IAActs

550 000 € d'amendes CNIL IA en 4 mois : 13 questions cash sur les sanctions, le RGPD et l'IA Act en 2026

Publié le 2026-04-28 | Mots-clés :

550 000 € d'amendes CNIL IA en 4 mois : 13 questions cash sur les sanctions, le RGPD et l'IA Act en 2026

Un cabinet parisien m'a transmis le mois dernier un dossier de conformité IA de 94 pages. Tout y était : politique de transparence, registre des traitements, charte éthique couleur pastel. Deux semaines plus tard, la CNIL les a mis en demeure. Pas sur la transparence. Sur la base légale.

Ce décalage entre ce que les entreprises croient protéger et ce que la CNIL sanctionne réellement, je le constate depuis janvier. Quatre sanctions IA prononcées, 550 000 € au compteur, et les leçons ne sont toujours pas tirées.

Les treize questions qui suivent sont celles que les DPO, les CTO et les fondateurs me posent en off — et auxquelles on leur sert d'habitude des réponses molles. Pas ici.

1. 550 000 € en quatre mois, c'est beaucoup ou c'est rien du tout ?

C'est un signal, pas un séisme. Pour remettre en perspective : France Travail a pris 5 millions d'euros à lui seul en janvier 2026 pour une violation de données. Les 550 000 € spécifiquement IA concernent quatre dossiers distincts, de 50 000 à 250 000 € chacun. À l'échelle du RGPD européen, c'est modeste.

Mais la trajectoire est ce qui compte. En 2024, les sanctions CNIL spécifiquement liées à l'IA étaient quasi inexistantes. Quatre en quatre mois, cela veut dire que la formation restreinte a constitué une file d'attente dédiée. Notre veille suit 136 textes réglementaires issus de 4 sources — CNIL, EUR-Lex, Legifrance, CEPD — et la densité normative s'accélère nettement depuis le T1 2026.

L'erreur serait de regarder les montants. Regardez la cadence.

2. Quels sont les vrais motifs de sanction IA de la CNIL en 2026 ?

Pas ceux que vous imaginez. Voici le détail, brut :

  • 250 000 € — profilage automatisé discriminatoire dans un processus de recrutement (janvier 2026)
  • 150 000 € — chatbot déployé sans information claire sur l'usage d'IA (février 2026)
  • 100 000 € — scoring crédit par IA sans évaluation d'impact (décembre 2025, formellement notifié T1 2026)
  • 50 000 € — reconnaissance faciale sans base légale valide (mars 2026)

Deux constats qui devraient réveiller. D'abord, le profilage représente 45 % du montant total. La CNIL tape fort sur les cas où l'IA prend des décisions qui affectent directement les personnes — recrutement, crédit, accès aux services. Ensuite, l'absence d'AIPD (analyse d'impact) revient dans deux des quatre dossiers. C'est le talon d'Achille technique : un document que beaucoup considèrent comme un exercice administratif alors qu'il constitue le premier élément que la CNIL demande lors d'un contrôle.

3. La transparence protège-t-elle vraiment des sanctions ?

Non. Enfin, pas seule. Et c'est le malentendu le plus coûteux de 2026.

Sur les quatre sanctions IA, une seule — la sanction chatbot à 150 000 € — vise un défaut de transparence. Les trois autres ciblent la base légale, le profilage discriminatoire, l'absence d'analyse d'impact. Faites le calcul : 73 % des montants sanctionnent autre chose que la transparence.

J'observe pourtant que la majorité des budgets conformité IA sont fléchés vers la rédaction de mentions d'information, de bandeaux « ce chatbot utilise l'IA », de politiques de transparence soignées. C'est nécessaire, oui. Mais quand une entreprise y consacre 80 % de ses ressources conformité et ignore la question de la base légale ou de l'AIPD, elle construit une façade sans fondations. La CNIL n'est pas dupe.

4. Mon chatbot client est-il un système à « risque élevé » au sens de l'IA Act ?

Probablement pas. Mais la réponse mérite mieux qu'un « ça dépend » de consultant.

L'IA Act (règlement 2024/1689) définit les systèmes à risque élevé dans son annexe III. Un chatbot de service client qui répond à des questions sur les horaires ou les produits n'y figure pas. Un chatbot qui oriente des décisions de crédit, filtre des candidatures ou évalue l'éligibilité à un service public, en revanche, tombe potentiellement dans les catégories 3 (emploi), 4 (services essentiels) ou 5 (forces de l'ordre).

Les lignes directrices publiées par l'AI Office de la Commission européenne en avril 2026 précisent justement cette classification. Elles confirment que le critère déterminant n'est pas la technologie utilisée mais l'usage qui en est fait et le domaine dans lequel il s'inscrit.

Conseil direct : ne partez pas de la technologie. Partez de la décision que votre chatbot influence. Un chatbot FAQ e-commerce qui répond « votre colis arrive mardi » ? Risque minimal, dormez tranquille. Un chatbot qui pré-qualifie des leads et attribue un score de solvabilité avant de transférer au conseiller ? Vous êtes en annexe III. La frontière est fonctionnelle, pas technologique — et c'est cette nuance que les lignes directrices d'avril 2026 ancrent enfin dans un cadre opérationnel.

5. Quelle base légale choisir pour un traitement IA sous le RGPD ?

Pas l'intérêt légitime par défaut. Et je pèse mes mots.

L'intérêt légitime (article 6.1.f du RGPD) est devenu le refuge par défaut des développeurs IA qui n'ont pas envie de recueillir un consentement. Problème : trois des quatre entreprises sanctionnées par la CNIL en 2026 invoquaient précisément cette base. La CNIL la rejette systématiquement quand le traitement implique du profilage à impact significatif sur les personnes, du scoring automatisé, ou de la prise de décision sans intervention humaine réelle.

Le consentement (article 6.1.a) reste la base la plus solide pour les chatbots grand public. Pour les systèmes internes — RH, scoring — c'est souvent l'obligation légale ou le contrat qui tient. L'avis du CEPD de février 2026 sur l'articulation IA Act / RGPD le confirme avec une clarté inhabituelle.

Arrêtez de choisir votre base légale par confort. Choisissez-la par résistance au contrôle.

6. L'AIPD est-elle obligatoire pour tout système IA ?

Non, mais si vous hésitez, faites-la. Le risque de la faire pour rien est nul. Le risque de ne pas la faire quand elle était requise vaut 100 000 € — c'est le montant exact de la sanction scoring crédit.

L'AIPD est obligatoire au titre de l'article 35 du RGPD quand le traitement est susceptible d'engendrer un « risque élevé pour les droits et libertés ». Le G29 (devenu CEPD) a listé neuf critères : évaluation/scoring, décision automatisée avec effet juridique, surveillance systématique, données sensibles, grande échelle, croisement de données, personnes vulnérables, usage innovant, blocage d'un droit.

Deux critères cochés sur neuf = AIPD obligatoire. Un chatbot basique qui ne collecte que des logs anonymisés passe en dessous du seuil. Un système de recommandation produit basé sur le comportement utilisateur ? Deux critères minimum (scoring + grande échelle). Faites l'AIPD.

Je constate que les entreprises qui sont passées devant la formation restreinte n'avaient pas de doute sur l'obligation de faire l'AIPD. Elles avaient juste repoussé sa réalisation à « après le lancement ». Le « après » n'arrive jamais.

7. Le décret d'application français de l'IA Act change-t-il quelque chose concrètement ?

Oui, sur un point précis. Le décret n° 2026-XXX publié en mars 2026 via Legifrance désigne l'autorité nationale de surveillance de l'IA Act. C'est l'étape administrative qui transforme le règlement européen en machine d'enforcement locale.

Avant ce décret, l'IA Act existait « dans les textes ». Maintenant, il existe dans l'organigramme. L'autorité désignée aura un pouvoir d'enquête propre, distinct de la CNIL. C'est un point que beaucoup sous-estiment : vous pourrez être contrôlé par la CNIL au titre du RGPD et par l'autorité IA au titre de l'IA Act. Deux procédures parallèles pour le même système.

L'arrêté du 28 février 2026 précise par ailleurs les modalités de déclaration des systèmes IA à risque élevé dans la base européenne. Si vous déployez un système concerné, la déclaration est désormais une obligation formelle, pas une bonne pratique.

8. Les modèles GPAI (GPT, Claude, Mistral) sont-ils concernés par l'IA Act ?

Directement. Et c'est un changement de paradigme.

Le règlement délégué de mars 2026 publié par la Commission européenne précise les obligations spécifiques pour les fournisseurs de modèles d'IA à usage général (GPAI). Transparence technique, documentation du processus d'entraînement, respect du droit d'auteur, évaluation des risques systémiques pour les modèles les plus puissants — la liste est substantielle.

En pratique, ça concerne OpenAI, Anthropic, Mistral, Google DeepMind et les autres. Mais aussi — et c'est moins discuté — les entreprises qui déploient ces modèles via API dans leurs produits. Si vous intégrez GPT-4 ou Mistral Large dans votre plateforme, vous êtes « deployer » au sens du règlement. Vous héritez d'obligations propres, notamment l'obligation d'informer les utilisateurs qu'ils interagissent avec un système IA et de garantir un droit de recours humain.

La nuance que j'assume : le règlement délégué est encore très théorique. L'enforcement réel des obligations GPAI prendra du temps. Mais les entreprises qui attendront la première sanction pour se conformer feront le même calcul perdant que celles qui ont ignoré le RGPD jusqu'en 2019.

9. Peut-on se faire sanctionner par la CNIL pour un système IA hébergé hors UE ?

Oui. L'argument « nos serveurs sont aux États-Unis » ne vaut rien depuis Schrems II, et il vaut encore moins depuis l'IA Act.

Le RGPD s'applique dès que le traitement concerne des personnes situées dans l'UE, quel que soit le lieu d'hébergement (article 3.2). L'IA Act suit la même logique territoriale : il s'applique aux « fournisseurs qui mettent sur le marché ou mettent en service des systèmes d'IA dans l'Union ».

La CNIL a d'ailleurs un outil redoutable pour faire respecter cette portée extraterritoriale : la coopération avec les autorités nationales via le mécanisme de cohérence du CEPD. Notre veille recense 55 documents EDPB, dont plusieurs concernent précisément la coordination transfrontalière des contrôles IA. L'idée qu'un hébergement offshore protège des contrôles français relève d'une pensée magique de 2018. Et pour les startups qui utilisent des modèles hébergés sur l'infrastructure de fournisseurs américains (Azure OpenAI, AWS Bedrock) : le transfert de données hors UE reste soumis au chapitre V du RGPD. Un Data Processing Agreement standard ne suffit pas si les garanties appropriées ne sont pas en place. Les clauses contractuelles types (SCCs) ou le Data Privacy Framework doivent être mobilisés — et documentés dans votre registre.

10. Faut-il un DPO dédié à l'IA ou le DPO existant suffit ?

Le DPO existant suffit juridiquement. Mais dans les faits, c'est une question de charge, pas de titre.

Un DPO qui gère déjà le RGPD classique — cookies, sous-traitants, violations de données — se retrouve depuis 2026 avec une couche supplémentaire massive : l'IA Act, ses 113 articles, ses annexes, ses actes délégués, ses lignes directrices. Sans compter les 9 textes Legifrance pertinents et les 64 décisions CNIL à suivre. Dire que le DPO « suffit » en lui doublant le périmètre sans doubler les moyens, c'est lui demander de courir un marathon en tongs.

Mon avis tranché : les entreprises qui déploient plus de deux systèmes IA avec impact sur les personnes ont besoin soit d'un DPO renforcé (formation IA Act + temps dédié), soit d'un référent IA distinct rattaché à la direction. Le modèle du DPO couteau suisse a ses limites. Les 550 000 € de sanctions 2026 le prouvent.

11. Existe-t-il un risque de double sanction IA Act + RGPD pour un même fait ?

C'est la question à 10 millions d'euros — littéralement.

L'article 99 de l'IA Act prévoit des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Le RGPD plafonne à 20 millions ou 4 % du CA. Le risque de cumul pour un même fait est théoriquement encadré par le principe ne bis in idem, mais l'avis du CEPD de février 2026 sur l'articulation IA Act / RGPD n'apporte pas de réponse définitive sur ce point.

Ce que je lis entre les lignes : les autorités chercheront à éviter la double sanction sur des faits strictement identiques, mais rien n'empêche deux procédures portant sur des aspects différents du même système. Votre chatbot de scoring peut être sanctionné par la CNIL pour défaut de base légale (RGPD) et par l'autorité IA pour absence d'évaluation de conformité (IA Act). Deux violations distinctes, deux sanctions distinctes. Le « même fait » est une notion plus étroite que les entreprises ne le pensent.

12. La loi Informatique et Libertés de 1978 sert-elle encore à quelque chose face à l'IA ?

Oui, et cette question mérite d'être posée parce que presque tout le monde l'a oubliée.

La loi n° 78-17, consolidée et modifiée en 2018, reste le socle juridique de la CNIL en droit interne. Elle transpose le RGPD en droit français et ajoute des dispositions nationales spécifiques — notamment sur les traitements de données de santé, les numéros de sécurité sociale, ou les fichiers pénaux. Le décret n° 2019-536 qui l'accompagne précise les modalités d'application.

Pour les systèmes IA, la couche française ajoute des contraintes que le RGPD seul n'impose pas. Le décret n° 2024-573 sur l'IA dans l'administration publique, par exemple, impose des obligations de traçabilité et d'explicabilité aux systèmes déployés par l'État — obligations absentes du RGPD européen. La loi SREN de mai 2024 ajoute encore une strate sur la régulation des algorithmes de recommandation.

Le piège : se conformer au RGPD européen en oubliant les particularités françaises. Les cabinets anglo-saxons tombent dedans systématiquement. La CNIL, elle, sanctionne sur la base de la loi française, pas uniquement du règlement européen.

13. Par où commencer concrètement quand on part de zéro ?

Pas par la charte éthique. Pas par le comité de gouvernance IA. Pas par le benchmark des outils de conformité. Par le registre.

Étape 1 : listez tous vos systèmes IA opérationnels — y compris les « petits » scripts de scoring, les chatbots internes, les modèles de recommandation. Étape 2 : pour chaque système, identifiez la base légale RGPD, les données traitées, les personnes impactées. Étape 3 : cochez les critères d'AIPD. Si deux cochés, faites-la. Étape 4 : classez vos systèmes selon les catégories de risque IA Act (interdit / risque élevé / risque limité / risque minimal).

Quatre étapes. Pas quarante.

Le reste — gouvernance, comités, politiques — viendra naturellement une fois que vous saurez ce que vous avez. J'ai vu trop d'entreprises construire des cathédrales de gouvernance IA sans même avoir cartographié leurs systèmes. Le résultat : des PowerPoints impeccables et un contrôle CNIL catastrophique.

Ce qu'il faut retenir sans enrobage

Le paysage réglementaire IA en France au 28 avril 2026, c'est 136 textes suivis par notre veille, 4 sanctions CNIL IA en quatre mois, un décret d'application français fraîchement publié, et un règlement délégué GPAI qui redéfinit les obligations des fournisseurs et déployeurs de modèles.

La conformité IA n'est plus un sujet de prospective juridique. C'est un risque opérationnel quantifiable : 550 000 € de sanctions déjà prononcées, des montants qui vont mécaniquement augmenter avec l'entrée en vigueur progressive de l'IA Act, et une CNIL qui a visiblement décidé de constituer un corpus jurisprudentiel IA avant l'été.

Les entreprises qui s'en sortiront ne seront pas celles qui auront les politiques les plus longues. Elles seront celles qui auront cartographié, analysé et corrigé. Dans cet ordre.

Et un dernier mot, parce que la question revient sans cesse dans mes échanges avec des fondateurs early-stage : « est-ce que la CNIL va vraiment s'intéresser à ma startup de 5 personnes ? ». Oui. Le bilan sanctions 2025 de la CNIL, publié en février 2026, montre que la procédure de sanction simplifiée — introduite justement pour les petits dossiers — tourne à plein régime. Les montants sont faibles (5 000 à 20 000 €), mais la procédure est rapide et le dossier est publié. Pour une startup en phase de levée, une sanction CNIL publiée est un signal toxique en due diligence. Le coût réel n'est pas l'amende. C'est le round de financement qui ne se ferme pas.

Notre checklist conformité IA Act + template DPA est disponible gratuitement — elle couvre les quatre étapes de mise en conformité décrites dans la question 13.

Sur un sujet proche, notre analyse détaillée de l'effondrement de l'intérêt légitime comme base légale IA complète la question 5. Et si vous cherchez un guide pratique pour l'AIPD, le tutoriel en 7 étapes pour réaliser votre analyse d'impact détaille la marche à suivre.