Le chatbot RH qui a failli coûter 150 000 € : récit d'une mise en conformité IA sous pression
Le chatbot RH qui a failli coûter 150 000 € : récit d'une mise en conformité IA sous pression
Julien dirige l'équipe IT d'une PME de 140 personnes dans la région lyonnaise. Comme beaucoup de ses homologues, il a déployé un chatbot RH en novembre 2024 — gestion des congés, FAQ contrats, réponses automatisées aux questions des salariés sur leur bulletins de paie. Techniquement solide. Utile. Bien accueilli par les équipes. Et totalement non conforme au RGPD.
Il ne le savait pas encore. Pas avant février 2026.
Le déclencheur : une sanction dans la presse
Ce n'est pas une lettre recommandée qui a mis Julien en alerte. C'est une notification Google News. La CNIL venait de sanctionner Company Y — 150 000 € pour avoir déployé un chatbot sans informer clairement les utilisateurs que leur interlocuteur était un système IA, et sans documenter les traitements de données personnelles associés. La décision, publiée le 10 février 2026, détaillait les manquements : absence d'information sur la nature automatisée des réponses, collecte implicite de données sensibles (questions sur les arrêts maladie, situations familiales), aucune AIPD réalisée.
Julien a relu la décision deux fois. Puis il a ouvert la configuration de son propre chatbot.
Ce n'est pas une situation exceptionnelle. C'est le scénario qu'on retrouve dans trois des quatre sanctions CNIL liées à l'IA prononcées entre décembre 2025 et mars 2026 — des entreprises qui ont déployé des automatismes sans vérifier les obligations RGPD fondamentales applicables depuis mai 2018. Le total : 550 000 € sur quatre dossiers.
L'audit interne : trois angles morts
Julien a contacté son DPO externe le lendemain. Ensemble, ils ont passé le chatbot RH au crible pendant une semaine. Trois problèmes structurels sont apparus.
Premier angle mort : l'information transparente sur la nature IA du système. Les articles 13 et 14 du RGPD imposent d'informer les personnes concernées de toute décision automatisée les affectant, dès le moment de la collecte. Le chatbot de Julien affichait un nom humanoïde — "Alex" — sans mention visible que les réponses étaient générées automatiquement. Classique. C'est exactement ce qu'a sanctionné la CNIL chez Company Y.
Deuxième angle mort : l'absence d'Analyse d'Impact relative à la Protection des Données (AIPD). L'article 35 du RGPD la rend obligatoire pour tout traitement susceptible d'engendrer un risque élevé. Un chatbot RH qui collecte des informations sur la santé des salariés, leurs situations personnelles, leurs demandes de mobilité interne — c'est un traitement à risque élevé. La CNIL dit clairement dans ses lignes directrices que les chatbots traitant des données de salariés entrent dans cette catégorie. Aucune AIPD n'avait été réalisée.
Troisième angle mort : le contrat de sous-traitance avec le fournisseur du chatbot. L'article 28 du RGPD impose un accord de traitement des données (DPA) documenté avec tout sous-traitant. Le fournisseur SaaS du chatbot était lié à Julien par un contrat commercial standard — aucune clause RGPD spécifique, aucune mention des obligations du sous-traitant en cas de violation.
Trois failles. Trois obligations qui existent depuis 2018.
Les 91 avis EDPB que personne ne lit
Une digression utile, ici : pourquoi Julien — et tant d'autres — ne savaient-ils pas que ces obligations s'appliquaient à leur chatbot ?
Nos sources agrègent 172 textes réglementaires sur l'IA en France (données au 29 avril 2026). Sur ces 172, 91 proviennent de l'EDPB/CEPD — le Comité européen de la protection des données, instance de coordination des autorités de contrôle européennes. Ces 91 documents incluent des guidelines opérationnelles sur les décisions automatisées, le profilage, les transferts de données, les bases légales pour les systèmes IA. Parmi eux : les Guidelines 1/2026 on processing of personal data for scientific research purposes qui précisent les conditions d'usage de l'IA dans des contextes réglementés.
Ces textes ne font pas les manchettes. Ils ne génèrent pas de conférences "IA Act 2026". Ils s'accumulent silencieusement sur le site de l'EDPB et définissent ce que vos obligations RGPD signifient concrètement pour un chatbot, un système de scoring ou un algorithme de recrutement. La veille réglementaire IA commence là, pas uniquement dans les textes Brussels-friendly qu'on cite en slide de conférence.
Sur les 172 textes identifiés, l'IA Act proprement dit — Journal Officiel UE et règlements délégués — représente 8 documents. Les décrets et arrêtés Legifrance de transposition : 9 documents. Soit 17 textes "IA Act" contre 155 textes de l'appareil RGPD.
Le tableau de bord que Julien a construit
Pour reprendre le contrôle, son DPO a formalisé un tableau de conformité chatbot RGPD. Ce type de grille n'est pas une invention — c'est une synthèse des obligations existantes que trop d'équipes n'ont pas formalisée.
| Obligation | Article RGPD | Applicable depuis | Criticité (sanction potentielle) |
|---|---|---|---|
| Information sur la nature automatisée | Art. 13-14 | Mai 2018 | Élevée — jusqu'à 2% CA mondial |
| Droit d'opposition aux décisions auto. | Art. 21-22 | Mai 2018 | Élevée — droit fondamental |
| AIPD pour traitements à risque élevé | Art. 35 | Mai 2018 | Très élevée — blocage déploiement |
| DPA avec le fournisseur SaaS | Art. 28 | Mai 2018 | Moyenne — engagement contractuel |
| Registre des activités de traitement | Art. 30 | Mai 2018 | Moyenne — contrôle documentaire |
| Minimisation des données collectées | Art. 5(1)(c) | Mai 2018 | Élevée — selon volume données |
Six obligations. Toutes antérieures de six ans au débat actuel sur l'IA Act.
La sanction Company Y (150 000 €) portait principalement sur les deux premières lignes de ce tableau. La sanction Company Z (250 000 €, profilage recrutement, janvier 2026) portait sur les lignes 2 et 3. L'affaire des 250 000 € pour l'algorithme de tri de CV est analysée en détail dans notre étude de cas sur le profilage recrutement IA.
Sept semaines pour rectifier
Julien et son DPO ont établi un plan en quatre phases.
Les deux premières semaines ont couvert les actions immédiates : ajout d'un bandeau visible "Ce service est géré par un assistant IA automatisé", mise à jour de la politique de confidentialité avec les mentions articles 13-14 spécifiques au chatbot, et suspension temporaire de la collecte des données sensibles (questions relatives à la santé) en attendant la base légale adéquate.
Semaines trois et quatre : réalisation de l'AIPD. Cartographie complète des données traitées (22 catégories identifiées, dont 3 sensibles au sens de l'article 9), évaluation des risques, consultation du CE. L'AIPD a pris 12 jours — deux fois plus que prévu, en raison d'un désaccord interne sur la définition du "risque élevé" pour les données de mobilité interne.
Semaines cinq à sept : renégociation du contrat SaaS pour intégrer un DPA conforme (l'article 28 est assez précis sur les clauses obligatoires), et mise à jour du registre des traitements.
Résultat : un chatbot qui fait la même chose qu'avant, mais documenté, transparent, et défendable devant la CNIL.
Le coût réel de cette mise en conformité, estimé par Julien ? Entre 8 000 et 12 000 € en temps DPO, consultation juridique et frais de renégociation contractuelle. Soit 8 à 13 fois moins que l'amende Company Y.
La nuance qu'on n'entend pas assez
L'IA Act n'est pas négligeable pour autant. C'est la contradiction que Julien porte lui-même : une fois son chatbot conforme RGPD, il a réalisé que l'IA Act lui imposerait de nouvelles obligations à partir d'août 2026 — notamment la classification de son système en "IA à usage général" selon le règlement délégué sur les modèles GPAI publié en mars 2026 par la Commission européenne, et la documentation technique associée.
Le RGPD et l'IA Act ne se substituent pas l'un à l'autre. Notre analyse comparative RGPD vs IA Act le montre : les deux textes couvrent des périmètres partiellement distincts. Le RGPD traite les droits des personnes et les bases légales. L'IA Act traite la fiabilité technique, la documentation des modèles, la gouvernance du cycle de vie du système.
Mais voici ce que les données montrent : en 2026, la CNIL sanctionne sur le RGPD. Pas encore sur l'IA Act. Ce ne sera pas toujours le cas — mais c'est le cas maintenant.
Ce que ce récit dit de la situation générale
Julien n'est pas une exception. Son cas est représentatif des PME et ETI françaises qui ont intégré des composantes IA dans leurs systèmes depuis 2023-2024, sans passer par une revue RGPD spécifique. La complexité du mille-feuille réglementaire IA français joue contre elles : avec 172 textes à surveiller, dont 91 avis EDPB rarement commentés dans la presse spécialisée, la veille est difficile.
Ce n'est pas une excuse recevable devant la CNIL. Mais c'est une réalité opérationnelle.
Le réflexe "on s'en occupe quand l'IA Act sera finalisé" est documentairement inexact. Les sanctions de 2026 le prouvent : les obligations qui génèrent des amendes aujourd'hui ont été publiées au Journal officiel de l'Union européenne le 4 mai 2016, il y a dix ans.
Le RGPD mord. Maintenant.
Si vous déployez un chatbot ou un système IA en France et n'avez pas encore vérifié ces six obligations, notre checklist conformité IA Act + template DPA est disponible gratuitement — conçue pour couvrir à la fois les exigences RGPD immédiates et les nouvelles obligations IA Act à partir d'août 2026. Sans formulaire inutile, sans démo commerciale.