{"id":23154,"date":"2026-07-14T12:48:02","date_gmt":"2026-07-14T12:48:02","guid":{"rendered":"https:\/\/atiasavocats.com\/?p=23154"},"modified":"2026-07-12T17:20:31","modified_gmt":"2026-07-12T17:20:31","slug":"dpa-ai-act-5-clauses-a-ajouter","status":"publish","type":"post","link":"https:\/\/atiasavocats.com\/en\/dpa-ai-act-5-clauses-a-ajouter\/","title":{"rendered":"DPA et AI Act : les 5 clauses \u00e0 ajouter en 2026"},"content":{"rendered":"<p class=\"wp-block-paragraph\"><em><br><em>Par\u00a0<\/em><a href=\"https:\/\/www.malt.fr\/profile\/josephdavidatias\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a><em>, avocat au Barreau de Paris \u00b7\u00a0<\/em><a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>LinkedIn<\/em><\/a><em>\u00a0\u00b7 Juillet 2026<\/em><\/em><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Votre DPA prot\u00e8ge vos donn\u00e9es personnelles. Mais prot\u00e8ge-t-il vos donn\u00e9es face \u00e0 l&rsquo;intelligence artificielle ? En 2026, l&rsquo;AI Act s&rsquo;applique progressivement, et le DPA classique ne suffit plus. L&rsquo;articulation entre DPA et AI Act est le nouveau chantier de conformit\u00e9. Entra\u00eenement de mod\u00e8les sur vos donn\u00e9es, transparence, syst\u00e8mes \u00e0 haut risque, surveillance humaine, r\u00e9partition des r\u00f4les : autant d&rsquo;enjeux que votre accord de sous-traitance doit d\u00e9sormais couvrir. Cet article pr\u00e9sente les 5 clauses \u00e0 ajouter \u00e0 votre DPA pour articuler RGPD et AI Act, leur cadre juridique et les pi\u00e8ges \u00e0 \u00e9viter.<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">SOMMAIRE<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><a href=\"#section-1\">Pourquoi articuler DPA et AI Act est strat\u00e9gique en 2026<\/a><\/li>\n\n\n\n<li><a href=\"#section-2\">Le cadre juridique applicable<\/a><\/li>\n\n\n\n<li><a href=\"#section-3\">Les 5 clauses \u00e0 ajouter<\/a><\/li>\n\n\n\n<li><a href=\"#section-4\">Tableau de synth\u00e8se des clauses<\/a><\/li>\n\n\n\n<li><a href=\"#section-5\">Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/a><\/li>\n\n\n\n<li><a href=\"#section-6\">Pourquoi faire appel \u00e0 Atias Avocats<\/a><\/li>\n\n\n\n<li><a href=\"#faq\">FAQ \u2014 Questions fr\u00e9quentes<\/a><\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">1. Pourquoi articuler DPA et AI Act est strat\u00e9gique en 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;intelligence artificielle s&rsquo;invite dans presque tous les traitements de donn\u00e9es. Le DPA classique n&rsquo;avait pas anticip\u00e9 cette r\u00e9volution. Trois dynamiques rendent l&rsquo;articulation entre DPA et AI Act incontournable en 2026.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.1 L&rsquo;IA partout dans les traitements<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les outils SaaS int\u00e8grent massivement des fonctions d&rsquo;IA. Analyse, scoring, g\u00e9n\u00e9ration de contenu, aide \u00e0 la d\u00e9cision : l&rsquo;IA traite d\u00e9sormais les donn\u00e9es personnelles. Or, le DPA standard ne pr\u00e9voit rien sur ces usages. Il encadre la protection des donn\u00e9es, pas les sp\u00e9cificit\u00e9s de l&rsquo;IA. Cette lacune cr\u00e9e un angle mort. Cette articulation comble un vide devenu incontournable.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.2 L&rsquo;application progressive de l&rsquo;AI Act<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;AI Act (R\u00e8glement UE 2024\/1689) entre en application par \u00e9tapes. Les interdictions s&rsquo;appliquent d\u00e9j\u00e0, et les obligations pour les syst\u00e8mes \u00e0 haut risque suivent un calendrier progressif. Les entreprises doivent donc anticiper. Attendre expose \u00e0 une non-conformit\u00e9 co\u00fbteuse. Mettre \u00e0 jour son DPA d\u00e8s maintenant est la d\u00e9marche prudente. C&rsquo;est pourquoi cette mise \u00e0 jour devient urgente en 2026.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.3 Le cumul des sanctions<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les sanctions se cumulent. L&rsquo;AI Act pr\u00e9voit jusqu&rsquo;\u00e0 35 millions d&rsquo;euros ou 7 % du chiffre d&rsquo;affaires mondial pour les pratiques interdites. Le RGPD pr\u00e9voit jusqu&rsquo;\u00e0 20 millions d&rsquo;euros ou 4 % du chiffre d&rsquo;affaires mondial. Un traitement par IA mal encadr\u00e9 expose donc aux deux. Le contrat est le meilleur outil pour r\u00e9partir ces risques. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/personal-data\/\"><strong>services en mati\u00e8re de protection des donn\u00e9es personnelles<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Le cadre juridique applicable<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;articulation entre DPA et AI Act repose sur deux r\u00e9glementations qui se compl\u00e8tent. Quatre fondements principaux structurent ce nouveau cadre.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.1 Le DPA et l&rsquo;article 28 du RGPD<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;article 28 du RGPD (R\u00e8glement UE 2016\/679) impose le DPA entre le responsable de traitement et son sous-traitant. Ce contrat encadre les finalit\u00e9s, la s\u00e9curit\u00e9 et les instructions. Un principe est central : le sous-traitant agit uniquement sur instruction du responsable. Cette r\u00e8gle est d\u00e9cisive pour l&rsquo;IA. Utiliser les donn\u00e9es \u00e0 d&rsquo;autres fins, comme entra\u00eener un mod\u00e8le, sort du cadre du DPA classique.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.2 L&rsquo;AI Act et ses obligations (R\u00e8glement UE 2024\/1689)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;AI Act (R\u00e8glement UE 2024\/1689) encadre les syst\u00e8mes d&rsquo;intelligence artificielle. Il impose des obligations selon le niveau de risque. Les syst\u00e8mes \u00e0 haut risque (Annexe III) sont soumis aux exigences les plus strictes. L&rsquo;article 50 impose la transparence pour certains syst\u00e8mes. L&rsquo;article 14 exige une surveillance humaine. Ces obligations sont nouvelles et distinctes de celles du RGPD. Le DPA doit d\u00e9sormais les int\u00e9grer.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.3 La distinction des r\u00f4les<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;AI Act d\u00e9finit des r\u00f4les propres : fournisseur (qui d\u00e9veloppe le syst\u00e8me d&rsquo;IA) et d\u00e9ployeur (qui l&rsquo;utilise). Ces r\u00f4les ne co\u00efncident pas avec ceux du RGPD (responsable de traitement et sous-traitant). Une m\u00eame partie peut cumuler plusieurs qualit\u00e9s. Cette superposition cr\u00e9e une complexit\u00e9 nouvelle. Le contrat doit clarifier qui est quoi, pour r\u00e9partir correctement les obligations entre les parties.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">2.4 Les sanctions cumul\u00e9es<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les deux r\u00e8glements pr\u00e9voient des sanctions lourdes. L&rsquo;AI Act atteint 35 millions d&rsquo;euros ou 7 % du chiffre d&rsquo;affaires mondial pour les pratiques interdites, et 15 millions d&rsquo;euros ou 3 % pour les manquements sur les syst\u00e8mes \u00e0 haut risque. Le RGPD atteint 20 millions d&rsquo;euros ou 4 %. Ces sanctions se cumulent pour un m\u00eame traitement. Le contrat permet de r\u00e9partir ces risques. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/it-contracts\/\"><strong>services en mati\u00e8re de contrats commerciaux et IT<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Les 5 clauses \u00e0 ajouter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Cinq clauses permettent d&rsquo;articuler efficacement DPA et AI Act. Chacune couvre un enjeu que le DPA classique laisse ouvert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.1 La clause d&rsquo;encadrement de l&rsquo;entra\u00eenement des mod\u00e8les<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La premi\u00e8re clause est la plus importante. Elle encadre l&rsquo;usage des donn\u00e9es pour entra\u00eener des mod\u00e8les d&rsquo;IA. Le contrat doit soit interdire cet usage, soit l&rsquo;autoriser sous conditions strictes (anonymisation, finalit\u00e9 d\u00e9finie, accord expr\u00e8s). Sans cette clause, un fournisseur peut exploiter les donn\u00e9es du client pour ses propres mod\u00e8les. Cette clause prot\u00e8ge la valeur et la confidentialit\u00e9 des donn\u00e9es. C&rsquo;est le c\u0153ur de l&rsquo;articulation des deux cadres.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.2 La clause de transparence (article 50)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La deuxi\u00e8me clause concerne la transparence. L&rsquo;article 50 de l&rsquo;AI Act impose d&rsquo;informer les personnes lorsqu&rsquo;elles interagissent avec une IA ou face \u00e0 des contenus g\u00e9n\u00e9r\u00e9s (deepfakes). Le contrat doit r\u00e9partir cette obligation entre les parties. Il pr\u00e9cise qui informe les personnes concern\u00e9es et comment. Cette clause \u00e9vite que chacun pense que l&rsquo;autre s&rsquo;en charge. La transparence est une obligation nouvelle \u00e0 contractualiser clairement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.3 La clause sur les syst\u00e8mes \u00e0 haut risque<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La troisi\u00e8me clause traite du haut risque. Si le syst\u00e8me d&rsquo;IA rel\u00e8ve de l&rsquo;Annexe III de l&rsquo;AI Act (par exemple en ressources humaines ou en sant\u00e9), il est soumis \u00e0 des obligations strictes. Le contrat doit pr\u00e9voir la r\u00e9partition de ces obligations : documentation, gestion des risques, conformit\u00e9. Il doit aussi garantir la coop\u00e9ration des parties. Cette clause anticipe le r\u00e9gime le plus contraignant de l&rsquo;AI Act.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.4 La clause de surveillance humaine (article 14)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La quatri\u00e8me clause organise la surveillance humaine. L&rsquo;article 14 de l&rsquo;AI Act impose que les syst\u00e8mes \u00e0 haut risque restent sous contr\u00f4le humain. Le contrat doit d\u00e9finir qui exerce cette surveillance et comment. Il pr\u00e9cise les moyens donn\u00e9s \u00e0 l&rsquo;humain pour intervenir, corriger ou arr\u00eater le syst\u00e8me. Cette clause traduit une exigence centrale de l&rsquo;AI Act : l&rsquo;IA ne doit jamais \u00e9chapper au contr\u00f4le humain.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3.5 La clause de r\u00e9partition des r\u00f4les et responsabilit\u00e9s<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La cinqui\u00e8me clause clarifie les r\u00f4les. Elle identifie qui est fournisseur et d\u00e9ployeur au sens de l&rsquo;AI Act, et qui est responsable de traitement et sous-traitant au sens du RGPD. Elle r\u00e9partit ensuite les obligations et les responsabilit\u00e9s qui en d\u00e9coulent. Cette clause \u00e9vite les zones grises et les rejets de responsabilit\u00e9. Elle est la cl\u00e9 de vo\u00fbte de l&rsquo;articulation entre DPA et AI Act.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">4. Tableau de synth\u00e8se des clauses<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Le tableau ci-dessous synth\u00e9tise les 5 clauses \u00e0 ajouter, leur fondement et leur niveau de criticit\u00e9.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Clause<\/th><th class=\"has-text-align-left\" data-align=\"left\">Fondement<\/th><th class=\"has-text-align-left\" data-align=\"left\">Criticit\u00e9<\/th><\/tr><\/thead><tbody><tr><td>1. Entra\u00eenement des mod\u00e8les<\/td><td>Art. 28 RGPD \/ finalit\u00e9<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>2. Transparence<\/td><td>Art. 50 AI Act<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>3. Syst\u00e8mes \u00e0 haut risque<\/td><td>Annexe III AI Act<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><tr><td>4. Surveillance humaine<\/td><td>Art. 14 AI Act<\/td><td>\ud83d\udfe0 \u00c9lev\u00e9e<\/td><\/tr><tr><td>5. R\u00f4les et responsabilit\u00e9s<\/td><td>Art. 26 AI Act \/ Art. 28 RGPD<\/td><td>\ud83d\udd34 Critique<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">5. Les 5 pi\u00e8ges \u00e0 \u00e9viter<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Au-del\u00e0 des clauses, plusieurs pi\u00e8ges r\u00e9currents fragilisent l&rsquo;articulation des deux cadres. Les identifier permet de s\u00e9curiser le contrat.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.1 Croire que le DPA classique suffit<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le premier pi\u00e8ge est l&rsquo;inertie. Beaucoup pensent qu&rsquo;un DPA \u00e0 jour sur le RGPD suffit. C&rsquo;est faux d\u00e8s qu&rsquo;une IA intervient. Le DPA classique ne couvre pas les obligations de l&rsquo;AI Act. Un contrat silencieux sur l&rsquo;IA laisse des risques non r\u00e9partis. Il faut donc compl\u00e9ter le DPA. Articuler DPA et AI Act n&rsquo;est pas une option, mais une n\u00e9cessit\u00e9 d\u00e8s qu&rsquo;un syst\u00e8me d&rsquo;IA traite les donn\u00e9es.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.2 Ignorer l&rsquo;entra\u00eenement cach\u00e9 des mod\u00e8les<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le deuxi\u00e8me pi\u00e8ge est l&rsquo;usage cach\u00e9 des donn\u00e9es. De nombreux fournisseurs utilisent les donn\u00e9es de leurs clients pour entra\u00eener leurs mod\u00e8les, parfois sans clause claire. Le client perd alors le contr\u00f4le de ses donn\u00e9es. Il faut lire attentivement les conditions et exiger une clause explicite. Interdire ou encadrer strictement cet entra\u00eenement est essentiel. C&rsquo;est le risque le plus fr\u00e9quent et le plus sous-estim\u00e9.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.3 Confondre les r\u00f4les RGPD et AI Act<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le troisi\u00e8me pi\u00e8ge est la confusion des qualifications. Les r\u00f4les du RGPD (responsable, sous-traitant) et de l&rsquo;AI Act (fournisseur, d\u00e9ployeur) ne se superposent pas. Une m\u00eame partie peut cumuler des qualit\u00e9s diff\u00e9rentes. Confondre ces r\u00f4les conduit \u00e0 mal r\u00e9partir les obligations. Il faut donc les qualifier pr\u00e9cis\u00e9ment dans le contrat. Cette analyse est indispensable pour attribuer correctement les responsabilit\u00e9s.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.4 Oublier la surveillance humaine<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le quatri\u00e8me pi\u00e8ge est l&rsquo;automatisation sans contr\u00f4le. L&rsquo;article 14 de l&rsquo;AI Act impose une surveillance humaine pour les syst\u00e8mes \u00e0 haut risque. Beaucoup de contrats l&rsquo;oublient. Or, une IA qui d\u00e9cide seule, sans supervision, peut cr\u00e9er des dommages et une non-conformit\u00e9. Le contrat doit d\u00e9signer qui surveille et avec quels moyens. La surveillance humaine est une exigence \u00e0 ne jamais n\u00e9gliger.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">5.5 N\u00e9gliger le calendrier d&rsquo;application<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le cinqui\u00e8me pi\u00e8ge est l&rsquo;attentisme. L&rsquo;AI Act s&rsquo;applique par \u00e9tapes, mais certaines obligations sont d\u00e9j\u00e0 en vigueur. Attendre la derni\u00e8re \u00e9ch\u00e9ance est risqu\u00e9. Les contrats sign\u00e9s aujourd&rsquo;hui doivent anticiper les obligations \u00e0 venir. Un DPA mis \u00e0 jour d\u00e8s 2026 \u00e9vite une ren\u00e9gociation dans l&rsquo;urgence. Anticiper le calendrier de l&rsquo;AI Act est une d\u00e9marche prudente et protectrice.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Pourquoi faire appel \u00e0 Atias Avocats<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Articuler DPA et AI Act exige une combinaison rare de comp\u00e9tences : ma\u00eetrise du RGPD et de l&rsquo;article 28 (r\u00e9gime de la sous-traitance, finalit\u00e9s, instructions), expertise de l&rsquo;AI Act (r\u00f4les, syst\u00e8mes \u00e0 haut risque, transparence, surveillance humaine), compr\u00e9hension technique du fonctionnement des syst\u00e8mes d&rsquo;IA et de leur entra\u00eenement, et pratique de la r\u00e9daction contractuelle pour r\u00e9partir les responsabilit\u00e9s. Cette pluridisciplinarit\u00e9, \u00e0 la crois\u00e9e de la protection des donn\u00e9es et du droit de l&rsquo;IA, est pr\u00e9cis\u00e9ment la valeur ajout\u00e9e d&rsquo;un cabinet sp\u00e9cialis\u00e9 en droit du num\u00e9rique.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Atias Avocats accompagne DPO, DSI, directions juridiques, \u00e9diteurs de solutions d&rsquo;IA, fondateurs et grands groupes sur l&rsquo;ensemble du sujet : ajout de clauses AI Act \u00e0 un DPA existant, r\u00e9daction d&rsquo;un DPA int\u00e9grant nativement l&rsquo;IA, qualification des r\u00f4les fournisseur et d\u00e9ployeur, audit de conformit\u00e9 AI Act d&rsquo;un traitement par IA, cartographie des syst\u00e8mes d&rsquo;IA et gouvernance, d\u00e9fense en cas de contr\u00f4le. Pour aller plus loin, consultez nos <a href=\"https:\/\/atiasavocats.com\/en\/services\/it-contracts\/\"><strong>services en mati\u00e8re de contrats commerciaux et IT<\/strong><\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusion<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;IA a transform\u00e9 les traitements de donn\u00e9es, mais les contrats n&rsquo;ont pas suivi. Le DPA classique, con\u00e7u pour le RGPD, laisse ouverts les nouveaux risques li\u00e9s \u00e0 l&rsquo;intelligence artificielle. Les cinq clauses pr\u00e9sent\u00e9es ici \u2014 entra\u00eenement des mod\u00e8les, transparence, syst\u00e8mes \u00e0 haut risque, surveillance humaine, r\u00e9partition des r\u00f4les \u2014 combin\u00e9es \u00e0 la vigilance sur les cinq pi\u00e8ges classiques, offrent un r\u00e9f\u00e9rentiel directement utilisable par DPO, DSI et directions juridiques pour articuler DPA et AI Act.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;investissement requis pour cette mise \u00e0 jour est sans commune mesure avec le cumul des sanctions du RGPD et de l&rsquo;AI Act, qui peut atteindre plusieurs millions d&rsquo;euros. \u00c0 l&rsquo;heure de l&rsquo;application progressive de l&rsquo;AI Act, un DPA silencieux sur l&rsquo;IA est une prise de risque. Le r\u00e9flexe \u00e0 adopter est clair : identifier les syst\u00e8mes d&rsquo;IA, ajouter les cinq clauses, qualifier les r\u00f4les, encadrer l&rsquo;entra\u00eenement et anticiper le calendrier. C&rsquo;est pr\u00e9cis\u00e9ment cette rigueur qui transforme une contrainte r\u00e9glementaire nouvelle en avantage de conformit\u00e9 ma\u00eetris\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">FAQ \u2014 Questions fr\u00e9quentes<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Faut-il modifier son DPA \u00e0 cause de l&rsquo;AI Act ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, d\u00e8s qu&rsquo;un traitement de donn\u00e9es personnelles implique un syst\u00e8me d&rsquo;IA, le DPA (Data Processing Agreement, l&rsquo;accord de sous-traitance exig\u00e9 par l&rsquo;article 28 du RGPD) m\u00e9rite d&rsquo;\u00eatre compl\u00e9t\u00e9. Le DPA classique encadre la protection des donn\u00e9es personnelles, mais il ne traite pas des obligations propres \u00e0 l&rsquo;IA : transparence, syst\u00e8mes \u00e0 haut risque, surveillance humaine, usage des donn\u00e9es pour entra\u00eener des mod\u00e8les. L&rsquo;AI Act (R\u00e8glement UE 2024\/1689) impose ces obligations en plus du RGPD. Articuler DPA et AI Act consiste donc \u00e0 ajouter des clauses sp\u00e9cifiques qui couvrent ces nouveaux enjeux. Un DPA silencieux sur l&rsquo;IA laisse des zones de risque non couvertes. En 2026, avec l&rsquo;application progressive de l&rsquo;AI Act, cette mise \u00e0 jour devient une bonne pratique incontournable pour tout contrat impliquant de l&rsquo;intelligence artificielle.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Un fournisseur peut-il entra\u00eener son IA sur mes donn\u00e9es ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Seulement si le contrat l&rsquo;autorise express\u00e9ment, et c&rsquo;est un point \u00e0 verrouiller absolument. Par d\u00e9faut, un sous-traitant agit uniquement sur instruction du responsable de traitement (article 28 du RGPD). Utiliser les donn\u00e9es pour entra\u00eener ses propres mod\u00e8les d&rsquo;IA constitue un traitement pour son compte propre, qui d\u00e9passe ce cadre. Sans clause claire, cet usage est illicite. En pratique, beaucoup de fournisseurs pr\u00e9voient discr\u00e8tement cette possibilit\u00e9 dans leurs conditions. L&rsquo;articulation entre DPA et AI Act impose donc une clause explicite : soit l&rsquo;interdiction d&rsquo;utiliser les donn\u00e9es pour entra\u00eener des mod\u00e8les, soit un encadrement strict avec garanties (anonymisation, finalit\u00e9, opt-in). C&rsquo;est l&rsquo;une des clauses les plus importantes \u00e0 ajouter en 2026, car elle prot\u00e8ge la valeur et la confidentialit\u00e9 des donn\u00e9es du client.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quelle est la diff\u00e9rence entre fournisseur et d\u00e9ployeur dans l&rsquo;AI Act ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;AI Act distingue plusieurs r\u00f4les, dont deux principaux. Le fournisseur (provider) d\u00e9veloppe le syst\u00e8me d&rsquo;IA ou le met sur le march\u00e9 sous son nom. Le d\u00e9ployeur (deployer) utilise le syst\u00e8me d&rsquo;IA sous sa propre autorit\u00e9, dans un cadre professionnel. Ces r\u00f4les emportent des obligations diff\u00e9rentes : le fournisseur porte l&rsquo;essentiel des obligations de conformit\u00e9, tandis que le d\u00e9ployeur doit notamment assurer la surveillance humaine et un usage conforme. Or, ces r\u00f4les AI Act ne co\u00efncident pas toujours avec les r\u00f4les RGPD (responsable de traitement et sous-traitant). Une m\u00eame partie peut \u00eatre sous-traitant au sens du RGPD et d\u00e9ployeur au sens de l&rsquo;AI Act. C&rsquo;est pourquoi l&rsquo;articulation entre DPA et AI Act doit clarifier qui joue quel r\u00f4le, pour r\u00e9partir correctement les responsabilit\u00e9s entre les parties.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Quelles sont les sanctions en cas de non-conformit\u00e9 \u00e0 l&rsquo;AI Act ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les sanctions de l&rsquo;AI Act sont lourdes, et parmi les plus \u00e9lev\u00e9es du droit europ\u00e9en. Pour les pratiques interdites (syst\u00e8mes d&rsquo;IA prohib\u00e9s), l&rsquo;amende peut atteindre 35 millions d&rsquo;euros ou 7 % du chiffre d&rsquo;affaires mondial. Pour le non-respect des obligations applicables aux syst\u00e8mes \u00e0 haut risque, elle peut atteindre 15 millions d&rsquo;euros ou 3 % du chiffre d&rsquo;affaires mondial. Ces sanctions s&rsquo;ajoutent \u00e0 celles du RGPD (jusqu&rsquo;\u00e0 20 millions d&rsquo;euros ou 4 % du chiffre d&rsquo;affaires mondial). Un traitement de donn\u00e9es par IA mal encadr\u00e9 expose donc \u00e0 un cumul de risques. C&rsquo;est pourquoi articuler DPA et AI Act n&rsquo;est pas un luxe : c&rsquo;est une protection contre des sanctions qui peuvent \u00eatre consid\u00e9rables. Les clauses contractuelles bien r\u00e9dig\u00e9es permettent de r\u00e9partir ces risques entre les parties.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Contact : <a href=\"mailto:david@atiasavocats.com\">david@atiasavocats.com<\/a> | LinkedIn: <a href=\"https:\/\/www.linkedin.com\/in\/david-joseph-atias-b04a7153\" target=\"_blank\" rel=\"noopener\"><em>David Joseph Atias<\/em><\/a> | <a href=\"https:\/\/atiasavocats.com\/en\/\">https:\/\/www.atiasavocats.com<\/a> | 42 rue de la Clef, 75005 Paris<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Atias Avocats \u2014 RGPD, AI Act, Sous-traitance, Contrats IT<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/p>","protected":false},"excerpt":{"rendered":"<p>Par\u00a0David Joseph Atias, avocat au Barreau de Paris \u00b7\u00a0LinkedIn\u00a0\u00b7 Juillet 2026 Votre DPA prot\u00e8ge vos donn\u00e9es personnelles. Mais prot\u00e8ge-t-il vos donn\u00e9es face \u00e0 l&rsquo;intelligence artificielle ? En 2026, l&rsquo;AI Act&hellip;<\/p>","protected":false},"author":1,"featured_media":23155,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[186],"tags":[],"class_list":["post-23154","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-legal-services"],"_links":{"self":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23154","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/comments?post=23154"}],"version-history":[{"count":2,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23154\/revisions"}],"predecessor-version":[{"id":23216,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/posts\/23154\/revisions\/23216"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media\/23155"}],"wp:attachment":[{"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/media?parent=23154"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/categories?post=23154"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/atiasavocats.com\/en\/wp-json\/wp\/v2\/tags?post=23154"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}