Protection des données et intelligence artificielle : quoi de neuf en 2026 ?
L’essor de l’intelligence artificielle s’accompagne de nouveaux défis en matière de protection des données à caractère personnel. À travers l’expertise de sa DPO, Julie Michels, Vivalis décrypte les principales réglementations européennes et rappelle les bonnes pratiques à adopter.
À l’occasion de la Journée européenne de la protection des données, faisons le point sur cette thématique souvent méconnue. Entre la protection des données à caractère personnel, la sécurité de l’information, l'essor de l'intelligence artificielle (IA) et l'adoption de différentes réglementations européennes en la matière, les challenges sont nombreux. En 2026, "un grand défi pour le DPO est de développer des connaissances dans différents domaines et de pouvoir appréhender des législations différentes", déclare Julie Michels, DPO (Data Protection Officer) de Vivalis :
Notre spécialiste fait la lumière sur deux d'entre elles :
- l'AI Act, le Règlement européen relatif à l’intelligence artificielle
- le Data Act, le Règlement européen sur les données.
En quoi consiste l'AI Act ?
"L'AI Act consiste à encadrer le développement, la mise sur le marché et l’usage de systèmes d’intelligence artificielle susceptibles de présenter des risques, en particulier en matière de protection des données personnelles", explique-t-elle. Ces risques sont liés, entre autres, à l’opacité entourant l’origine et l’utilisation des données servant à entraîner les systèmes d’IA.
L’AI Act classe les systèmes d’IA selon 4 niveaux de risques : inacceptable, élevé, limité et minimal.
Le règlement interdit notamment les systèmes d’IA présentant un risque inacceptable c’est-à-dire contraire aux droits fondamentaux. À titre d'exemple, un système d’IA de notation sociale basé sur l’utilisation de données à caractère personnel.
Les systèmes d’IA présentant un risque élevé font quant à eux l’objet d’un encadrement strict, dès lors qu’ils peuvent porter atteinte à la sécurité des personnes ou à leurs droits fondamentaux. C’est notamment le cas de certains outils d’IA utilisés dans le recrutement de travailleurs ou pour l’identification biométrique à distance.
En quoi consiste le Data Act ?
Le Data Act instaure un cadre juridique européen afin de structurer le partage et l’exploitation des données des objets connectés. Il consolide les droits des utilisateurs et édicte de nouvelles obligations pour les acteurs impliqués.
"Le RGPD demeure le texte de référence en matière de protection des données à caractère personnel mais il s’insère désormais parmi d’autres textes réglementaires européens tels que l’AI Act, le Data Act ou encore la directive NIS 2 relative à la cybersécurité", rappelle Julie Michels.
La règle de protection des données à afficher au bureau
"Utilisez et partagez uniquement les données à caractère personnel strictement nécessaires avec ceux et celles qui en ont vraiment besoin", conseille la DPO de Vivalis.
Le respect de cette idée permet de limiter le nombre de destinataires potentiels de ces données et de réduire le risque d’atteinte à la confidentialité des données.