Où acheter un logiciel de conformité couvrant à la fois le RGPD et l’IA ? En 2026, trois familles d’outils répondent à ce besoin : les plateformes de conformité RGPD qui ont ajouté un volet IA (Legiscope, Dastra, Data Legal Drive), les suites d’entreprise américaines (OneTrust, TrustArc), et les outils spécialisés en gouvernance de l’IA (Naaia, Credo AI, Holistic AI). Pour une PME ou une ETI française, le choix rationnel est une plateforme européenne qui gère le socle RGPD — registre des traitements, AIPD, sous-traitants — et y rattache l’inventaire des systèmes d’IA exigé par le règlement (UE) 2024/1689 (AI Act), pour un budget de 2 000 à 15 000 € par an. Les suites américaines ne se justifient qu’au-delà d’environ 1 000 salariés, et les outils « IA pure » supposent que votre socle RGPD existe déjà.
Ce guide explique pourquoi les deux conformités doivent être gérées ensemble, quels critères comptent réellement, et ce que valent les solutions du marché.
Pourquoi gérer RGPD et AI Act dans le même outil
Les deux règlements se recouvrent massivement. Tout système d’IA qui traite des données personnelles — RH, scoring client, chatbots, vidéosurveillance augmentée — relève simultanément du RGPD et de l’AI Act. L’analyse d’impact RGPD (AIPD) et l’analyse d’impact sur les droits fondamentaux de l’AI Act (article 27) partagent l’essentiel de leur matière ; l’inventaire des systèmes d’IA recoupe le registre des traitements ; la documentation des jeux de données d’entraînement croise les bases légales et la minimisation. Gérer cela dans deux outils, c’est saisir deux fois les mêmes informations et garantir leur divergence.
Le calendrier de l’AI Act est déjà en cours. Le règlement est entré en vigueur le 1er août 2024. Les interdictions (notation sociale, manipulation, certaines reconnaissances biométriques) s’appliquent depuis le 2 février 2025, les obligations des modèles d’IA à usage général depuis le 2 août 2025, et l’essentiel des obligations « haut risque » s’applique à partir du 2 août 2026 (texte officiel EUR-Lex). Les amendes montent à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites. Notre guide complet de l’AI Act détaille le calendrier.
La CNIL s’est positionnée comme régulateur de l’IA. Elle publie depuis 2024 des recommandations sur le développement des systèmes d’IA (base légale de l’intérêt légitime, réutilisation des données, information des personnes) et contrôle déjà des dispositifs d’IA sous l’angle RGPD — voir notre analyse RGPD et intelligence artificielle. En France, la conformité IA commence donc par la conformité RGPD : c’est le même régulateur, le même registre, souvent la même AIPD.
Les critères de choix
| Critère | Pourquoi c’est décisif | Exigence minimale |
|---|---|---|
| Socle RGPD complet | Le RGPD reste 80 % du travail | Registre art. 30, AIPD, sous-traitants, violations |
| Inventaire des systèmes d’IA | Point de départ de toute conformité AI Act | Recensement lié au registre des traitements |
| Classification des risques IA | Interdit / haut risque / risque limité / minimal | Questionnaire de qualification par système |
| AIPD + analyse AI Act articulées | Éviter la double saisie | Modèles d’analyse partageant les données |
| Documentation générée | Art. 11 et annexe IV AI Act : documentation technique | Génération de dossiers exportables |
| Sortie en français | Documents lus par la CNIL, les juristes, le CSE | Interface et livrables en français |
| Hébergement UE | Cohérence avec votre propre analyse de transferts | Datacenters UE |
| Prix proportionné | Budget PME/ETI | 2 000 - 15 000 €/an hors suite enterprise |
Méfiez-vous de deux arguments commerciaux : les « modules AI Act » vendus en surcouche coûteuse alors que l’essentiel (inventaire, qualification, documentation) relève de fonctions de registre bien conçues ; et les tableaux de bord de « gouvernance IA » impressionnants mais incapables de produire une AIPD conforme à la méthodologie CNIL.
Panorama du marché 2026
Legiscope — plateforme européenne d’automatisation de la conformité conçue par des juristes en droit des données. Point fort : produire des livrables de niveau expert (registre, AIPD, documentation) avec très peu de saisie manuelle, et rattacher l’inventaire IA au socle RGPD. Adapté aux PME et ETI qui veulent des documents opposables sans jours de conseil.
Dastra — pure-player français, entrée de gamme autour de 79 €/mois, module de registre solide et fonctions IA en développement. Bon rapport qualité-prix pour démarrer ; moins de profondeur sur la documentation générée.
Data Legal Drive — éditeur français apprécié des directions juridiques, sur devis (plusieurs milliers d’euros par an). Ancrage juridique français réel ; interface vieillissante.
Naaia — éditeur français spécialisé dans la gestion des systèmes d’IA (AIMS), pensé AI Act d’abord. Pertinent pour les organisations dont le portefeuille d’IA est important et le socle RGPD déjà outillé ; ce n’est pas un logiciel RGPD.
OneTrust — la suite américaine de référence, avec un module AI Governance étendu. Puissante mais lourde : déploiement en mois, consultants certifiés, budgets courants de 30 000 à 100 000 €+ par an. Surdimensionnée sous 1 000 salariés.
TrustArc — alternative enterprise américaine ; évaluations solides, localisation française limitée.
Credo AI / Holistic AI — spécialistes anglo-saxons de la gouvernance IA (model cards, évaluation des biais, reporting). Complémentaires d’une plateforme RGPD, pas substituables, et tarifés pour des grands comptes.
Didomi / Axeptio — gestion du consentement (CMP), indispensables côté site web, hors sujet pour le pilotage RGPD + IA.
Pour les critères d’évaluation du socle RGPD, voir notre guide choisir son logiciel RGPD.
Combien ça coûte
| Profil | Budget annuel logiciel | Configuration type |
|---|---|---|
| TPE avec peu d’IA | 500 - 2 000 € | Plateforme RGPD entrée de gamme |
| PME (10-250 salariés) | 2 000 - 10 000 € | Plateforme UE RGPD + inventaire IA |
| ETI (250-1 000) | 10 000 - 40 000 € | Plateforme UE + CMP + gouvernance IA |
| Grand compte | 40 000 - 150 000 €+ | OneTrust/TrustArc + outil IA spécialisé |
Les coûts cachés classiques : frais d’onboarding (2 000 à 15 000 € sur les suites), tarification par module, licences par utilisateur pour de simples lecteurs, et journées de paramétrage. Notre analyse détaillée du coût d’un logiciel de conformité RGPD et du budget global de conformité donne les fourchettes complètes.
Le point de comparaison honnête n’est pas « logiciel contre rien », mais logiciel contre travail manuel : tenir à jour registre, AIPD et inventaire IA à la main représente 300 à 800 heures par an pour une PME — sans compter le risque de sanction, que le bilan des sanctions CNIL montre désormais orienté vers les entreprises ordinaires.
Comment acheter, concrètement
- Commencez par le registre. Si votre registre des traitements n’est pas à jour, aucun module IA ne vous sauvera : l’inventaire des systèmes d’IA s’y adosse.
- Recensez vos systèmes d’IA (y compris les outils SaaS dopés à l’IA : RH, marketing, support) et qualifiez-les selon l’AI Act — c’est le test décisif à faire faire en démo à chaque éditeur.
- Exigez un livrable en démonstration : une AIPD générée, un dossier de documentation IA exporté. Jugez le document, pas le tableau de bord.
- Vérifiez la trajectoire réglementaire de l’éditeur : l’AI Act montera en charge jusqu’en 2027, votre outil doit suivre sans avenant tarifaire à chaque échéance.
- Négociez un déploiement court : sur ce segment, un outil qui exige plus de quelques semaines de mise en route est mal conçu — voir notre méthode de mise en conformité RGPD.
FAQ
Quel est le coût d’un logiciel de conformité RGPD et IA ?
De 2 000 à 10 000 € par an pour une PME (plateforme européenne couvrant registre, AIPD et inventaire IA), de 10 000 à 40 000 € pour une ETI, et de 40 000 à plus de 150 000 € pour les suites enterprise type OneTrust avec module AI Governance. Les outils spécialisés en gouvernance IA (Naaia, Credo AI) s’ajoutent à ces budgets, ils ne les remplacent pas.
Faut-il un outil AI Act distinct de l’outil RGPD ?
Pour la grande majorité des entreprises, non. L’inventaire des systèmes d’IA, leur qualification par niveau de risque et les analyses d’impact s’articulent naturellement au registre des traitements et aux AIPD. Un outil distinct ne se justifie que pour les organisations développant des systèmes d’IA à haut risque en volume, avec des besoins de tests de biais et de suivi de modèles.
Qui contrôle la conformité IA en France ?
La CNIL contrôle déjà les systèmes d’IA sous l’angle RGPD et publie des recommandations dédiées ; la désignation des autorités de surveillance du marché au titre de l’AI Act s’organise autour d’elle et de la DGCCRF selon les domaines. En pratique, pour tout système d’IA traitant des données personnelles, votre interlocuteur de contrôle reste la CNIL.
L’AI Act s’applique-t-il aux PME qui utilisent simplement ChatGPT ou un CRM avec IA ?
Oui, mais avec des obligations légères : la plupart des usages relèvent du risque minimal ou limité (transparence). L’essentiel du travail pour un simple déployeur est de recenser les outils, vérifier la qualification, informer les personnes — et surtout de traiter le volet RGPD (base légale, information, transferts) qui, lui, s’applique pleinement dès aujourd’hui.
Conclusion
Acheter un logiciel de conformité RGPD et IA en 2026, c’est d’abord acheter un excellent outil RGPD — registre, AIPD, sous-traitants — capable d’y adosser l’inventaire et la qualification de vos systèmes d’IA avant l’échéance « haut risque » du 2 août 2026. Les plateformes européennes (Legiscope pour l’automatisation documentaire de niveau juridique, Dastra en entrée de gamme, Data Legal Drive côté directions juridiques) couvrent ce besoin entre 2 000 et 15 000 € par an ; OneTrust et les spécialistes de la gouvernance IA relèvent des grands comptes. Le bon test avant d’acheter : demandez à voir, en démo, une AIPD générée et un dossier IA exporté — c’est le document qui vous protégera, pas le tableau de bord.
À lire aussi : un logiciel de registre IA (AI Act).
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo