RGPD, AI Act et communication de crise : ce que le cadre légal impose

Une crise est déjà difficile à gérer. Une crise mal gérée sur le plan juridique en crée une seconde, par-dessus la première avec, à la clé, des sanctions qui s’ajoutent au préjudice réputationnel. À l’ère de l’IA, deux réglementations encadrent désormais la communication de crise : le RGPD, pour les données personnelles, et l’AI Act, pour l’usage de l’intelligence artificielle. Les ignorer, c’est s’exposer à transformer un incident en infraction analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom.

L’enjeu est massif et concret. En janvier 2026, plus de 80 millions de personnes ont été touchées par des fuites de données en France, et le nombre de violations notifiées à la CNIL, déjà de 5 629 en 2024, ne cesse de croître. Ce guide explique ce que ces deux textes imposent : la notification d’une violation de données en 72 heures, les obligations de transparence de l’AI Act, la mise en conformité de la veille, et la question de la responsabilité. Il referme le volet juridique de notre série et s’inscrit dans notre guide pilier sur la communication de crise face à l’IA. Précision utile : il s’agit d’informations générales ; toute mise en conformité doit être conduite avec le DPO et un conseil juridique.

Quand le droit devient un enjeu de communication de crise

Le réflexe traditionnel sépare les mondes : le juridique d’un côté, la communication de l’autre. Cette logique de silos est aujourd’hui périlleuse, parce que les crises à l’ère de l’IA mêlent intimement les deux. Une fuite de données est simultanément un incident de sécurité, une obligation de notification et une crise de réputation. Un chatbot qui dérape engage la responsabilité juridique et l’image de la marque. Un deepfake soulève des questions de preuve, de protection des données et de transparence.

La conséquence pratique est claire : un même événement peut déclencher des obligations relevant du RGPD, de l’AI Act et de la cybersécurité (NIS2). Les traiter séparément, c’est risquer l’incohérence et le retard. La conformité doit donc être intégrée au dispositif de crise, pas reléguée à un service à part.

La violation de données : une crise et une obligation légale

Une fuite de données n’est pas seulement un problème technique : c’est une crise réglementée, dont la gestion obéit à des délais stricts.

Le cœur du dispositif est l’obligation de notification à la CNIL dans les 72 heures (article 33 du RGPD), dès lors que la violation est susceptible de porter atteinte aux droits et libertés des personnes. Point capital : le délai court à partir du moment où l’organisation a connaissance de l’incident, et non lorsqu’elle en maîtrise tous les détails. Attendre une semaine « pour être sûr » place déjà en infraction. La CNIL accepte les notifications partielles, complétées ensuite ; il vaut toujours mieux notifier sans tous les éléments que de dépasser le délai. Au-delà de 72 heures, la notification doit en outre justifier le retard.

S’ajoute, lorsque la violation présente un risque élevé pour les personnes — notamment en cas de données sensibles comme la santé ou les finances —, l’obligation d’informer directement les personnes concernées (article 34). Et si cette information individuelle suppose des efforts disproportionnés, une communication publique la remplace.

Un principe doit être martelé : même si c’est un prestataire qui a été piraté, c’est le responsable de traitement qui demeure tenu de notifier et d’informer. La responsabilité ne se délègue pas. C’est pourquoi le contrat avec les sous-traitants (le DPA) doit prévoir une alerte rapide, souvent sous 24 à 48 heures, pour laisser le temps de respecter le délai global.

Sur le plan de la communication, l’enjeu est double. Une parole tardive ou floue aggrave les dégâts, car elle empêche les personnes de se protéger — surveiller leurs comptes, changer leurs mots de passe. À l’inverse, une notification rapide et complète est généralement perçue favorablement par l’autorité, comme un signe de bonne foi. Les sanctions ne sont pas symboliques : le défaut de notification peut coûter jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, et la CNIL peut rendre sa décision publique — une peine réputationnelle souvent aussi redoutée que l’amende.

La veille augmentée à l’épreuve du RGPD

Surveiller sa réputation, comme nous l’avons vu, suppose d’analyser ce qui se dit en ligne. Or la CNIL définit précisément l’e-réputation comme l’image construite à partir d’informations publiques relatives à des personnes — ce qui signifie que la veille traite, par nature, des données personnelles.

Le caractère public d’une donnée ne la rend pas librement exploitable. La veille reste soumise aux principes du RGPD : une base légale, une finalité déterminée, la minimisation des données collectées, la proportionnalité et la sécurité. Concrètement, surveiller les mentions de sa marque est légitime ; constituer des profils détaillés de personnes au-delà de ce qui est nécessaire ne l’est pas. La conformité de la veille est donc une condition, pas une option — un point d’autant plus sensible que ces dispositifs s’appuient de plus en plus sur l’IA.

L’AI Act : le premier cadre mondial de l’IA

Le règlement européen sur l’intelligence artificielle (Règlement UE 2024/1689), dit AI Act, est le premier cadre complet au monde. Il classe les systèmes selon quatre niveaux de risque : inacceptable (pratiques interdites), haut risque, risque limité (chatbots, IA générative) et risque minimal (la grande majorité des usages, comme les filtres anti-spam).

Son application est progressive. Entré en vigueur en août 2024, il a rendu applicables les pratiques interdites en février 2025, puis les obligations des modèles à usage général (GPAI) en août 2025. L’échéance majeure est le 2 août 2026, qui marque l’application générale du règlement, dont les obligations de transparence de l’article 50 — un accord politique provisoire de mai 2026 (le « Digital Omnibus ») ayant par ailleurs ajusté certaines échéances pour les systèmes à haut risque, repoussées pour partie à fin 2027.

Pour la communication de crise, deux obligations de transparence sont déterminantes. D’abord, un chatbot doit signaler qu’il est une IA : l’utilisateur doit savoir qu’il s’adresse à un assistant virtuel — une exigence qui rejoint directement les enjeux de responsabilité des agents conversationnels. Ensuite, les contenus générés ou manipulés par IA, en particulier les deepfakes, doivent être étiquetés et marqués de façon lisible par machine, ce qui éclaire d’un jour nouveau la question de la preuve face aux faux.

Les sanctions sont lourdes — jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les manquements les plus graves — et le règlement concerne toute organisation qui utilise un système d’IA dans l’Union, y compris pour des usages internes et y compris les PME. Or, fin 2025, moins de 30 % des PME européennes avaient entamé leur mise en conformité, beaucoup croyant à tort que le texte ne visait que les géants de la tech.

La responsabilité : on ne délègue pas la conformité

Un fil rouge traverse ces deux réglementations : l’entreprise reste responsable de ses outils et de ses données. Comme l’a montré la jurisprudence sur les chatbots, une organisation répond de ce que dit son IA. De même, le responsable de traitement répond d’une violation, fût-elle causée par un prestataire.

L’AI Act prolonge cette logique : l’entreprise qui déploie un système d’IA — même fourni par un tiers — demeure responsable de son usage conforme et documenté, sous peine d’une responsabilité partagée en cas de manquement. D’où l’importance du principe de responsabilité (accountability) : documenter sa conformité, ses choix et ses contrôles. À l’inverse, la « Shadow AI » — l’usage non déclaré d’outils d’IA par les équipes — doit être traitée comme un véritable risque organisationnel, car on ne peut pas être conforme sur ce que l’on ignore.

Intégrer la conformité dans le dispositif de crise : la méthode

Mettre le droit au service de la gestion de crise suppose quelques chantiers structurants. Il faut d’abord cartographier ses usages : quels traitements de données, quels systèmes d’IA, à quel niveau de risque. Il faut ensuite préparer le processus de notification d’une violation — modèles prêts par scénario, contacts, et clauses d’alerte rapide dans les contrats de sous-traitance. La veille doit être rendue conforme au RGPD, et les obligations de transparence de l’AI Act appliquées : signaler les chatbots, étiqueter les contenus générés par IA.

Surtout, ces sujets doivent réunir DPO, juridique et communication au sein du dispositif de crise, dont nous avons détaillé l’organisation transversale. Enfin, il faut tout documenter, car la traçabilité est à la fois une obligation et une protection. Comme le rappellent les praticiens, la conformité n’a rien d’insurmontable : les organisations qui ont traversé le RGPD savent qu’un chantier réglementaire bien conduit devient vite un réflexe.

Checklist : conformité RGPD et AI Act en gestion de crise

Pour intégrer le cadre légal à votre dispositif :

• Cartographie des traitements de données et des systèmes d’IA, avec niveau de risque.
• Processus de notification 72h prêt : modèles par scénario, contacts CNIL, points de décision.
• Clauses d’alerte rapide (24-48 h) dans les contrats de sous-traitance (DPA).
• Information des personnes préparée pour les cas de risque élevé, option communication publique.
• Veille conforme au RGPD : base légale, finalité, minimisation, proportionnalité.
• Transparence AI Act : chatbots signalés, contenus IA et deepfakes étiquetés.
• Cellule mixte DPO + juridique + communication intégrée à la gestion de crise.
• Documentation systématique (registre des violations, conformité IA, accountability).

FAQ : RGPD, AI Act et communication de crise

Quel est le délai pour notifier une violation de données ? 72 heures à compter de la connaissance de l’incident (article 33 du RGPD), lorsque la violation peut porter atteinte aux droits des personnes. Une notification partielle, complétée ensuite, vaut mieux qu’un dépassement de délai.

Faut-il informer les personnes concernées par une fuite de données ? Oui, lorsque la violation présente un risque élevé pour leurs droits et libertés (article 34), notamment en cas de données sensibles. Si l’information individuelle est disproportionnée, une communication publique la remplace.

Sommes-nous responsables si c’est notre prestataire qui a été piraté ? Oui. Le responsable de traitement reste tenu de notifier la CNIL et d’informer les personnes, même si la faille vient d’un sous-traitant. D’où l’importance d’une clause d’alerte rapide dans le contrat.

Que demande l’AI Act en matière de transparence ? Notamment de signaler à l’utilisateur qu’il interagit avec une IA (chatbots) et d’étiqueter les contenus générés ou manipulés par IA, dont les deepfakes. Ces obligations de l’article 50 s’appliquent à compter du 2 août 2026.

Mon entreprise est-elle concernée par l’AI Act ? Probablement, dès lors qu’elle utilise un système d’IA dans son activité dans l’UE — y compris en interne et y compris les PME. Les sanctions peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

La veille réputationnelle est-elle soumise au RGPD ? Oui. Comme elle traite des données personnelles issues d’informations publiques, elle doit respecter les principes du RGPD : base légale, finalité, minimisation et proportionnalité.

Conclusion : la conformité, bouclier de la réputation

À l’ère de l’IA, le droit n’est pas l’ennemi de la communication de crise : il en est l’un des piliers. Une notification dans les délais, une transparence respectée, une veille conforme ne sont pas des contraintes bureaucratiques — ce sont des protections, qui évitent qu’une crise n’en engendre une seconde et qui démontrent, aux yeux du public comme du régulateur, le sérieux de l’organisation. Le RGPD et l’AI Act fixent les règles du jeu ; les maîtriser, c’est transformer une obligation en avantage de confiance.

Avec ce guide s’achève le volet juridique de notre série. Reste à rassembler tous ces fils en une stratégie cohérente : nos derniers articles seront consacrés à la construction d’un plan de communication de crise IA, puis au pre-bunking, cette communication préventive qui désamorce les attaques avant qu’elles ne surviennent. Pour la vision d’ensemble, retrouvez notre guide pilier sur la communication de crise face à l’IA.