Le RGPD réglemente le traitement des données personnelles. La Loi sur l'IA de l'UE réglemente les systèmes d'intelligence artificielle. La zone de recouvrement entre les deux règlements est précisément là où les sociétés de portefeuille PE concentrent leur valeur : les données d'entraînement, le profilage client, la personnalisation algorithmique et l'attribution marketing.
Pour les acquéreurs, le problème est double. Non seulement chaque règlement crée ses propres obligations, mais leur intersection génère des contraintes supplémentaires qui n'apparaissent dans aucun des deux textes pris isolément. Les équipes juridiques spécialisées en RGPD ne maîtrisent pas encore la Loi IA, et inversement. Ce vide d'expertise est une source directe de risque en due diligence.
Données d'entraînement : la double contrainte
Le RGPD exige une base juridique pour le traitement de données personnelles utilisées à l'entraînement de modèles IA. La Loi IA exige en plus une documentation complète des datasets d'entraînement pour les systèmes à haut risque : provenance, biais potentiels, représentativité et mesures de gouvernance.
Pour une société de portefeuille qui utilise des données clients pour entraîner un modèle de recommandation ou de scoring, la conformité exige désormais deux couches de documentation. La base juridique RGPD (consentement ou intérêt légitime avec analyse de proportionnalité) et la fiche technique Loi IA (provenance des données, processus de curation, tests de biais). L'absence de l'une ou l'autre remet en question l'utilisabilité de l'actif IA post-close.
Profilage et décisions automatisées
L'article 22 du RGPD encadre les décisions automatisées produisant des effets juridiques ou significatifs. La Loi IA classifie certains systèmes de profilage comme à haut risque, avec des obligations de transparence, d'explicabilité et de contrôle humain.
Les sociétés D2C qui utilisent le scoring comportemental pour la segmentation marketing, la personnalisation de prix ou l'attribution de crédit sont potentiellement concernées par les deux règimes. Le RGPD exige le droit à l'explication et la possibilité de contester la décision. La Loi IA exige une documentation technique du système, une évaluation de conformité et un contrôle humain en amont.
Attribution marketing et transparence algorithmique
Les modèles d'attribution marketing qui utilisent le machine learning pour allouer les budgets publicitaires traitent des données personnelles (parcours utilisateur, données de conversion, identifiants cross-device). Sous le RGPD, ce traitement nécessite une base juridique. Sous la Loi IA, si le modèle d'attribution influence des décisions commerciales significatives, il peut entrer dans le champ des systèmes soumis à des obligations de transparence.
L'implication pour les acquéreurs : le modèle d'attribution de la cible n'est pas seulement un outil opérationnel. C'est un actif réglementé dont la conformité doit être auditée sous deux régimes distincts. Si les données qui alimentent le modèle ne sont pas conformes au RGPD, le modèle lui-même est fragilisé sous la Loi IA.
Calendrier d'application et priorités due diligence
Le RGPD est en vigueur et pleinement appliqué. La Loi IA entre en application progressivement, avec l'échéance critique du 2 août 2026 pour les systèmes à haut risque. Pour les équipes de transaction qui signent des LOI en 2026, les deux régimes sont déjà opérationnels.
La due diligence doit désormais couvrir les deux cadres simultanément. Les questions à poser : la cible utilise-t-elle des systèmes IA qui traitent des données personnelles ? Ces systèmes sont-ils classés à haut risque sous la Loi IA ? La base juridique RGPD pour les données d'entraînement est-elle documentée ? La documentation technique Loi IA est-elle constituée ? Si la réponse à ces questions est non, l'acquéreur hérite d'un double chantier de mise en conformité dont le coût doit être intégré au 100-day plan.