Chatbot IA vs profilage RH : 150 000 € contre 250 000 € d'amende CNIL — deux poids, deux mesures ?
Chatbot IA vs profilage RH : 150 000 € contre 250 000 € d'amende CNIL — deux poids, deux mesures ?
La semaine dernière, j'échangeais avec une responsable conformité d'un éditeur SaaS qui vend deux produits : un chatbot de support client et un module de pré-screening RH basé sur du scoring automatisé. Elle me posait une question qu'on lui avait mal reformulée en comité de direction : « C'est le même règlement, non ? Donc c'est le même budget de conformité. »
Non.
Ce n'est pas le même règlement. Ce n'est pas le même niveau de risque. Et surtout, ce n'est pas le même tarif quand la CNIL passe à la caisse. Les quatre sanctions liées à l'IA prononcées depuis janvier 2026 le montrent : un chatbot sans mention IA a coûté 150 000 €. Un outil de profilage RH discriminatoire, 250 000 €. L'écart n'est pas un hasard — il raconte deux logiques réglementaires distinctes.
On va les démonter.
Quatre sanctions, 550 000 €, et un schéma qui se dessine
Avant de comparer, posons les données. Notre base de veille agrège 230 textes et décisions issus de quatre sources : CNIL (64 documents), EUR-Lex (66 textes), Legifrance (9 textes officiels), CEPD/EDPB (91 avis). Parmi eux, quatre sanctions CNIL spécifiquement liées à des systèmes d'IA ont été prononcées entre décembre 2025 et mars 2026.
Les voici, dans l'ordre chronologique inverse :
- Mars 2026 — 50 000 € pour un système de reconnaissance faciale déployé sans base légale valide.
- Février 2026 — 150 000 € pour un chatbot qui ne mentionnait pas à ses utilisateurs qu'ils interagissaient avec une IA.
- Janvier 2026 — 250 000 € pour un outil de recrutement dont le profilage automatisé produisait des résultats discriminatoires.
- Décembre 2025 — 100 000 € pour un scoring crédit déployé sans évaluation d'impact.
Total : 550 000 €. Ce qui frappe, c'est la dispersion. Le ratio entre la plus petite et la plus grande sanction est de 1 à 5. Pourquoi un chatbot à 150 000 € et un outil RH à 250 000 € ? Pourquoi la reconnaissance faciale, qu'on imagine comme le cas le plus sensible, s'en tire avec la sanction la plus basse ?
La réponse tient en deux mots : type de risque.
Le tableau qui structure tout
Voici le comparatif que cette responsable conformité aurait dû avoir sous les yeux en comité de direction. Il oppose les deux cas de figure les plus courants dans les entreprises françaises qui déploient de l'IA : le chatbot (support, FAQ, relation client) et le profilage automatisé (recrutement, scoring, décision RH).
| Critère | Chatbot IA (support/FAQ) | Profilage RH / Scoring IA |
|---|---|---|
| Classement IA Act | Risque limité (art. 50) | Risque élevé (Annexe III, §4) |
| Obligation principale IA Act | Transparence : informer l'utilisateur qu'il interagit avec une IA | Documentation technique complète, évaluation de conformité, enregistrement base UE |
| Base légale RGPD typique | Intérêt légitime ou consentement | Intérêt légitime (difficile à justifier) ou obligation légale |
| AIPD obligatoire ? | Non (sauf traitement à grande échelle de données sensibles) | Oui — profilage systématique avec effets juridiques (art. 35 RGPD) |
| Sanction CNIL observée (2026) | 150 000 € (défaut de transparence) | 250 000 € (discrimination algorithmique) |
| Article 22 RGPD applicable ? | Rarement (pas de décision automatisée avec effet juridique) | Presque toujours (décision affectant significativement la personne) |
| Déclaration base européenne | Non requise | Obligatoire (arrêté du 28 février 2026) |
| Contrôle humain exigé | Non imposé par l'IA Act | Oui — supervision humaine documentée (art. 14 IA Act) |
Trois colonnes, huit lignes. Mais le vrai message est dans l'asymétrie : un chatbot relève de la transparence, un système de profilage relève de la conformité structurelle. L'un demande une mention légale. L'autre demande un dossier technique, une AIPD, un contrôle humain et un enregistrement auprès de l'UE.
Chatbot : risque limité ne veut pas dire risque nul
Un chatbot classé « risque limité » par l'IA Act — c'est-à-dire la grande majorité des bots de support client, FAQ automatisées, assistants virtuels — ne doit respecter qu'une obligation principale : informer clairement l'utilisateur qu'il interagit avec un système d'IA. Point. C'est l'article 50 du règlement.
Ça paraît simple. Et pourtant.
La sanction de février 2026 (150 000 €) portait exactement sur ce défaut. Un chatbot de service client qui répondait aux questions des utilisateurs sans jamais préciser qu'aucun humain n'était derrière. Pas de mention dans l'interface. Pas de disclaimer dans les CGU. Rien dans la politique de confidentialité non plus.
Mais ce n'est pas l'IA Act qui a fondé la sanction — pas directement. La CNIL a mobilisé le RGPD, et spécifiquement les articles 12 à 14 sur l'obligation d'information. Pourquoi ? Parce qu'au moment de la décision, le décret d'application de l'IA Act en France venait tout juste d'être publié (20 mars 2026), et l'autorité nationale de surveillance n'était pas encore opérationnelle. La CNIL a donc sanctionné sur le terrain qu'elle maîtrise : les données personnelles.
Ça soulève une question que peu de DPO se posent. Si l'IA Act classe votre chatbot en risque limité mais que la CNIL peut quand même vous sanctionner à 150 000 € via le RGPD, quelle est la valeur ajoutée de la classification IA Act pour un chatbot ? Honnêtement, à ce stade, elle est marginale. Le RGPD reste l'outil d'enforcement dominant.
J'ai lu les 91 avis publiés par le CEPD (le Comité Européen de la Protection des Données, bras consultatif du RGPD au niveau européen). Aucun ne traite spécifiquement de la relation entre l'article 50 de l'IA Act et les articles 12-14 du RGPD pour les chatbots. C'est un angle mort. Et un angle mort réglementaire, dans un environnement à 230 textes de référence, c'est une source de risque pour les entreprises qui pensent avoir coché toutes les cases.
Profilage RH : le régime qui ne pardonne pas
Changement de registre complet.
Un outil de profilage automatisé utilisé dans le recrutement tombe dans l'Annexe III de l'IA Act, catégorie 4 : « emploi, gestion des travailleurs et accès au travail indépendant ». C'est du risque élevé. Les obligations qui en découlent n'ont rien à voir avec une simple mention de transparence.
La liste : système de gestion des risques (art. 9), gouvernance des données d'entraînement (art. 10), documentation technique détaillée (art. 11), journalisation automatique (art. 12), transparence et instructions d'utilisation (art. 13), contrôle humain (art. 14), exactitude, robustesse et cybersécurité (art. 15). Et l'enregistrement dans la base de données européenne, rendu obligatoire en France par l'arrêté du 28 février 2026.
La sanction de janvier 2026 (250 000 €) ne portait pas sur un manquement technique, mais sur un résultat : le profilage produisait des scores discriminatoires. L'outil écartait systématiquement certains profils en fonction de critères corrélés à l'origine ethnique et au genre. La CNIL a qualifié ça de traitement illicite au sens de l'article 5(1)(a) du RGPD — le principe de licéité — et de violation de l'article 22 sur les décisions automatisées.
250 000 €. Cent mille de plus que le chatbot.
Mais est-ce vraiment proportionnel au risque ? Un DPO d'une ETI avec qui j'ai discuté de cette affaire trouvait le montant faible. Son argument : « Si une entreprise discrimine à l'embauche via un algorithme, 250 000 € c'est le prix d'un consultant senior pendant un an. Pas de quoi dissuader. » Il n'a pas tort — et c'est d'ailleurs un point que l'avis du CEPD du 15 février 2026 sur l'articulation RGPD/IA Act ne traite pas. L'avis clarifie les chevauchements normatifs entre les deux textes, mais reste muet sur la cohérence des sanctions.
La zone grise : quand un chatbot fait du profilage
Voilà où ça se complique. Et où le tableau propre qu'on a vu plus haut commence à se fissurer.
Prenons un cas réel que je croise régulièrement : un chatbot de service client qui, en plus de répondre aux questions, analyse le comportement de l'utilisateur pour ajuster les offres commerciales. Le bot détecte l'hésitation, la fréquence de retour, le type de questions posées, et génère un score d'appétence commerciale transmis au CRM.
Quel régime s'applique ?
Si on regarde l'interface, c'est un chatbot. Risque limité. Obligation de transparence.
Si on regarde le traitement sous-jacent, c'est du profilage. Potentiellement à risque élevé. Obligations de documentation, AIPD, contrôle humain.
L'IA Act ne tranche pas clairement ce cas. L'article 6 prévoit que la classification dépend de l'usage prévu (« intended purpose »), mais un chatbot dont le scoring commercial n'est documenté nulle part ne correspond à aucun usage prévu officiel. Il tombe dans un vide.
Le CEPD a émis des guidelines sur le profilage automatisé, mais ces textes datent de 2018 et n'intègrent pas la grille de classification de l'IA Act. Les lignes directrices de l'AI Office publiées le 1er avril 2026 précisent les contours du risque élevé, mais ne traitent pas des systèmes hybrides.
Résultat pratique : si votre chatbot fait du scoring en coulisses, personne ne vous dira clairement quel régime appliquer. Et si la CNIL vous contrôle, elle choisira le plus contraignant. Le précédent des 150 000 € pour un simple défaut de transparence montre qu'elle ne fait pas de cadeaux, même sur le bas du spectre.
Ce que le scoring crédit et la reconnaissance faciale confirment
Les deux autres sanctions CNIL complètent le tableau.
Le scoring crédit sans AIPD (100 000 €, décembre 2025) confirme un schéma : l'absence d'évaluation d'impact est un motif de sanction autonome, indépendamment du résultat du traitement. L'entreprise n'avait pas de preuve que son scoring discriminait, mais elle n'avait pas non plus de preuve du contraire — l'AIPD étant précisément l'outil censé documenter ce risque.
La reconnaissance faciale sans base légale (50 000 €, mars 2026) est le cas le plus étrange. On s'attendrait à une sanction plus lourde — la reconnaissance faciale est classée « interdite » dans certains contextes par l'IA Act (article 5). Mais la CNIL a sanctionné sur un motif RGPD étroit : absence de base légale au sens de l'article 6. Pas de discrimination prouvée, pas de surveillance de masse. Un usage ponctuel, mal encadré. D'où le montant relativement bas.
Ce qui donne un second tableau utile :
| Système IA | Montant sanction | Motif principal | Texte mobilisé |
|---|---|---|---|
| Reconnaissance faciale | 50 000 € | Défaut de base légale | Art. 6 RGPD |
| Scoring crédit | 100 000 € | Absence d'AIPD | Art. 35 RGPD |
| Chatbot support | 150 000 € | Défaut de transparence IA | Art. 12-14 RGPD |
| Profilage recrutement | 250 000 € | Discrimination algorithmique | Art. 5(1)(a) + 22 RGPD |
Quatre sanctions, quatre motifs différents, et — détail révélateur — aucune ne cite directement l'IA Act comme fondement juridique. La CNIL sanctionne sur le RGPD. Uniquement. Le règlement européen sur l'IA, qui est pourtant en vigueur, reste un cadre de classification mais pas (encore) un outil de répression en France.
Le vrai coût de la conformité : au-delà de l'amende
L'amende est le chiffre visible. Mais le coût réel de la conformité diverge encore plus entre les deux types de systèmes — et c'est probablement ce qui devrait le plus peser dans la décision d'un comité de direction.
Pour un chatbot risque limité, la mise en conformité se résume à trois actions : ajouter une mention d'information, mettre à jour la politique de confidentialité, et documenter le traitement dans le registre RGPD. C'est faisable en interne pour un DPO compétent. Budget typique : entre 2 000 et 8 000 € en prestation externe si l'entreprise n'a pas les ressources. Une PME de 50 personnes avec un bot Intercom ou Crisp peut boucler ça en une semaine. Deux, si le DPO est à temps partiel.
Pour un système de profilage RH risque élevé, c'est un projet à part entière. Il faut rédiger le dossier technique (documentation du modèle, données d'entraînement, métriques de performance), réaliser l'AIPD — qui à elle seule peut mobiliser un consultant pendant plusieurs semaines — mettre en place le dispositif de contrôle humain, tester les biais algorithmiques, et procéder à l'enregistrement dans la base européenne conformément à l'arrêté du 28 février 2026. Budget typique : 30 000 à 80 000 € pour un premier audit complet. Et ce n'est pas un one-shot : le règlement délégué de la Commission européenne publié le 10 mars 2026 impose des obligations de surveillance continue pour les fournisseurs de modèles GPAI, ce qui signifie que le coût de conformité devient récurrent.
Le ratio est de 1 à 10. Minimum.
Petite digression qui n'en est pas vraiment une : j'ai croisé un prestataire qui vendait un « audit IA Act complet » à 5 000 € forfaitaire, chatbot et scoring confondus. C'est un signal d'alarme. Un audit sérieux d'un système à risque élevé ne peut pas coûter la même chose qu'un audit de chatbot — si c'est le cas, c'est que l'un des deux est bâclé. Probablement les deux.
Et c'est là que la question posée dans le titre prend tout son sens. Deux poids, deux mesures ? Oui — mais c'est voulu. Le régulateur calibre ses sanctions et ses exigences en fonction de l'impact potentiel sur les personnes. Un chatbot qui ne dit pas qu'il est une IA, c'est un manquement à la transparence. Un algorithme de recrutement qui discrimine, c'est une atteinte aux droits fondamentaux.
Le problème, c'est que cette proportionnalité repose sur une hypothèse fragile : que les entreprises savent classer correctement leurs systèmes. La responsable conformité dont je parlais au début n'avait pas tort de poser la question — elle avait juste tort de croire que la réponse serait simple.
Verdict : pas un match, mais une grille de lecture
Comparer un chatbot et un outil de profilage RH, ce n'est pas comme comparer deux smartphones concurrents. Ce sont deux catégories réglementaires différentes qui s'adressent à deux niveaux de risque différents, régies par les mêmes textes (RGPD, IA Act) mais avec des intensités d'obligation qui n'ont rien à voir.
Ce que les données montrent :
Le RGPD reste l'arme de sanction principale. Les quatre amendes CNIL liées à l'IA mobilisent exclusivement des articles du RGPD. L'IA Act structure la classification mais ne fonde aucune sanction directe à ce jour.
Le montant de l'amende corrèle avec le type de droit violé, pas avec le type de technologie. La reconnaissance faciale (50 000 €) est sanctionnée moins lourdement que le chatbot (150 000 €) parce que le premier manquement est procédural (base légale) et le second touche l'information des personnes. Le profilage discriminatoire (250 000 €) est sanctionné le plus lourdement parce qu'il affecte directement les droits fondamentaux.
La zone grise des systèmes hybrides reste non réglée. Aucun des 91 avis CEPD ni des 66 textes EUR-Lex de notre base ne traite explicitement des chatbots qui font du profilage en arrière-plan. C'est un risque juridique non quantifié pour les entreprises — et c'est peut-être le prochain terrain de jeu de la CNIL.
Et le décret français dans tout ça ?
Le décret d'application de l'IA Act publié le 20 mars 2026 désigne l'autorité nationale de surveillance mais ne crée pas de mécanisme de sanction propre à l'IA Act en droit français. L'autorité pourra contrôler, investiguer, émettre des recommandations — mais les amendes passent par les régulateurs sectoriels existants. Pour la protection des données, c'est la CNIL. Pour la sécurité des produits, ce sera la DGCCRF. Pour la santé, l'ANSM.
Ce morcellement institutionnel est une différence fondamentale avec le RGPD, où la CNIL concentre les pouvoirs de contrôle ET de sanction. Conséquence : un système de profilage RH pourrait théoriquement faire l'objet de deux procédures parallèles — CNIL côté RGPD et autorité IA Act côté conformité technique. Double examen, double coût, double aléa juridique. On n'en est pas encore là. Mais les 9 textes français référencés dans notre base Legifrance dessinent ce paysage fragmenté.
Mon conseil aux DPO qui liront cet article : ne partez pas de la technologie, partez du traitement. Ce n'est pas parce que votre interface est un chatbot que le traitement sous-jacent est à risque limité. Et inversement, ce n'est pas parce que vous faites du scoring que vous êtes automatiquement à risque élevé — le scoring crédit sans données discriminantes et avec une AIPD propre, c'est gérable.
Mais faites l'exercice de classification vous-même. Parce que si la CNIL le fait à votre place, ça vous coûtera entre 50 000 et 250 000 €.
Vous déployez un système IA et vous ne savez pas dans quelle catégorie il tombe ? Notre checklist conformité IA Act + template DPA est un point de départ gratuit pour cartographier vos obligations.
Pour aller plus loin sur IAActs :
- Vous déployez un chatbot ? Lisez notre guide étape-par-étape de mise en conformité RGPD + IA Act pour les cas risque limité.
- La question RGPD vs IA Act vous intéresse au-delà du comparatif chatbot/profilage ? Notre analyse complète des deux régimes creuse le sujet texte par texte.
- Pour comprendre pourquoi l'intérêt légitime s'effondre comme base légale IA, ce deep-dive sur les décisions CNIL documente le virage.