Bilan réglementation IA fin avril 2026 : 202 textes surveillés, 5 signaux que vous avez probablement ratés
Bilan réglementation IA fin avril 2026 : 202 textes surveillés, 5 signaux que vous avez probablement ratés
Avril se termine. Et si vous avez décroché de la veille réglementaire IA ne serait-ce qu'une semaine, vous avez manqué pas mal de choses.
Notre base de données agrège 202 documents issus de quatre sources officielles : les publications CNIL, les avis et guidelines du CEPD/EDPB, les textes EUR-Lex et Legifrance. Au 25 avril, la répartition ressemble à ça : 64 documents côté CNIL, 96 côté EDPB, 33 dans EUR-Lex et 9 sur Legifrance. C'est dense. C'est technique. Et la plupart des gens qui déploient de l'IA en France n'en ont lu aucun.
Je le sais parce que mardi, pendant un déjeuner avec une ancienne collègue devenue responsable data dans une scale-up parisienne, j'ai mentionné les Guidelines 1/2026 du CEPD sur la recherche scientifique. Elle m'a regardé comme si je parlais en klingon. Pourtant, son équipe entraîne un modèle de NLP sur des données médicales depuis février. Ce texte la concerne directement.
Ce bilan de fin avril n'est pas un inventaire exhaustif — ce serait illisible. C'est un filtre. Les cinq événements réglementaires du mois qui méritent votre attention, avec pour chacun ce que ça change concrètement si vous développez, déployez ou achetez de l'IA en France.
Le tableau de synthèse : avril 2026 en un coup d'œil
Avant de détailler chaque signal, voici la photographie d'ensemble du mois, source par source.
| Source | Documents totaux (au 25/04) | Publications d'avril 2026 | Type dominant | Impact conformité |
|---|---|---|---|---|
| CNIL | 64 | 3 nouveaux outils/guides | Publications IA pratiques | Direct — chatbots, open source |
| EDPB/CEPD | 96 | 4 opinions + 1 guidelines | Avis & certifications | Moyen — cadrage européen |
| EUR-Lex | 33 | 0 nouveau règlement | Réglementations existantes | Indirect — consolidation |
| Legifrance | 9 | 0 nouveau décret | Textes officiels français | Stable — pas de changement |
| Total | 202 | ~8 documents clés | — | — |
Le constat brut : la production normative européenne (EDPB) tourne à plein régime ce mois-ci, pendant que le législateur français fait une pause. Aucun nouveau décret Legifrance, aucun nouveau règlement EUR-Lex. Mais côté pratique, la CNIL accélère sur l'outillage concret — et c'est peut-être le signal le plus important du lot.
Signal 1 — La CNIL lance un outil de traçabilité pour les modèles IA open source
C'est passé sous le radar de la plupart des newsletters juridiques. La CNIL a publié courant avril un outil dédié à la traçabilité des modèles d'intelligence artificielle distribués en open source. Concrètement, si vous utilisez un LLM open source — un Llama, un Mistral, un modèle communautaire fine-tuné — vous devez pouvoir documenter d'où il vient, sur quoi il a été entraîné, et quelles modifications vous avez apportées.
Pourquoi c'est important ? Parce que l'article 53 de l'IA Act impose des obligations de transparence aux fournisseurs de modèles à usage général (les fameux GPAI). Et qu'un modèle open source n'échappe pas à ces obligations juste parce qu'il est gratuit. Beaucoup de startups françaises ont intégré des modèles Hugging Face dans leurs produits sans aucune documentation de provenance. Cet outil de la CNIL est un premier pas vers la standardisation de cette traçabilité.
Si vous êtes développeur ou CTO : téléchargez-le, testez-le sur un de vos modèles, et confrontez le résultat à ce que vous aviez documenté jusque-là. Le delta risque de vous surprendre.
Petite parenthèse sur le sujet open source. On entend souvent que les modèles libres sont « hors radar » des régulateurs parce qu'ils ne sont pas commerciaux au sens strict. C'est une lecture qui ne résiste pas aux textes. L'IA Act, dans son article 53, vise explicitement les fournisseurs de modèles GPAI « mis à disposition sur le marché de l'Union ». Mettre un modèle sur Hugging Face avec une licence permissive, c'est le mettre à disposition. La gratuité ne change rien à l'obligation. Et avec cet outil de traçabilité, la CNIL montre qu'elle prend le sujet au sérieux — pas comme une menace, mais comme un terrain qu'il faut structurer avant que les contentieux n'arrivent.
Signal 2 — Le projet PANAME : la CNIL recrute des testeurs pour son outil d'audit RGPD des modèles d'IA
PANAME, c'est le nom qu'a choisi la CNIL pour son projet d'outil d'audit RGPD spécifiquement conçu pour les modèles d'IA. Ils cherchent des testeurs. C'est la première fois, à ma connaissance, qu'une autorité de protection des données européenne développe un outil d'audit technique (pas juste des guidelines papier) et invite le secteur à le co-construire.
Le timing n'est pas anodin. Depuis décembre 2025, la CNIL a prononcé quatre sanctions liées à l'IA pour un total de 550 000 euros. Chaque fois, le problème n'était pas que l'entreprise ignorait le RGPD — c'est qu'elle n'avait aucun moyen concret de vérifier sa conformité. Pas de checklist technique. Pas de méthodologie d'audit adaptée à l'IA. Juste des principes généraux et de la bonne volonté.
PANAME tente de combler ce vide. Et si vous avez un modèle en production, participer au programme de test est probablement le meilleur investissement conformité que vous ferez ce trimestre. Gratuit, en plus.
Ce qui change par rapport aux approches classiques d'audit RGPD : PANAME semble intégrer des vérifications spécifiques à l'IA — biais algorithmiques, explicabilité des décisions, robustesse face aux données adversariales. Des aspects que les outils d'audit RGPD traditionnels ne couvrent tout simplement pas, parce qu'ils ont été conçus pour des bases de données relationnelles, pas pour des réseaux de neurones à 7 milliards de paramètres. La CNIL fait ici un saut qualitatif qu'il faut saluer, même si le résultat final dépendra beaucoup des retours terrain. Un outil d'audit conçu dans un bureau parisien sans confrontation avec la réalité des pipelines ML en production, ça ne sert à rien. D'où l'appel aux testeurs.
Signal 3 — EDPB Guidelines 1/2026 : le traitement de données personnelles pour la recherche scientifique
Voilà un texte qui concerne plus de monde qu'on ne le croit. Les Guidelines 1/2026 du CEPD, publiées ce mois-ci en consultation publique, cadrent les conditions dans lesquelles des données personnelles peuvent être utilisées à des fins de recherche scientifique.
Un exemple concret pour comprendre. Vous êtes une healthtech. Vous entraînez un modèle d'IA sur des données de patients, dans le cadre d'un partenariat avec un CHU. Jusque-là, vous vous appuyiez sur l'article 89 du RGPD et quelques guidelines nationales. Les nouvelles recommandations du CEPD précisent ce que « recherche scientifique » signifie réellement dans ce contexte — et spoiler, l'entraînement d'un modèle commercial n'entre pas forcément dans la définition.
Ça ne veut pas dire que c'est interdit. Ça veut dire que la base légale que vous pensiez avoir peut ne pas tenir. Et dans un contexte où la CNIL a sanctionné une entreprise 250 000 euros pour du profilage IA sans garde-fou suffisant (janvier 2026), la nuance compte.
La consultation publique est ouverte. Si votre activité touche aux données de santé et à l'IA, vous avez tout intérêt à y contribuer — ne serait-ce que pour comprendre dans quelle direction le CEPD s'oriente.
Le cas des healthtechs est emblématique, mais le texte va au-delà. Les laboratoires de recherche publics qui partagent des datasets avec des startups, les fondations qui financent des projets d'IA en open science, les universités qui collaborent avec l'industrie — tous sont concernés. Et le texte aborde une question que peu de DPO savent trancher : à quel moment l'entraînement d'un modèle cesse d'être de la « recherche » et devient un « traitement commercial » ? La frontière est floue, et les Guidelines 1/2026 tentent d'y mettre un trait net. Pas sûr qu'elles y parviennent complètement, mais au moins le débat est posé noir sur blanc.
Signal 4 — Cybersécurité + données personnelles : l'avis conjoint EDPB-EDPS sur le Cybersecurity Act 2
L'avis conjoint EDPB-EDPS 4/2026 porte sur la proposition de révision du Cybersecurity Act et les amendements à la directive NIS 2. Quel rapport avec l'IA ? Plus qu'on ne le pense.
Si vous déployez un système d'IA classifié « à haut risque » au sens de l'IA Act, vous êtes soumis à des obligations de cybersécurité via l'article 15 du règlement. La révision du Cybersecurity Act pourrait modifier les standards techniques sur lesquels s'appuient ces obligations. En clair : les critères de sécurité que votre système IA doit respecter pourraient évoluer, non pas parce que l'IA Act change, mais parce que le socle cyber sous-jacent bouge.
L'avis conjoint insiste sur un point qui m'a frappé : le risque de conflit entre les obligations de divulgation d'incidents cyber (NIS 2) et les contraintes de confidentialité RGPD. Imaginez. Votre chatbot subit une fuite de données. NIS 2 vous demande de notifier rapidement l'ANSSI. Le RGPD vous demande d'évaluer si les données personnelles sont concernées avant de notifier la CNIL. L'IA Act ajoute une couche de reporting si le système est à haut risque. Trois régulateurs, trois délais, trois procédures.
Personne n'a encore résolu cette équation proprement. Ce texte est un premier pas.
Signal 5 — La certification Europrivacy avance : les modèles d'IA bientôt certifiables ?
Les opinions 14/2026 et 15/2026 de l'EDPB portent sur les critères de certification Europrivacy — le premier label européen de protection des données reconnu par le Board. L'opinion 15/2026 va plus loin : elle examine si cette certification peut servir d'outil pour les transferts de données au sens de l'article 46 du RGPD.
En langage normal : si vous transférez des données vers un fournisseur d'IA hors UE (cloud américain, par exemple), une certification Europrivacy pourrait devenir un mécanisme de garantie reconnu. Pas encore acté, mais le signal est clair.
Pour les entreprises françaises qui utilisent GPT-4, Claude ou Gemini via des API hébergées aux États-Unis, c'est un sujet à suivre de très près. Le Data Privacy Framework (DPF) est toujours en place, mais sa solidité juridique fait l'objet de débats permanents depuis Schrems II. Une certification tierce offrirait un filet de sécurité supplémentaire.
Encore une fois, rien n'est finalisé. Mais la direction est lisible.
Un détail qui m'a amusé — les deux opinions portent des numéros consécutifs (14 et 15), ce qui signifie que le Board les a examinées lors de la même plénière. On sent l'accélération. La certification comme sujet mineur de protection des données, c'est fini. En 2026, c'est devenu un levier stratégique pour les entreprises qui utilisent de l'IA avec des flux de données transfrontaliers.
Ce qui n'a pas bougé (et c'est aussi une information)
Zéro sanction au titre de l'IA Act. Toujours.
Le règlement est en vigueur depuis août 2024. Les premières obligations — interdiction des pratiques inacceptables (article 5) — s'appliquent depuis février 2025. Les obligations de transparence pour les systèmes à risque limité et les GPAI sont effectives depuis août 2025. Et pourtant, au 25 avril 2026, pas une seule amende n'a été prononcée en France au titre de ce texte.
Les 550 000 euros de sanctions CNIL sur l'IA ? Toutes fondées sur le RGPD. Articles 5, 13, 22, 35. Des dispositions qui ont vingt ans d'antériorité. Le "nouveau" règlement IA n'a rien produit en termes d'enforcement.
Faut-il s'en inquiéter ? Deux lectures coexistent. La première : l'AI Office et les autorités nationales prennent le temps de construire une doctrine avant de frapper. Logique. La seconde : l'IA Act reste un texte sans dents tant que les autorités de contrôle nationales ne sont pas pleinement désignées et dotées de moyens. En France, la CNIL est pressentie pour ce rôle, mais le décret de désignation formelle, tombé le 20 mars 2026, ne clarifie pas encore les moyens budgétaires associés.
En attendant, le RGPD reste le seul texte qui mord.
Mais je nuancerais. L'absence de sanction IA Act ne signifie pas l'absence de contrôle. La CNIL a mené des contrôles « flash » sur les chatbots au T1 2026 — le webinaire qu'elle a publié sur la base légale de l'intérêt légitime pour le web scraping et l'entraînement IA en est la preuve indirecte. On ne produit pas ce type de contenu pédagogique sans avoir constaté des manquements sur le terrain. Le rapport annuel du CEPD 2025, publié ce mois-ci, confirme d'ailleurs que l'IA figure parmi les trois priorités stratégiques européennes de contrôle pour 2026-2027, aux côtés des transferts internationaux et des dark patterns.
Autrement dit : l'IA Act n'a pas encore frappé, mais il affûte ses outils. La question n'est plus « si » mais « quand ».
Trois chiffres à retenir pour votre prochaine réunion conformité
- 202 : nombre total de documents réglementaires IA dans notre base de veille au 25 avril 2026, issus de CNIL, EDPB, EUR-Lex et Legifrance
- 550 000 € : montant cumulé des sanctions CNIL liées à l'IA depuis décembre 2025, toutes fondées sur le RGPD (pas sur l'IA Act)
- 4 : nombre d'opinions EDPB publiées en avril 2026, dont deux sur la certification Europrivacy et une sur l'articulation cybersécurité/données personnelles
Ce dernier chiffre est celui qui me semble le plus significatif. Quatre textes du CEPD en un mois, c'est un rythme soutenu. Et contrairement aux sanctions CNIL qui sanctionnent le passé, les opinions EDPB dessinent le cadre de demain.
Le mois prochain : ce qu'il faut surveiller en mai 2026
La consultation publique sur les Guidelines 1/2026 (recherche scientifique) se clôture probablement en mai. Si vous traitez des données personnelles pour entraîner des modèles, c'est votre dernier créneau pour peser sur la rédaction finale.
Côté CNIL, le projet PANAME devrait publier ses premiers retours de tests. Et le bilan des sanctions 2025, publié en février dernier, laissait entendre que le rythme des contrôles allait s'accélérer au deuxième trimestre. Traduction : de nouvelles sanctions IA pourraient tomber entre mai et juin.
En mai, surveillez aussi le renouvellement (ou non) du Data Privacy Framework EU-US. Si le cadre vacille, la certification Europrivacy prend immédiatement une autre dimension.
Un mois chargé en perspective. La veille continue — si vous n'avez pas le temps de lire 202 textes, notre checklist conformité IA Act synthétise les obligations essentielles en un format actionnable. C'est gratuit, c'est mis à jour chaque semaine.
Pour aller plus loin sur IAActs
Si les sanctions CNIL vous intéressent, notre autopsie de l'amende de 150 000 € pour un chatbot détaille le cas le plus instructif de la période. Et pour comprendre pourquoi ces amendes restent si basses, l'analyse de l'inflation normative face aux sanctions réelles pose les bonnes questions. Enfin, si vous cherchez une méthode d'audit concrète, le protocole en 6 étapes est un bon point de départ.