Table des matières

Préface
Remerciements
Mode d’emploi de ce guide
Comment utiliser ce livre, parcours de lecture recommandés, niveaux de maturité, clés de lecture EU/UK et avertissement sur l’évolution des textes.

Partie I – Le nouveau paysage réglementaire
1. Le paysage réglementaire européen des données et de l'IA
1.1 — Chronologie : huit ans de construction réglementaire européenne
1.2 — Le RGPD en 2026 : des principes inchangés, un contexte transformé
La jurisprudence CJUE : des clarifications structurantes
Le Digital Omnibus Package : une réforme en cours
1.3 — Le Data Act : un nouveau pilier pour les données hors RGPD
1.4 — L'AI Act : la première législation mondiale sur l'intelligence artificielle
Les quatre niveaux de risque
Le calendrier d'application : une montée en puissance progressive
L'articulation RGPD / AI Act : le nœud central
1.5 — NIS2 : la cybersécurité devient une obligation juridique
Ce que NIS2 change pour votre organisation
L'articulation NIS2 / RGPD : des obligations qui se renforcent mutuellement
1.6 — Le Royaume-Uni : du UK GDPR au Data (Use and Access) Act 2025
Les divergences clés désormais en vigueur
1.7 — Le règlement sur l'application transfrontière du RGPD
1.8 — Schéma synoptique : « Quelle réglementation s'applique à mon entreprise ? »
1.9 — Plan stratégique CNIL 2025-2028 : quatre axes à connaître
1.10 — Priorité EDPB 2026 : transparence et information
Approfondissements
Pourquoi l'intelligence artificielle change la donne en matière de conformité
L'empilement réglementaire : un défi de coordination
Shadow AI (IA fantôme) : un risque de conformité invisible
La question de la responsabilité : fournisseur vs déployeur
Le modèle européen : contrainte ou avantage compétitif ?
Outils du chapitre 1
Outil 1.1 — Tableaux comparatifs synoptiques
1.1a — Le socle : RGPD, AI Act, NIS2
1.1b — Le cas des produits et services : Data Act et CRA
Outil 1.2 — Détail des modifications RGPD proposées par le Digital Omnibus Package
Outil 1.3 — Modifications AI Act proposées par le Digital Omnibus
Outil 1.4 — Sanctions marquantes CNIL et ICO : 2024-2026
Outil 1.5 — Frise chronologique détaillée : 2024-2028
Outil 1.6 — « Suis-je concerné par NIS2 ? » — Secteurs et critères
Outil 1.7 — Synthèse des divergences UK / EU après le DUAA 2025
Outil 1.8 — Bilan consolidé de l'activité de la CNIL : 2022-2025
À retenir — Chapitre 1

2. Gouvernance, responsabilités et le DPO++
2.1 — Le DPO en 2026 : du gardien de registres à l'architecte de confiance numérique
Les trois dimensions du DPO++ (juridique, technologique, stratégique)
2.2 — Désignation du DPO : critères actualisés EU et UK
Fiche de poste DPO 2026
2.3 — Indépendance du DPO : principes, bonnes pratiques et leçons des sanctions récentes
Les cinq marqueurs d'une indépendance effective
2.4 — Responsabilité personnelle des dirigeants : NIS2, AI Act, RGPD
2.5 — Gouvernance des systèmes d'IA : qui est responsable ?
Les quatre rôles de l'AI Act (fournisseur, déployeur, importateur, distributeur)
Le piège de la requalification en fournisseur
Articulation avec les responsabilités RGPD (responsable, sous-traitant, conjoint)
2.6 — Processus de sélection du DPO : un recrutement à repenser
Défis 2026 : rareté des profils, conflits d'intérêts, PME et DPO externe
2.7 — Comparaison internationale : le DPO dans le monde
Approfondissement — Gouvernance intégrée : le modèle en quatre piliers
Comité de conformité intégré : composition, périmètre, fréquence, livrables
Cartographie unifiée, évaluation intégrée des risques, reporting COMEX
Outils du chapitre 2
Outil 2.1 — Grille de compétences DPO++
Outil 2.2 — Matrice RACI gouvernance RGPD / AI Act / NIS2
Outil 2.3 — Check-list d'indépendance du DPO
Outil 2.4 — Tableau comparatif des responsabilités RGPD / AI Act / NIS2 (dirigeants)
Cas pratiques : sanctions 2024-2026 (FREE, France Travail, Google, Shein)
À retenir — Chapitre 2

Partie II – Cartographier, évaluer et documenter
3. Cartographie des données et des systèmes d’IA
3.1 Pourquoi une cartographie unifiée données–IA–cyber est devenue indispensable
3.2 Méthodologie en 6 étapes : de l’inventaire des traitements au registre augmenté IA
3.3 Intégrer les systèmes d’IA au registre des traitements RGPD
3.4 Identifier les traitements et systèmes soumis au Data Act et au CRA
3.5 Articuler cartographie RGPD, inventaire IA (AI Act) et actifs critiques NIS2
Outils : modèles d’inventaire, matrices de classification, questionnaires métiers, check-lists Shadow AI.

4. DPIA intégrée : données et IA
4.1 Quand une DPIA est-elle obligatoire ? Critères RGPD et cas IA
4.2 Sept étapes d’une DPIA intégrée RGPD / AI Act
4.3 Risques spécifiques à l’IA : biais, hallucinations, sécurité des modèles, supervision humaine
4.4 Articulation DPIA / évaluation de conformité AI Act / risques NIS2
4.5 Formulaire unifié de DPIA intégrée et exemple complet (cas de recrutement IA)
Outils : canevas de DPIA intégrée, grilles d’analyse de risques, modèles de registre des mesures.

Partie III – Mettre les traitements en conformité
5. Traitement licite, bases légales et transparence en 2026
5.1 Rappel des bases légales art. 6/9 RGPD et évolutions jurisprudentielles
5.2 Intérêt légitime et IA : limites, tests de mise en balance, Digital Omnibus
5.3 Consentement (cookies, traceurs, interfaces) : CNIL, Digital Omnibus, PECR/UK
5.4 Transparence RGPD + AI Act : information, explication algorithmique, dark patterns
5.5 Particularités UK (DUAA) : nouvelles bases « légitimes », cookies assouplis
Outils : tableaux bases légales / cas d’usage, modèles de mentions d’information, check-lists cookies.

6. Droits des individus, décisions automatisées et IA
6.1 Panorama des droits RGPD et évolutions Digital Omnibus
6.2 Décisions automatisées : art. 22 RGPD, régimes EU/UK, ADM et IA
6.3 Droits d’accès, de rectification, d’effacement dans un environnement IA
6.4 Explication des systèmes d’IA et documentation : AI Act, EDPB, CNIL
Outils : procédures internes, modèles de réponse, tableaux EU/UK, scénarios IA.

7. Minimisation, privacy by design et gestion des durées de conservation
7.1 Minimisation et privacy by design appliquées à l’IA en 2026
7.2 Pseudonymisation, anonymisation et décisions CJUE récentes
7.3 Données synthétiques, apprentissage fédéré et autres techniques IA
7.4 Politique de conservation adaptée aux projets IA et aux exigences sectorielles
Outils : arbres de décision, grilles de minimisation, tableaux conservation.

Partie IV – Sécurité, transferts et sous-traitance
8. Sécurité des données, RGPD et NIS2
8.1 Article 32 RGPD et renforcement des attentes CNIL
8.2 Exigences NIS2 et loi Résilience : gouvernance, gestion des risques, supply chain
8.3 Securité des systèmes d’IA et exigences AI Act (robustesse, résilience, logging)
8.4 Vers une approche DSPM unifiée (données / IA / cyber)
Outils : check-lists de mesures, modèles de plan de réponse à incident, matrices de criticité.

9. Transferts internationaux et sous-traitance en 2026
9.1 Transferts hors EEE : décisions d’adéquation, TIA, DPF, clauses types
9.2 Spécificités Royaume-Uni après renouvellement d’adéquation et DUAA
9.3 Sous‑traitance art. 28 : cloud, IA générative, chaînes de sous‑traitance
9.4 Clauses contractuelles, DPIA transferts, TIA et due diligence fournisseurs
Outils : modèles de clauses, check-lists TIA, matrices de risques pays/prestataires.

Partie V – L'AI Act en pratique
10. L’AI Act : comprendre et se conformer
10.1 Les quatre niveaux de risque et les usages interdits
10.2 Obligations pour les systèmes à haut risque (Annexe III)
10.3 GPAI et IA générative : obligations des modèles et des intégrateurs
10.4 Rôles et responsabilités (fournisseur, déployeur, importateur, distributeur)
10.5 Calendrier d’application, sanctions, Digital Omnibus et perspectives
Outils : grilles de classification par niveau de risque, matrices obligations par rôle.

11. IA en entreprise : cas d’usage et chantiers de conformité
11.1 Recrutement et gestion RH : IA haut risque et DPIA intégrée
11.2 Relation client, chatbots et assistants IA
11.3 IA générative en entreprise : politiques, charte, Shadow IA
11.4 Vidéosurveillance, santé, scoring, autres cas sensibles
Outils : fiches par cas d’usage, modèles de charte IA, check-list Shadow IA.

Partie VI – Compétences, certification et pilotage
12. Formation, sensibilisation et AI literacy
12.1 Obligations de formation RGPD et AI literacy (AI Act art. 4)
12.2 Construire un programme en 4 niveaux (COMEX, managers, opérationnels, IT)
12.3 Budgets, formats, e‑learning, jeux sérieux et quiz
Outils : plans de formation, trames de sessions, indicateurs de suivi.

13. Surveillance, audit et amélioration continue RGPD / AI Act / NIS2
13.1 Mettre en place un dispositif de surveillance continue
13.2 Audits intégrés données / IA / cyber et plan d’actions PDCA
13.3 KPI de conformité et reporting au COMEX
Outils : matrices PDCA, modèles de tableau de bord, check-lists d’audit.

14. Certification et valorisation de la conformité
14.1 Certification RGPD pour sous-traitants, labels et codes de conduite
14.2 Marquage CE IA, schémas de certification cyber et sectoriels
14.3 Construire un business case : coûts de la gouvernance vs coûts de la non‑conformité
14.4 Valoriser la conformité dans les appels d’offres et la communication
Outils : canevas de ROI, modèles de fiches « pack conformité ».

Partie VII – Divergences UK/EU et conformité durable
15. Divergences RGPD UK/EU après le DUAA 2025
15.1 Panorama des divergences : ADM, intérêts légitimes, cookies, sanctions
15.2 Double conformité EU/UK : stratégies organisationnelles et contractuelles
15.3 Particularités sectorielles (finance, santé, numérique)
Outils : tables de correspondance, modèles de clauses, check-list transmanche.

16. Mettre en musique une conformité durable
16.1 Structurer la feuille de route des 24 prochains mois
16.2 Trois trajectoires types : PME, ETI NIS2, groupe international
16.3 Indicateurs de maturité et auto‑diagnostic global
Outils : Matrice de priorisation des chantiers sur 24 mois (exemple 2026-2028)

Postface – La méthode de la conformité durable

Annexes
Annexe 1 – Modèles de registres, inventaires IA et matrices RACI
Annexe 2 – Modèle de DPIA intégrée données/IA (formulaire complet)
Annexe 3 – Modèles de politiques et chartes (IA générative, cookies, sécurité)
Annexe 4 – Outils de diagnostic express (check-lists synthétiques par thème)
Annexe 5 – Frises chronologiques et tableaux comparatifs détaillés (RGPD / AI Act / NIS2 / Data Act / CRA / DUAA)
Annexe 6 – Références utiles : CNIL, EDPB, ICO, textes officiels et guides pratiques
Annexe 7 – Panorama comparatif international hors UE/UK : États-Unis, Canada, Australie, Brésil, Japon, Chine

Index des outils pratiques