Retour au blog
SouverainetéStratégie IA

AI Act, Cloud Act, RGPD : quelle loi s'applique vraiment à votre IA d'entreprise au Luxembourg ?

IA privéeLuxembourgRGPDSME PackagesVeille réglementaire
Dirigeant PME luxembourgeois arbitrant AI Act Cloud Act RGPD IA entreprise

Par LetzAgents, équipe IA souveraine Luxembourg · Publié le 21 mai 2026 · Mis à jour le 21 mai 2026

Résumé

  • Trois lois se cumulent sur votre IA d'entreprise au Luxembourg : RGPD (données), AI Act (système IA), Cloud Act (fournisseur US).
  • AI Act : pleine applicabilité 2 août 2026 (Règlement UE 2024/1689). L'article 4 (AI literacy) est opposable depuis le 2 février 2025.
  • Le Cloud Act suit la nationalité du fournisseur, pas le data center : un hébergement à Dublin ou à Francfort ne neutralise pas une requête US.
  • Matrice à 3 questions pour qualifier votre exposition et arbitrer entre fournisseur US certifié DPF, acteur européen ou LLM privé souverain.

Introduction

Vous dirigez une PME luxembourgeoise, vous avez déployé un assistant IA, et trois textes juridiques s'appliquent au même outil : le RGPD depuis 2018, l'AI Act pleinement applicable au 2 août 2026, et le Cloud Act américain dès lors que votre fournisseur est une société de droit américain.

Cet article pose les trois lois côte à côte et propose une matrice de décision. Pour la définition de chaque loi, voir notre lexique juridique IA complet. Pas de panique, pas de pitch : du factuel et quatre décisions opérationnelles.

1. Trois lois, un seul outil IA : le casse-tête d'un dirigeant luxembourgeois

Une fiduciaire luxembourgeoise équipe ses juniors comptables d'un assistant IA type ChatGPT Enterprise, Microsoft Copilot ou Google Gemini Workspace. L'outil traite des documents clients (donc des données personnelles) et est présenté comme hébergé sur un data center européen. Le dirigeant pense être en conformité RGPD : serveurs en Europe, data processing agreement signé.

La réalité est plus dense. Le même outil est concerné par trois cadres : RGPD pour les données, AI Act pour le système IA, Cloud Act pour toute demande d'accès qu'une autorité US pourrait adresser au fournisseur. Le Cloud Act suit la nationalité du fournisseur, pas la géographie du serveur.

Ce cumul est la règle pour toute PME qui utilise un assistant IA basé sur un LLM américain. Les usages sauvages (employé qui ouvre ChatGPT grand public) ajoutent une couche supplémentaire, décrite dans notre guide sur l'IA grand public non maîtrisée en entreprise.

2. Ce que fait chaque loi, en une phrase par texte

RGPD (2018) : protège les données personnelles, partout

Le RGPD (Règlement UE 2016/679) encadre le traitement des données personnelles des résidents UE depuis le 25 mai 2018. Il s'applique dès qu'une donnée personnelle est traitée, peu importe l'outil. La CNPD est l'autorité nationale.

AI Act (2024) : encadre le système IA selon son risque

L'AI Act (Règlement UE 2024/1689) est entré en vigueur le 1er août 2024. Article 4 (AI literacy) opposable depuis le 2 février 2025. Pleine applicabilité du régime haut risque le 2 août 2026. Le texte classe les systèmes en 4 catégories (calendrier officiel).

Cloud Act (2018) : donne compétence aux autorités US

Le Cloud Act (H.R.4943), signé le 23 mars 2018, permet aux autorités américaines d'exiger d'un fournisseur de nationalité américaine la communication de données qu'il héberge, quel que soit le pays d'hébergement physique (décryptage Paperjam).

💡 Bon à savoir : aucune des trois lois n'annule les autres. Elles se cumulent dès qu'un outil IA traite des données personnelles via un fournisseur américain.

3. Le conflit de lois qui piège les PME : RGPD contre Cloud Act

Un prestataire américain sommé par une autorité US de livrer des données se trouve en étau : le Cloud Act l'oblige à fournir, le RGPD lui interdit de transférer vers les États-Unis sans garantie appropriée. LexisNexis qualifie ce cas de conflit de lois structurel.

La réponse passe par le Data Privacy Framework (DPF), décision d'adéquation UE du 10 juillet 2023 qui autorise le transfert vers les entreprises américaines certifiées (dossier CNPD). Mais le DPF légalise le transfert côté UE, il ne protège pas contre une requête US adressée au fournisseur.

Un fournisseur IA américain peut donc être RGPD-conforme (via DPF) et exposé à une demande Cloud Act. Pour un traitement ordinaire, ce cumul est acceptable. Pour un traitement sensible (santé, juridique, financier, parapublic), il mérite une analyse spécifique, détaillée dans notre article sur la localisation réelle des données IA.

Me Simon Dumontel, cité par Paperjam en avril 2026, rappelle que « le Cloud Act ne donne pas carte blanche aux autorités américaines pour accéder sans aucune condition ». La compétence est extraterritoriale encadrée, pas une porte ouverte, mais l'exposition reste réelle.

4. Où l'AI Act s'ajoute à l'équation

L'AI Act n'efface ni le RGPD ni le Cloud Act. Il ajoute une troisième série d'obligations, centrées sur le système IA : documentation, transparence, supervision humaine, traçabilité, AI literacy. Ces obligations s'ajoutent au RGPD, elles ne le remplacent pas.

L'article 4 AI Act est opposable depuis le 2 février 2025 (source). La pleine applicabilité du régime haut risque intervient le 2 août 2026. Pour la checklist opérationnelle, voir notre guide AI Act PME Luxembourg à 100 jours. Au Luxembourg, le projet de loi n° 8476 désigne la CNPD autorité de référence AI Act, en complément de son rôle RGPD (analyse K&L Gates, position gouvernement LU).

Point clé : un système IA peut être RGPD et DPF-conforme, mais non-conforme AI Act si documentation, transparence et formation ne sont pas organisées.

Schéma en couronnes concentriques montrant un outil IA d'entreprise encerclé par les obligations RGPD, AI Act et Cloud Act, avec les 3 dates-clés 2018, 2024 et 2026.

Trois cadres s'appliquent simultanément : RGPD (données), AI Act (système IA), Cloud Act (fournisseur US).

5. La matrice de décision à 3 questions

Pour qualifier l'exposition d'un outil IA, trois questions suffisent. Les réponses se cumulent.

Arbre de décision vertical à 3 questions : données personnelles UE, catégorie de risque AI Act, fournisseur US, pour qualifier l'exposition d'un outil IA d'entreprise au Luxembourg.

Arbre de décision à 3 questions pour qualifier l'exposition d'un outil IA.

Question

Si oui

Si non

Action

Q1. Données personnelles de résidents UE ?

RGPD engagé : AIPD, registre, DPA fournisseur.

Hors RGPD (rare).

Cartographier les données entrantes et sortantes.

Q2. Catégorie de risque AI Act ?

AI Act engagé : documentation, transparence, AI literacy, marquage CE si haut risque.

AI Act minimal (allégé).

Classer chaque usage dans une des 4 catégories.

Q3. Fournisseur de droit américain ?

Cloud Act applicable : DPF obligatoire, souveraineté à arbitrer.

Cloud Act hors champ.

Vérifier le DPF ou arbitrer selon la sensibilité.

Oui aux trois (cas courant pour ChatGPT Enterprise, Copilot, Gemini Workspace) : les trois cadres s'appliquent. Oui à Q1-Q2, non à Q3 : vous sortez du périmètre Cloud Act, scénario d'un fournisseur européen ou d'un LLM privé hébergé par un acteur non américain.

Pour un cabinet d'avocats ou une étude notariale, cette qualification est prioritaire : voir nos pages avocats et notaires et comptables et fiduciaires.

6. Pourquoi un LLM privé souverain simplifie les 3 cadres

Un LLM privé hébergé en Europe par un acteur non américain ne supprime pas le RGPD ou l'AI Act, il les simplifie en supprimant la variable Cloud Act. Trois facteurs structurels.

Contrôle du trajet : modèle et données sur une infrastructure européenne opérée par une entité européenne, l'audit RGPD devient direct, pas de sous-traitance en cascade (la CNPD documente ses obligations sur les transferts internationaux). Journalisation : l'AI Act impose la traçabilité, un LLM privé permet de stocker les journaux sur l'infrastructure du client sans dépendre d'un tiers. Compétence juridique : un acteur européen n'entre pas dans le champ du Cloud Act, l'exposition structurelle disparaît. Raisonnement détaillé dans notre cas d'usage protéger vos données avec une IA privée.

Vous avez identifié votre exposition Cloud Act et voulez un second regard avant d'arbitrer ?

📞 Discuter de votre cas d'usage

7. Les 4 décisions à prendre cette semaine

Quatre décisions à poser dès maintenant, dans l'ordre.

  1. Cartographier les outils IA utilisés. Officiels, informels, extensions navigateur, IA embarquées dans Microsoft 365 ou Google Workspace.
  2. Identifier la nationalité juridique de chaque fournisseur. Pour les filiales US en UE, retenir la maison-mère pour l'analyse Cloud Act.
  3. Vérifier la certification DPF des fournisseurs US critiques. Registre public du Département du Commerce américain. Prévoir un plan de sortie en cas de suspension.
  4. Planifier l'arbitrage souveraineté avant le 2 août 2026. Pour chaque outil sensible : maintien fournisseur US DPF, bascule européenne, ou LLM privé souverain.

Pour les entreprises publiques et parapubliques, ajouter une cinquième décision : vérifier si le périmètre NIS2 est engagé, auquel cas les obligations cyber se cumulent.

Conclusion : la souveraineté est un calcul, pas un discours

AI Act, Cloud Act, RGPD : trois lois, un seul outil IA. Les trois cadres sont indépendants, se cumulent et ne se substituent pas. Pour rester en conformité avant le 2 août 2026, qualifier son exposition aux trois est la seule démarche sérieuse.

Pour certains usages, un fournisseur américain certifié DPF suffit. Pour d'autres, la souveraineté d'infrastructure est la seule sortie propre. Voir pourquoi LetzAgents accompagne les PME et ETI luxembourgeoises via un audit IA gratuit.

Avant le 2 août 2026, un audit structurel évite les mauvaises surprises.

📞 Demander un audit IA gratuit

FAQ : vos questions sur AI Act, Cloud Act et RGPD

1. Le Cloud Act s'applique-t-il à une PME luxembourgeoise ?

Pas directement : il s'applique à ses fournisseurs de nationalité américaine. Dès que votre assistant IA repose sur un éditeur US, les données confiées sont potentiellement accessibles aux autorités américaines via une requête Cloud Act, même avec un data center européen. L'arbitrage se fait au niveau du fournisseur, pas du territoire.

2. Quelle est la différence entre AI Act et RGPD ?

Le RGPD (Règlement UE 2016/679, 2018) encadre les données personnelles. L'AI Act (Règlement UE 2024/1689, pleine applicabilité 2 août 2026) encadre les systèmes IA selon 4 catégories de risque. Les deux se cumulent. La CNPD est l'autorité nationale luxembourgeoise pour les deux (projet de loi n° 8476).

3. Mon fournisseur IA américain a un data center en Europe, est-il soumis au Cloud Act ?

Oui. Le Cloud Act (H.R.4943, 23 mars 2018) suit la nationalité du fournisseur, pas la localisation du serveur. Un fournisseur de droit américain avec data center à Dublin ou Francfort reste juridiquement compétent pour exécuter une requête US. Me Simon Dumontel le rappelle dans Paperjam (avril 2026) : compétence extraterritoriale encadrée, pas immunité.

4. Qui contrôle la conformité IA au Luxembourg ?

La CNPD est l'autorité nationale pour le RGPD depuis 2018 et a été désignée autorité de référence AI Act par le projet de loi n° 8476. Pour les entités financières régulées, la CSSF ajoute une supervision DORA. Pour le Cloud Act, aucune autorité luxembourgeoise ne contrôle : la vérification se fait via la cartographie des fournisseurs.

5. La certification Data Privacy Framework suffit-elle sur données sensibles ?

Le DPF (décision d'adéquation UE du 10 juillet 2023) autorise le transfert UE vers un fournisseur américain certifié. Elle ne neutralise pas le Cloud Act. Sur traitement ordinaire, le DPF suffit. Sur traitement juridique, médical, financier ou parapublic, un LLM privé hébergé par un acteur non américain est souvent la sortie propre. Le DPF reste sous surveillance judiciaire européenne.

À propos de l'auteur : LetzAgents, équipe IA souveraine basée au Luxembourg, accompagne les PME et ETI dans le déploiement de systèmes IA conformes RGPD, AI Act, et sur le calcul de souveraineté Cloud Act (cartographie, arbitrage DPF vs LLM privé européen, préparation au 2 août 2026).

Article basé sur les textes officiels (RGPD, AI Act, Cloud Act H.R.4943, décision d'adéquation DPF), les dossiers CNPD sur les transferts internationaux, le projet de loi luxembourgeois n° 8476, et la doctrine publiée par LexisNexis, K&L Gates et Paperjam en 2025-2026.

Découvrez nos autres articles

Dirigeant d'une PME luxembourgeoise consultant un dashboard d'agent téléphonique IA souverain dans un bureau du Kirchberg
Souveraineté·

Agent téléphonique IA en 2026 : pourquoi la souveraineté redevient le critère décisif

OpenAI a banalisé la voix IA le 7 mai 2026. Pour une PME luxembourgeoise, la souveraineté du modèle, la juridiction des enregistrements et le secret professionnel deviennent les vrais critères de choix.

Lire la suite
Dirigeante de fiduciaire luxembourgeoise consultant un dashboard IA souveraine pour choisir sa solution en 2026
Souveraineté·

Choisir une IA pour votre fiduciaire luxembourgeoise : 7 critères en 2026

Comment choisir une IA pour votre fiduciaire luxembourgeoise en 2026 sans compromettre secret professionnel, hébergement EU et conformité AI Act 2 août 2026.

Lire la suite
Organisme formation luxembourgeois AI literacy formateur apprenants adultes 2026
Productivité·

IA dans les organismes de formation luxembourgeois : 5 usages et l'obligation AI literacy qui change tout en 2026

51 % des organismes de formation luxembourgeois ont déjà adopté l'IA (INFPC, septembre 2025). 5 usages concrets et l'article 4 AI Act en clair avant le 3 août 2026.

Lire la suite
Voir tous les articles