IAActs

Réaliser l'AIPD de votre système IA : 7 étapes concrètes pour ne pas rejoindre le club des 550 000 € d'amendes CNIL

Publié le 2026-04-28 | Mots-clés :

Réaliser l'AIPD de votre système IA en 7 étapes

Fin 2025, une entreprise de scoring crédit a reçu une amende CNIL de 100 000 euros. Pas pour une fuite de données. Pas pour du spam. Pour l'absence d'une analyse d'impact sur la protection des données — l'AIPD. Un document. Un document qu'elle n'avait jamais rédigé.

Ce cas (« Company W » dans les registres CNIL) m'a frappé parce qu'il illustre un décalage énorme : beaucoup d'équipes techniques déploient des systèmes IA sophistiqués, mais personne ne s'assoit pour formaliser l'analyse d'impact. C'est un peu comme installer un système d'alarme sans jamais rédiger le protocole incendie. Le risque est là, documenté nulle part.

Depuis janvier 2026, la CNIL a prononcé 550 000 euros de sanctions liées à l'IA en seulement quatre mois. L'AIPD absente ou bâclée revient dans chaque dossier. Alors voici comment réaliser la vôtre — proprement, sans jargon inutile.

Avant de commencer : avez-vous vraiment besoin d'une AIPD ?

Réponse courte : probablement oui.

Le RGPD impose une AIPD dès qu'un traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes ». L'article 35 donne trois critères. Il suffit d'en cocher deux :

  • Évaluation/scoring automatisé de personnes physiques
  • Traitement à grande échelle de données sensibles ou de données relatives à des condamnations
  • Surveillance systématique d'une zone accessible au public

Un chatbot qui collecte des données utilisateurs ? Deux critères cochés. Un outil de tri de CV ? Trois sur trois. Un modèle de scoring ? Vous connaissez déjà la réponse.

L'IA Act (entré en application progressive depuis août 2025) ajoute une couche : les systèmes classés « risque élevé » par les lignes directrices de l'AI Office d'avril 2026 exigent une documentation technique qui recoupe largement l'AIPD. Autant faire les deux d'un coup.

Étape 1 — Décrire le traitement en langage clair

Pas de jargon technique. Décrivez ce que fait votre IA comme si vous l'expliquiez à quelqu'un qui ne connaît ni Python ni le machine learning.

Concrètement, répondez à ces questions : - Quel problème ce système résout-il ? - Quelles données personnelles entre-t-il en entrée ? - Quelle décision ou suggestion produit-il en sortie ? - Qui est concerné (clients, employés, candidats, usagers) ?

Exemple pour un chatbot de service client : « Le système utilise les messages texte des clients pour générer des réponses automatiques. Il accède à l'historique d'achat et au prénom. Il produit une réponse textuelle et peut escalader vers un humain. »

Rien de spectaculaire. C'est voulu.

Étape 2 — Identifier la base légale RGPD

C'est le point sur lequel Company X a trébuché (50 000 € d'amende en mars 2026 pour un système de reconnaissance faciale sans base légale valide). Vous avez six bases légales possibles dans le RGPD. Pour un système IA, les trois réalistes sont :

Base légale Quand l'utiliser Piège fréquent
Consentement (art. 6.1.a) Chatbot optionnel, fonctionnalité IA facultative Le consentement doit être libre — si l'utilisateur ne peut pas refuser sans perdre le service, ce n'est pas du consentement
Intérêt légitime (art. 6.1.f) Scoring interne, détection de fraude Exige un test de mise en balance documenté — pas juste une phrase vague
Exécution du contrat (art. 6.1.b) L'IA est indispensable au service promis Ne couvre pas les traitements « bonus » ajoutés après coup

Documentez votre choix et justifiez-le. Trois lignes suffisent, mais elles doivent exister.

Étape 3 — Cartographier les flux de données

D'où viennent les données ? Où vont-elles ? Qui y accède ?

Dessinez un schéma simple (même sur papier) avec : - Les sources de collecte (formulaire, API, scraping, import CSV…) - Les lieux de stockage (serveur FR, cloud US, prestataire tiers) - Les destinataires (équipe interne, sous-traitant, modèle hébergé chez un fournisseur)

Petite digression : j'ai vu une startup stocker les conversations de son chatbot dans un bucket S3 non chiffré pendant huit mois. Personne ne le savait, parce que personne n'avait dessiné le flux. La cartographie, c'est le moment où ce genre de surprise remonte.

Étape 4 — Évaluer les risques pour les personnes

Pas les risques pour votre entreprise. Les risques pour les personnes dont vous traitez les données.

La CNIL recommande de les classer sur deux axes : gravité de l'impact et vraisemblance. Quatre catégories de risques reviennent systématiquement dans les systèmes IA :

  1. Discrimination — le modèle reproduit ou amplifie des biais (c'est ce qui a coûté 250 000 € à Company Z en recrutement)
  2. Opacité — l'utilisateur ne sait pas qu'il interagit avec une IA ou comment ses données sont utilisées
  3. Perte de contrôle — pas de moyen de contester ou corriger une décision automatisée
  4. Réutilisation non prévue — les données collectées pour le chatbot finissent dans l'entraînement d'un autre modèle

Pour chaque risque, notez : faible / modéré / élevé. C'est tout.

Étape 5 — Définir les mesures de réduction

Chaque risque identifié à l'étape 4 doit avoir au moins une mesure en face. Quelques exemples concrets :

  • Contre la discrimination : audit régulier des outputs, test sur des jeux de données diversifiés, intervention humaine sur les décisions à fort impact
  • Contre l'opacité : mention visible « Ce service utilise l'intelligence artificielle », fiche de transparence (notre guide dédié détaille la méthode pour rédiger cette fiche étape par étape)
  • Contre la perte de contrôle : bouton de contestation, processus de revue humaine documenté
  • Contre la réutilisation : cloisonnement technique des données, clause contractuelle avec le fournisseur de modèle

L'avis du CEPD de février 2026 sur l'articulation IA Act/RGPD insiste sur un point : les mesures doivent être effectives, pas déclaratives. Dire « nous ferons un audit » ne suffit pas. Quand ? Par qui ? Selon quel protocole ? C'est ça que la CNIL vérifie.

Étape 6 — Consulter les parties prenantes

L'article 35.9 du RGPD est souvent oublié : vous devez « demander l'avis des personnes concernées ou de leurs représentants ». En pratique, deux options :

  • Un questionnaire envoyé à un panel d'utilisateurs (même 15-20 personnes)
  • Une consultation du CSE si le système IA concerne les salariés

Gardez une trace écrite des retours. Ce n'est pas un vote — vous n'êtes pas obligé de suivre chaque avis — mais la consultation doit être réelle.

Étape 7 — Rédiger, dater, réviser

L'AIPD n'est pas un document figé. Rédigez-la, datez-la, signez-la (le DPO + le responsable du traitement). Puis planifiez une révision : tous les 12 mois minimum, ou à chaque modification significative du système.

Notre base de veille suit 172 textes réglementaires IA issus de la CNIL (64), du CEPD (91 avis), d'EUR-Lex (8) et de Legifrance (9). Le rythme de publication s'accélère. L'arrêté du 28 février 2026 sur la déclaration des systèmes à risque élevé a déjà modifié les exigences de documentation par rapport à ce qui existait trois mois plus tôt.

Autrement dit : une AIPD rédigée en janvier et jamais mise à jour ne vaudra pas grand-chose en décembre.

Ce qu'il faut retenir

L'AIPD reste le document le plus rentable que vous puissiez produire en matière de conformité IA. Pas parce qu'il est passionnant à rédiger — soyons honnêtes, ça ne l'est pas. Mais parce que son absence est devenue le raccourci le plus direct vers une sanction CNIL.

L'articulation entre RGPD et IA Act crée aujourd'hui un double régime réglementaire qui rend l'AIPD quasi incontournable pour tout système IA traitant des données personnelles. Et si vous hésitez encore sur un point précis, notre FAQ conformité IA Act / RGPD couvre les 13 questions les plus fréquentes.

Pour démarrer, téléchargez notre checklist conformité IA Act et notre template DPA — c'est gratuit, et ça structure les premières heures de travail.