Javascript is required
logo-dastralogo-dastra

Le rôle du DPO face à l'AI Act : obligations, responsabilités et plan d'actions

Le rôle du DPO face à l'AI Act : obligations, responsabilités et plan d'actions
Marine Boquien
Marine Boquien
24 avril 2026·7 minutes de lecture

L’adoption du règlement européen sur l’intelligence artificielle (AI Act) marque un tournant majeur dans la régulation des systèmes d’IA. À l’instar du RGPD en 2018, ce texte impose aux organisations une transformation profonde de leurs pratiques de gouvernance. Dans ce contexte, le Data Protection Officer (DPO) voit son rôle évoluer : sans être explicitement désigné comme acteur central du dispositif AI Act, il devient en pratique un pilier de la conformité IA.

En quelques mots :

Si le DPO doit être associé à toute utilisation de données personnelles, il n’est pas nécessairement le pilote de la conformité au Règlement sur l’Intelligence Artificielle (RIA), qui mobilise d’autres compétences spécifiques.

Cependant, le RIA représente une opportunité majeure : ses principes (approche par les risques, responsabilisation, transparence et protection des droits fondamentaux) prolongent ceux du RGPD. Les DPO disposent donc d’une base solide pour accompagner leurs structures vers une IA conforme et responsable.

1. Un rôle non défini par les textes… mais incontournable en pratique

L'AI Act ou le Règlement européen sur l'intelligence artificielle, ne prévoit pas formellement la désignation d’un « AI Officer ». Toutefois, dans de nombreuses organisations, le DPO apparaît comme le candidat naturel pour piloter ou co-piloter la conformité IA, pour plusieurs raisons :

  • Expertise en gouvernance des risques : le DPO maîtrise déjà les logiques d’analyse d’impact, de cartographie des traitements et de gestion des risques.
  • Connaissance des données : l’IA étant fondée sur des données, le lien avec le RGPD est structurel.
  • Position transverse : le DPO est déjà intégré dans les processus métiers, IT et juridiques.

Les autorités, notamment la CNIL, confirment cette tendance en soulignant que le DPO sera un acteur clé de la mise en conformité, même si son rôle devra s’articuler avec d’autres fonctions (IT, conformité, risk management, data science).

2. Les nouvelles obligations liées à l’AI Act : un élargissement du périmètre du DPO

L'AI Act introduit une approche par les risques, avec des obligations différenciées selon la catégorie de système d’IA (interdits, à haut risque, à risque limité).

a) Contribution à la classification des systèmes d’IA

Le DPO devra participer à :

  • L’identification des systèmes d’IA utilisés ou développés
  • Leur qualification (haut risque ou non) au sens du règlement
  • L’évaluation de leur finalité et de leurs impacts

b) Articulation avec les analyses d’impact

Pour les systèmes à haut risque, l'AI Act impose des exigences proches des DPIA (analyse d’impact RGPD) :

  • Analyse des risques pour les droits fondamentaux
  • Documentation technique
  • Mesures d’atténuation

Le DPO sera naturellement impliqué dans la mise en œuvre ou la coordination de ces analyses, sachant qu'il faudra également effectué des analyses d'impact de protection des données personnelles pour certains systèmes d'IA traitant des données personnelles.

c) Gouvernance des données

Le DPO devra veiller à :

  • La qualité et la pertinence des données utilisées
  • L’absence de biais discriminatoires
  • La conformité aux principes RGPD (minimisation, finalité, licéité)

d) Transparence et information

L'AI Act impose des obligations d’information :

  • Information des utilisateurs lorsqu’ils interagissent avec une IA
  • Transparence sur les systèmes génératifs (ex : deepfakes)

Le DPO devra s’assurer de la cohérence avec les obligations RGPD (articles 12 à 14).

3. Une responsabilité accrue mais partagée

Le DPO n’est pas juridiquement responsable de la conformité au AI Act (comme pour le RGPD), mais :

  • Sa responsabilité fonctionnelle augmente fortement
  • Son devoir d’alerte est renforcé
  • Il devient un référent stratégique sur les risques IA

Attention toutefois à un écueil : Le cumul des rôles peut créer un risque de surcharge ou de conflit d’intérêts, notamment si le DPO est impliqué dans des décisions opérationnelles.

Les organisations devront donc clarifier les rôles (DPO vs AI governance lead), les responsabilités et les ressources allouées

4. Le DPO au cœur d’une gouvernance IA structurée

L'AI Act pousse les entreprises à mettre en place une gouvernance dédiée à l’IA :

  • Comité IA ou comité éthique
  • Processus de validation des projets IA
  • Politique interne sur l’usage de l’IA

Le DPO y joue un rôle clé :

  • Conseil en amont des projets
  • Participation aux comités
  • Formation des équipes

La CNIL souligne d’ailleurs que les DPO sont en première ligne pour accompagner cette transformation, comme en témoigne son enquête 2025 sur leur rôle face à l’IA.

5. Plan d’actions pour les DPO : comment se préparer dès maintenant

Étape 1 : Cartographier les usages d’IA

  • Identifier tous les systèmes d’IA (y compris SaaS et outils internes)
  • Prioriser selon les risques

Étape 2 : Qualifier les systèmes

  • Déterminer s’ils relèvent du AI Act
  • Identifier les systèmes à haut risque

Étape 3 : Mettre en place une gouvernance IA

  • Définir les rôles (DPO, IT, juridique, métiers)
  • Créer un comité IA

Étape 4 : Adapter les processus existants

  • Intégrer l’IA dans les DPIA
  • Étendre le registre des traitements
  • Mettre à jour les politiques internes

Étape 5 : Renforcer la documentation

  • Mettre en place des fiches IA
  • Documenter les modèles, données, finalités, risques

Étape 6 : Former et sensibiliser

  • Former les équipes métiers et techniques
  • Sensibiliser aux risques (biais, hallucinations, discrimination)

Étape 7 : Anticiper les contrôles

  • Mettre en place des audits internes
  • Préparer la coopération avec les autorités (CNIL en France)

6. Vers un DPO “augmenté” : une évolution du métier

L'AI Act marque une évolution profonde du rôle du DPO :

  • Passage d’une logique data-centric à une logique risk-centric élargie
  • Intégration des enjeux éthiques et sociétaux
  • Nécessité de développer de nouvelles compétences :
    • compréhension des modèles IA
    • biais algorithmiques
    • gouvernance technique

Le DPO devient progressivement un acteur clé de la confiance numérique.

FAQ - DPO, AI Act et Digital Omnibus


Quel est le rôle principal du DPO dans le cadre de l’AI Act et du Digital Omnibus ?

Le rôle du DPO évolue : il ne se limite plus à assurer la conformité au RGPD, mais devient un acteur stratégique chargé de superviser la gouvernance globale des données et des systèmes d’intelligence artificielle. Il veille notamment à la transparence, à la portabilité des données (Data Act) ainsi qu’à l’absence de biais algorithmiques (AI Act).

Quelles sont les principales réglementations regroupées sous le terme « Digital Omnibus » ?

Le « Digital Omnibus » désigne un ensemble de textes majeurs qui structurent l’économie numérique. Il inclut notamment le Digital Services Act (DSA), le Digital Markets Act (DMA), le Data Act ainsi que le Data Governance Act. Ces réglementations viennent compléter le RGPD ainsi que la future directive NIS 2.

En quoi un logiciel SaaS comme Dastra facilite-t-il le travail des DPO face à ces nouvelles exigences ?

Les solutions SaaS telles que Dastra aident les DPO à automatiser la cartographie des risques, à maintenir à jour les registres de traitements ou de systèmes d’IA, et à intégrer les exigences de conformité dès la conception. Elles facilitent aussi la collaboration avec les équipes techniques pour répondre aux obligations du RGPD, de l’AI Act et du Digital Omnibus.

Marine Boquien

Voyez Dastra en action

En quelques minutes, planifiez une démo personnalisée et découvrez comment Dastra peut s’adapter à votre organisation.

Demander une démo
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.