interagissent avec une IA ou face à des contenus générés (deepfakes). Le contrat doit répartir cette obligation entre les parties. Il précise qui informe les personnes concernées et comment. Cette clause évite que chacun pense que l’autre s’en charge. La transparence est une obligation nouvelle à contractualiser clairement.
3.3 La clause sur les systèmes à haut risque
La troisième clause traite du haut risque. Si le système d’IA relève de l’Annexe III de l’AI Act (par exemple en ressources humaines ou en santé), il est soumis à des obligations strictes. Le contrat doit prévoir la répartition de ces obligations : documentation, gestion des risques, conformité. Il doit aussi garantir la coopération des parties. Cette clause anticipe le régime le plus contraignant de l’AI Act.
3.4 La clause de surveillance humaine (article 14)
La quatrième clause organise la surveillance humaine. L’article 14 de l’AI Act impose que les systèmes à haut risque restent sous contrôle humain. Le contrat doit définir qui exerce cette surveillance et comment. Il précise les moyens donnés à l’humain pour intervenir, corriger ou arrêter le système. Cette clause traduit une exigence centrale de l’AI Act : l’IA ne doit jamais échapper au contrôle humain.
3.5 La clause de répartition des rôles et responsabilités
La cinquième clause clarifie les rôles. Elle identifie qui est fournisseur et déployeur au sens de l’AI Act, et qui est responsable de traitement et sous-traitant au sens du RGPD. Elle répartit ensuite les obligations et les responsabilités qui en découlent. Cette clause évite les zones grises et les rejets de responsabilité. Elle est la clé de voûte de l’articulation entre DPA et AI Act.
4. Tableau de synthèse des clauses
Le tableau ci-dessous synthétise les 5 clauses à ajouter, leur fondement et leur niveau de criticité.
| Clause | Fondement | Criticité |
|---|---|---|
| 1. Entraînement des modèles | Art. 28 RGPD / finalité | 🔴 Critique |
| 2. Transparence | Art. 50 AI Act | 🟠 Élevée |
| 3. Systèmes à haut risque | Annexe III AI Act | 🔴 Critique |
| 4. Surveillance humaine | Art. 14 AI Act | 🟠 Élevée |
| 5. Rôles et responsabilités | Art. 26 AI Act / Art. 28 RGPD | 🔴 Critique |
5. Les 5 pièges à éviter
Au-delà des clauses, plusieurs pièges récurrents fragilisent l’articulation des deux cadres. Les identifier permet de sécuriser le contrat.
5.1 Croire que le DPA classique suffit
Le premier piège est l’inertie. Beaucoup pensent qu’un DPA à jour sur le RGPD suffit. C’est faux dès qu’une IA intervient. Le DPA classique ne couvre pas les obligations de l’AI Act. Un contrat silencieux sur l’IA laisse des risques non répartis. Il faut donc compléter le DPA. Articuler DPA et AI Act n’est pas une option, mais une nécessité dès qu’un système d’IA traite les données.
5.2 Ignorer l’entraînement caché des modèles
Le deuxième piège est l’usage caché des données. De nombreux fournisseurs utilisent les données de leurs clients pour entraîner leurs modèles, parfois sans clause claire. Le client perd alors le contrôle de ses données. Il faut lire attentivement les conditions et exiger une clause explicite. Interdire ou encadrer strictement cet entraînement est essentiel. C’est le risque le plus fréquent et le plus sous-estimé.
5.3 Confondre les rôles RGPD et AI Act
Le troisième piège est la confusion des qualifications. Les rôles du RGPD (responsable, sous-traitant) et de l’AI Act (fournisseur, déployeur) ne se superposent pas. Une même partie peut cumuler des qualités différentes. Confondre ces rôles conduit à mal répartir les obligations. Il faut donc les qualifier précisément dans le contrat. Cette analyse est indispensable pour attribuer correctement les responsabilités.
5.4 Oublier la surveillance humaine
Le quatrième piège est l’automatisation sans contrôle. L’article 14 de l’AI Act impose une surveillance humaine pour les systèmes à haut risque. Beaucoup de contrats l’oublient. Or, une IA qui décide seule, sans supervision, peut créer des dommages et une non-conformité. Le contrat doit désigner qui surveille et avec quels moyens. La surveillance humaine est une exigence à ne jamais négliger.
5.5 Négliger le calendrier d’application
Le cinquième piège est l’attentisme. L’AI Act s’applique par étapes, mais certaines obligations sont déjà en vigueur. Attendre la dernière échéance est risqué. Les contrats signés aujourd’hui doivent anticiper les obligations à venir. Un DPA mis à jour dès 2026 évite une renégociation dans l’urgence. Anticiper le calendrier de l’AI Act est une démarche prudente et protectrice.
6. Pourquoi faire appel à Atias Avocats
Articuler DPA et AI Act exige une combinaison rare de compétences : maîtrise du RGPD et de l’article 28 (régime de la sous-traitance, finalités, instructions), expertise de l’AI Act (rôles, systèmes à haut risque, transparence, surveillance humaine), compréhension technique du fonctionnement des systèmes d’IA et de leur entraînement, et pratique de la rédaction contractuelle pour répartir les responsabilités. Cette pluridisciplinarité, à la croisée de la protection des données et du droit de l’IA, est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique.
Atias Avocats accompagne DPO, DSI, directions juridiques, éditeurs de solutions d’IA, fondateurs et grands groupes sur l’ensemble du sujet : ajout de clauses AI Act à un DPA existant, rédaction d’un DPA intégrant nativement l’IA, qualification des rôles fournisseur et déployeur, audit de conformité AI Act d’un traitement par IA, cartographie des systèmes d’IA et gouvernance, défense en cas de contrôle. Pour aller plus loin, consultez nos services en matière de contrats commerciaux et IT.
Conclusion
L’IA a transformé les traitements de données, mais les contrats n’ont pas suivi. Le DPA classique, conçu pour le RGPD, laisse ouverts les nouveaux risques liés à l’intelligence artificielle. Les cinq clauses présentées ici — entraînement des modèles, transparence, systèmes à haut risque, surveillance humaine, répartition des rôles — combinées à la vigilance sur les cinq pièges classiques, offrent un référentiel directement utilisable par DPO, DSI et directions juridiques pour articuler DPA et AI Act.
L’investissement requis pour cette mise à jour est sans commune mesure avec le cumul des sanctions du RGPD et de l’AI Act, qui peut atteindre plusieurs millions d’euros. À l’heure de l’application progressive de l’AI Act, un DPA silencieux sur l’IA est une prise de risque. Le réflexe à adopter est clair : identifier les systèmes d’IA, ajouter les cinq clauses, qualifier les rôles, encadrer l’entraînement et anticiper le calendrier. C’est précisément cette rigueur qui transforme une contrainte réglementaire nouvelle en avantage de conformité maîtrisé.
FAQ — Questions fréquentes
Faut-il modifier son DPA à cause de l’AI Act ?
Oui, dès qu’un traitement de données personnelles implique un système d’IA, le DPA (Data Processing Agreement, l’accord de sous-traitance exigé par l’article 28 du RGPD) mérite d’être complété. Le DPA classique encadre la protection des données personnelles, mais il ne traite pas des obligations propres à l’IA : transparence, systèmes à haut risque, surveillance humaine, usage des données pour entraîner des modèles. L’AI Act (Règlement UE 2024/1689) impose ces obligations en plus du RGPD. Articuler DPA et AI Act consiste donc à ajouter des clauses spécifiques qui couvrent ces nouveaux enjeux. Un DPA silencieux sur l’IA laisse des zones de risque non couvertes. En 2026, avec l’application progressive de l’AI Act, cette mise à jour devient une bonne pratique incontournable pour tout contrat impliquant de l’intelligence artificielle.
Un fournisseur peut-il entraîner son IA sur mes données ?
Seulement si le contrat l’autorise expressément, et c’est un point à verrouiller absolument. Par défaut, un sous-traitant agit uniquement sur instruction du responsable de traitement (article 28 du RGPD). Utiliser les données pour entraîner ses propres modèles d’IA constitue un traitement pour son compte propre, qui dépasse ce cadre. Sans clause claire, cet usage est illicite. En pratique, beaucoup de fournisseurs prévoient discrètement cette possibilité dans leurs conditions. L’articulation entre DPA et AI Act impose donc une clause explicite : soit l’interdiction d’utiliser les données pour entraîner des modèles, soit un encadrement strict avec garanties (anonymisation, finalité, opt-in). C’est l’une des clauses les plus importantes à ajouter en 2026, car elle protège la valeur et la confidentialité des données du client.
Quelle est la différence entre fournisseur et déployeur dans l’AI Act ?
L’AI Act distingue plusieurs rôles, dont deux principaux. Le fournisseur (provider) développe le système d’IA ou le met sur le marché sous son nom. Le déployeur (deployer) utilise le système d’IA sous sa propre autorité, dans un cadre professionnel. Ces rôles emportent des obligations différentes : le fournisseur porte l’essentiel des obligations de conformité, tandis que le déployeur doit notamment assurer la surveillance humaine et un usage conforme. Or, ces rôles AI Act ne coïncident pas toujours avec les rôles RGPD (responsable de traitement et sous-traitant). Une même partie peut être sous-traitant au sens du RGPD et déployeur au sens de l’AI Act. C’est pourquoi l’articulation entre DPA et AI Act doit clarifier qui joue quel rôle, pour répartir correctement les responsabilités entre les parties.
Quelles sont les sanctions en cas de non-conformité à l’AI Act ?
Les sanctions de l’AI Act sont lourdes, et parmi les plus élevées du droit européen. Pour les pratiques interdites (systèmes d’IA prohibés), l’amende peut atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Pour le non-respect des obligations applicables aux systèmes à haut risque, elle peut atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. Ces sanctions s’ajoutent à celles du RGPD (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial). Un traitement de données par IA mal encadré expose donc à un cumul de risques. C’est pourquoi articuler DPA et AI Act n’est pas un luxe : c’est une protection contre des sanctions qui peuvent être considérables. Les clauses contractuelles bien rédigées permettent de répartir ces risques entre les parties.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — RGPD, AI Act, Sous-traitance, Contrats IT