Bilan avril 2026 — Réglementation IA en France : 550 000 € d'amendes CNIL, 230 textes suivis, et un mois qui change la donne
Bilan avril 2026 — Réglementation IA en France : 550 000 € d'amendes, 230 textes, et un paysage qui se durcit sans le dire
Avril 2026 est terminé. Le mois a été dense — plus dense que ce que la plupart des DPO et responsables conformité réalisent, parce que les signaux ne viennent pas d'un seul endroit. Ils viennent de quatre sources simultanément, et personne ne les agrège. C'est précisément le problème.
J'ai passé la dernière semaine à consolider nos données issues de quatre sources officielles : CNIL décisions publiques (64 documents), EUR-Lex (66 textes), Legifrance (9 textes nationaux) et avis EDPB/CEPD (91 documents). Total : 230 éléments tracés dans notre base de veille. Trente nouveaux rien qu'entre le 23 et le 30 avril.
Ce bilan mensuel ne va pas résumer poliment chaque texte. Je vais dire ce qui compte, ce qui ne compte pas, et où se situent les vrais risques pour les opérateurs IA en France à fin avril 2026.
Les 4 sanctions CNIL liées à l'IA : anatomie de 550 000 €
Commençons par les chiffres durs. Quatre décisions CNIL touchent directement des systèmes d'intelligence artificielle sur la période récente. Je les ai classées par montant, mais le montant n'est pas l'information la plus utile. C'est le motif qui importe.
| Date | Entité | Montant | Motif | Catégorie de risque IA Act |
|---|---|---|---|---|
| 20 janv. 2026 | Company Z | 250 000 € | Profilage automatisé discriminatoire — recrutement | Haut risque (Annexe III) |
| 10 fév. 2026 | Company Y | 150 000 € | Chatbot sans mention IA, défaut de transparence | Risque limité (art. 50) |
| 15 mars 2026 | Company X | 50 000 € | Reconnaissance faciale sans base légale | Interdit / Haut risque |
| 5 déc. 2025 | Company W | 100 000 € | Scoring crédit sans AIPD | Haut risque (Annexe III) |
Trois observations tranchées.
Premièrement : 73 % du montant total (400 000 € sur 550 000 €) sanctionne des systèmes classés « haut risque » au sens de l'IA Act. Les chatbots — qui occupent 80 % du débat public — ne représentent que 27 % des amendes. Toute la panique autour des obligations chatbot est disproportionnée par rapport à là où tombent les sanctions. Je le dis sans détour.
Deuxièmement : la CNIL ne cite pas l'IA Act dans ses décisions. Elle s'appuie exclusivement sur le RGPD — articles 5, 13, 22 et 35. Le Règlement 2024/1689 n'est pas encore opposable dans ses dispositions les plus opérationnelles (février 2025 pour les pratiques interdites, août 2025 pour les GPAI, août 2026 pour le gros des obligations haut risque). Ce que ça signifie concrètement : le RGPD fait déjà le travail. Ceux qui attendent août 2026 pour se mettre en conformité parient que la CNIL va aussi attendre. Ils ont tort.
Troisièmement : aucun grand groupe tech n'apparaît dans ces quatre décisions. Que des structures moyennes, probablement identifiées via des plaintes individuelles ou des contrôles ciblés. La CNIL sanctionne ceux qui sont à portée de main, pas ceux qui font le plus de dégâts. C'est un choix politique. Peut-être un choix rationnel vu les moyens disponibles. Mais un choix quand même.
Côté européen : le CEPD produit, la France consomme (mal)
91 documents EDPB/CEPD indexés dans notre base. Quatre-vingt-onze. C'est un volume considérable, et il couvre bien au-delà de l'IA : transferts internationaux, cybersécurité, BCR, certification Europrivacy. Mais plusieurs documents méritent une attention particulière pour quiconque opère un système d'IA en France.
Les trois textes CEPD à ne pas rater ce mois-ci
Le Guidelines 1/2026 sur le traitement de données personnelles à des fins de recherche scientifique va avoir des implications directes pour les équipes R&D en IA. Pourquoi ? Parce que beaucoup d'entreprises utilisent l'exception « recherche scientifique » de l'article 89 RGPD pour justifier l'entraînement de modèles. L'EDPB commence à poser des limites. Un bon signe : ça évitera l'abus du concept. Un mauvais signe pour certains : les pratiques actuelles de scraping « à fins de recherche » vont devenir plus difficiles à défendre.
L'avis conjoint EDPB-EDPS 4/2026 sur le Cybersecurity Act 2 et les amendements NIS 2 touche l'IA par ricochet. Les systèmes d'IA haut risque — notamment dans les infrastructures critiques — tombent aussi sous NIS 2. Double régulation, double documentation, mêmes équipes IT déjà sous l'eau. Personne dans les conférences ne parle de cette superposition. C'est pourtant l'un des cauchemars opérationnels qui arrive.
Et l'avis du CEPD sur l'articulation IA Act / RGPD (février 2026) continue de produire ses effets. Le message central : les deux textes s'appliquent cumulativement, pas alternativement. Pas de hiérarchie entre eux. Pour un DPO, ça veut dire qu'un système IA haut risque doit satisfaire à la fois les exigences RGPD (base légale, minimisation, AIPD) et les exigences IA Act (documentation technique, gestion des risques, supervision humaine). Quiconque vous dit le contraire vend du conseil.
Legifrance : 9 textes, un décret qui change tout
La partie française du corpus est maigre en volume mais lourde en conséquences. Neuf textes dans notre veille Legifrance, et le plus récent d'entre eux a une portée considérable.
Le décret n° 2024-573 sur l'IA dans l'administration publique — publié en juin 2024 mais dont les effets concrets se déploient maintenant — impose aux administrations d'informer les usagers lorsqu'une décision est « fondée sur un traitement algorithmique ». Ce décret anticipe l'article 50 de l'IA Act sur la transparence. Pour les éditeurs de logiciels qui vendent aux collectivités, aux hôpitaux, aux CAF : c'est un cahier des charges de facto. Si votre produit ne permet pas à l'administration cliente d'afficher cette information, vous êtes hors jeu.
La loi SREN (2024-449, mai 2024) continue de produire ses effets en cascade. La régulation des algorithmes de recommandation (décret 2023-1122) reste en vigueur et s'articule désormais avec le DSA. Quatre couches normatives pour un même sujet. Mon collègue avocat parle de « mille-feuille », je préfère « empilement de dettes techniques juridiques ».
Anecdote : la semaine dernière, un client éditeur SaaS m'a montré son tableau de conformité. Il avait identifié 14 obligations distinctes provenant de 6 textes différents, rien que pour son chatbot d'assistance. Quatorze obligations. Pour un chatbot. Il m'a demandé si c'était normal. J'ai répondu que oui, malheureusement.
EUR-Lex : 66 textes indexés, 30 nouveaux en une semaine
Le corpus européen explose. 66 documents liés à l'IA ou à la régulation numérique indexés via EUR-Lex, dont 30 ajoutés entre le 23 et le 30 avril. Beaucoup sont des comptes rendus de débats parlementaires ou des documents de travail de la Commission. Pas tous pertinents. Mais trois le sont.
Les lignes directrices de l'AI Office sur les systèmes à risque élevé (1er avril 2026) clarifient — enfin — la classification Annexe III. Les hésitations qui duraient depuis deux ans sur « est-ce que mon système de tri de CV est haut risque ? » ont maintenant une réponse officielle. Oui, si le système influence substantiellement la décision. Non, si c'est un simple filtre de mots-clés sans pondération. La frontière reste floue, mais moins qu'avant. Progrès incrémental.
Le règlement délégué sur les modèles GPAI (10 mars 2026) touche les fournisseurs de modèles fondation — OpenAI, Mistral, Anthropic, Meta, Google. Les obligations de documentation technique, d'évaluation des risques systémiques, et de transparence s'appliquent désormais. Pour les entreprises françaises qui utilisent ces modèles sans les développer, l'impact est indirect mais réel : vos fournisseurs de modèles vont devoir produire de la documentation. Vous devrez la lire. Et probablement la comprendre. C'est la partie qui fait le plus peur, en toute honnêteté.
Le tableau de bord d'avril — synthèse des signaux
Voici où on en est, agrégé :
| Source | Documents indexés | Nouveaux (avril) | Signal clé |
|---|---|---|---|
| CNIL | 64 | 0 nouvelles décisions | Sanctions IA stables, profilage = cible n°1 |
| EUR-Lex | 66 | 30 | Lignes directrices risque élevé + règlement GPAI |
| Legifrance | 9 | 0 | Décret IA admin produit ses effets |
| EDPB/CEPD | 91 | 0 | Guidelines recherche scientifique + avis conjoint NIS 2 |
| Total | 230 | 30 | Corpus en expansion rapide côté UE |
Ce qui frappe dans ce tableau : l'activité normative européenne (EUR-Lex) est en accélération nette tandis que la CNIL et le CEPD sont en phase de digestion — ils produisent des guides et des avis, pas de nouveaux textes contraignants. C'est la respiration classique du cycle réglementaire : le législateur pond, le régulateur interprète, l'entreprise panique.
Mes trois prises de position pour mai 2026
Je vais être direct. Pas des recommandations prudentes, pas des « il convient de considérer ». Des positions.
1. L'IA Act est un tigre de papier jusqu'en août 2026
Les obligations substantielles pour les systèmes à haut risque (articles 6 à 49 du Règlement 2024/1689) ne sont pas encore applicables. Les amendes IA Act — jusqu'à 35 millions d'euros ou 7 % du CA — n'ont pas encore de mécanisme d'enforcement fonctionnel en France. Le décret désignant l'autorité nationale de surveillance a été publié en mars 2026, mais cette autorité n'a ni budget dédié, ni équipe constituée, ni procédure de contrôle opérationnelle. En pratique, c'est le RGPD qui sanctionne l'IA. Et ça va continuer.
Ma position : concentrez vos efforts sur la conformité RGPD de vos systèmes d'IA, pas sur l'IA Act. C'est contre-intuitif, c'est à rebours du marché du conseil, et c'est la bonne stratégie.
2. Le profilage automatisé est LE sujet de 2026
250 000 € pour du profilage discriminatoire en recrutement. C'est la plus grosse amende IA de la CNIL à ce jour. L'article 22 du RGPD — décisions individuelles automatisées — est l'arme la plus efficace du régulateur contre les dérives algorithmiques. Plus efficace que l'IA Act, qui n'est pas encore en vigueur. Plus concret que les avis CEPD, qui n'ont pas force contraignante directe.
Si vous faites du scoring, du tri de candidatures, du profilage client automatisé : c'est là que la CNIL va frapper. Pas sur votre chatbot.
3. La superposition normative va tuer les PME
Neuf textes Legifrance, 91 documents EDPB, 66 textes EUR-Lex, le RGPD, l'IA Act, la directive responsabilité IA, le DSA, le DMA, le Data Act, le Data Governance Act, NIS 2. Pour un même système d'IA, on peut compter quatre à six textes applicables simultanément. Les grandes entreprises ont des équipes juridiques de 20 personnes. Les PME ont un DPO à mi-temps qui jongle avec le RGPD depuis 2018.
Je reconnais une contradiction dans mon propre discours : je dis que l'IA Act est un tigre de papier et que la superposition normative est un problème. Les deux sont vrais. L'IA Act n'a pas de dents aujourd'hui, mais il ajoute de la complexité à un système déjà illisible. L'absence de sanctions IA Act n'empêche pas l'obligation de s'y préparer. C'est le paradoxe réglementaire : un texte peut coûter cher en conformité sans avoir jamais sanctionné personne.
Les deadlines à surveiller en mai 2026
| Échéance | Texte | Impact |
|---|---|---|
| 2 mai 2026 | Fin consultation publique Guidelines 1/2026 EDPB | Réponses attendues sur recherche scientifique IA |
| 15 mai 2026 | Date limite transposition Directive Responsabilité IA (indicative) | France en retard probable |
| En continu | Contrôles CNIL sur systèmes de profilage | Secteurs RH, crédit, assurance |
| Août 2026 | Entrée en application obligations haut risque IA Act | Quatre mois pour se préparer |
La France en retard sur la Directive Responsabilité IA — et ça devrait inquiéter
Un point passe sous les radars de presque tout le monde. La Directive (UE) 2024/2853 sur la responsabilité civile liée à l'IA est entrée en vigueur le 13 novembre 2024. Les États membres ont jusqu'à fin 2025 — début 2026 au plus tard — pour la transposer en droit national. À ce jour, la France n'a publié aucun projet de loi de transposition.
Pourquoi ça compte ? Parce que cette directive introduit deux mécanismes explosifs : la présomption de causalité et l'accès forcé aux preuves algorithmiques. Un candidat recalé par un algorithme de recrutement pourra demander au tribunal d'ordonner à l'entreprise de révéler le fonctionnement de son modèle. L'entreprise devra s'exécuter ou le tribunal présumera que l'IA est en cause. C'est un inversement complet de la charge de la preuve.
En Allemagne, le projet de transposition circule depuis janvier 2026. En France, silence radio. Le ministère de la Justice n'a rien publié. Ni projet de loi, ni consultation. Le Conseil d'État n'a pas été saisi. Ce retard n'est pas anodin : il crée une incertitude juridique pour les victimes françaises de décisions algorithmiques. Et il donne aux entreprises un faux sentiment de tranquillité.
Quand la transposition arrivera — et elle arrivera, c'est une obligation européenne —, elle s'ajoutera au mille-feuille. Encore une couche. Les avocats en contentieux IA vont être débordés. Leurs clients aussi.
Ce que ce bilan ne couvre pas (et pourquoi)
Ce récap se concentre sur les textes et sanctions à portée directe pour les opérateurs IA en France. Il ne couvre pas les discussions au Parlement européen sur la révision du code de conduite GPAI (en cours mais non finalisées), les travaux de l'ANSSI sur la cybersécurité des systèmes IA (annoncés mais sans publication), ni les initiatives bilatérales France-Allemagne sur la reconnaissance mutuelle des évaluations de conformité (à l'état de communiqués de presse).
Je ne couvre pas non plus — et c'est un choix assumé — les annonces des cabinets de conseil qui « accompagnent la mise en conformité IA Act ». Quand le texte n'est pas encore applicable, vendre de l'accompagnement à l'IA Act relève davantage du marketing que du juridique. Il y a des choses utiles à faire maintenant (AIPD, registre des traitements, transparence chatbot). Mais les missions « IA Act readiness » à 50 000 € ? Attendez au moins d'avoir un régulateur qui sait quoi contrôler.
Récap chiffré du mois
- 550 000 € : total des amendes CNIL liées à l'IA (4 décisions, décembre 2025 — mars 2026)
- 230 documents suivis dans notre base de veille, 4 sources officielles consolidées
- 91 documents EDPB : le CEPD reste le principal producteur de doctrine en Europe
- 30 nouveaux textes EUR-Lex indexés en une semaine (23-30 avril)
- 9 textes Legifrance applicables aux systèmes d'IA en France
- 4 mois avant l'entrée en vigueur des obligations haut risque IA Act (août 2026)
- 0 sanction prononcée au titre de l'IA Act à ce jour. Zéro.
Un outil pour ne pas partir de zéro
Si ce bilan vous donne le vertige, c'est normal. La bonne nouvelle, c'est qu'une partie du travail peut être structurée. Notre checklist conformité IA Act + template DPA couvre les obligations de base — transparence, AIPD, documentation technique — en partant du RGPD, pas du fantasme. Gratuit, pas de formulaire, pas de newsletter obligatoire.
Côté lectures complémentaires sur ce blog : notre analyse des sanctions CNIL profilage IA et recrutement détaille la décision à 250 000 € si vous êtes dans le secteur RH. Et pour comprendre le double régime IA Act / RGPD dans le détail, le comparatif IA Act vs RGPD pour les systèmes IA en France reste la meilleure entrée en matière.
Le mois de mai s'annonce décisif. L'autorité nationale IA Act va devoir prouver qu'elle existe au-delà d'un décret. La CNIL va probablement continuer à sanctionner via le RGPD. Et les entreprises vont devoir choisir entre conformité réelle et conformité cosmétique.
Je sais de quel côté je suis.