IAActs

550 000€ d'amendes CNIL IA en 4 mois : le retour de terrain d'une DPO

Publié le 2026-04-20 | Mots-clés : [, ", c, n, i, l, , a, m, e, n, d, e, , i, a, ", ,, , ", s, a, n, c, t, i, o, n, s, , c, n, i, l, , 2, 0, 2, 6, ", ,, , ", r, g, p, d, , c, h, a, t, b, o, t, , o, b, l, i, g, a, t, i, o, n, s, ", ,, , ", i, a, , a, c, t, , f, r, a, n, c, e, ", ]

Sophie Durand clique sur la notification Slack. "Réu urgente compliance 14h". Elle soupire. DPO d'une scale-up fintech française depuis 3 ans, elle sait que "urgente" veut souvent dire "on a merdé quelque part".

En février 2026, la CNIL a publié 4 nouvelles sanctions liées à l'IA. Total : 550 000€ d'amendes. Pas de géants du web cette fois, juste des boîtes moyennes qui pensaient être en règle. Sophie a épluché les décisions une par une. Parce que sa boîte, elle aussi, utilise de l'IA. Scoring crédit, chatbot support, analyse de documents. Et à chaque fois qu'elle pose la question "vous avez documenté ça comment ?", elle entend des silences gênés.

Les 4 sanctions CNIL IA de début 2026 : ce qui a vraiment pété

Voici le tableau que Sophie a partagé lors de la réunion du 14h :

Date sanction Entreprise Montant Problème principal Secteur
20 janv. 2026 Company Z 250 000€ Profilage recrutement discriminatoire RH Tech
10 fév. 2026 Company Y 150 000€ Chatbot sans mention IA visible E-commerce
15 mars 2026 Company X 50 000€ Reconnaissance faciale sans base légale Retail
5 déc. 2025 Company W 100 000€ Scoring crédit sans évaluation impact Fintech

Total : 550 000€ sur une période de 4 mois. Sophie a ajouté : "On est une fintech avec du scoring automatisé. Vous voyez le problème ?"

Silence dans la salle Zoom.

Company W : le cas qui hante Sophie

Company W. 100 000€ d'amende en décembre 2025. Une fintech comme la sienne. Leur tort ? Utiliser un système de scoring crédit piloté par IA sans avoir réalisé d'analyse d'impact relative à la protection des données (AIPD) ni d'évaluation de conformité IA Act.

Sophie a appelé un ancien collègue qui bossait là-bas. "Ils pensaient que l'AIPD classique RGPD suffisait. Sauf que l'IA Act demande une évaluation spécifique pour les systèmes à risque élevé. La CNIL a considéré qu'ils n'avaient ni documenté les biais potentiels, ni mis en place de supervision humaine effective."

Leur système de scoring existait depuis 2023. Mais dès août 2026, les obligations IA Act s'appliquent aux nouveaux systèmes et à ceux déjà en production si des modifications substantielles sont apportées. Company W avait ajouté de nouvelles features en octobre 2025. Mauvais timing.

Sophie a sorti son carnet. Elle avait noté 3 leçons :

  1. L'AIPD RGPD ne suffit plus : il faut aussi documenter la conformité IA Act (données d'entraînement, métriques de performance, tests de robustesse).
  2. Supervision humaine = obligatoire : pas juste un bouton "valider automatiquement", mais un vrai processus de revue.
  3. Logs détaillés : la CNIL a demandé les traces des décisions. Company W n'en avait pas assez.

Elle a relu la décision CNIL trois fois. À chaque fois, elle remplaçait mentalement "Company W" par le nom de sa boîte. Pas rassurant.

Company Y : 150 000€ pour un chatbot "trop discret"

10 février 2026. Company Y, un site e-commerce de déco, se prend 150 000€. Motif : leur chatbot ne signalait pas clairement qu'il était piloté par IA.

"Attendez, 150k pour ça ?!" Le CTO de Sophie n'en revenait pas. "On a un chatbot aussi, et franchement je suis pas sûr qu'on ait le disclaimer..."

Sophie a expliqué : "L'IA Act impose une obligation de transparence pour les systèmes à risque limité, dont les chatbots. Il faut que l'utilisateur sache immédiatement qu'il parle à une IA. Company Y avait une petite mention en bas de page, illisible sur mobile. La CNIL a considéré que c'était insuffisant."

L'amende est salée parce que Company Y avait déjà reçu un avertissement RGPD en 2024 pour défaut d'information. Récidive = montant majoré.

Sophie a ouvert leur chatbot interne. Effectivement : zéro mention. Juste "Bonjour, comment puis-je vous aider ?" avec un avatar humain stylisé. Elle a pris une capture d'écran et l'a envoyée au CTO : "On corrige ça cette semaine ou on attend la sanction ?"

Réponse en 3 minutes : "Je lance le ticket."

Company Z : le recrutement automatisé qui discriminait

20 janvier 2026. Le cas le plus lourd : 250 000€ pour Company Z, une plateforme RH SaaS. Leur système de scoring de CV générait des biais discriminatoires. Genre, âge, origine géographique. Classique, mais illégal.

Sophie avait lu l'analyse complète sur le site de la CNIL. Company Z avait entraîné son modèle sur un dataset historique de candidatures acceptées. Problème : ce dataset reflétait les biais des recruteurs humains des 10 dernières années. Résultat : le modèle reproduisait et amplifiait ces biais. Les candidates femmes pour des postes tech étaient systématiquement sous-notées.

Pire : aucune supervision humaine. Les recruteurs recevaient juste un score (1 à 100) sans explication. Impossible de vérifier si le système déconnait.

La CNIL a demandé les métriques de performance par groupe démographique. Company Z ne les avait jamais calculées. Grosse erreur. L'IA Act impose de tester les systèmes à risque élevé sur des sous-groupes pour détecter les discriminations.

Sophie n'a pas de système de recrutement IA. Mais elle a noté mentalement : "Si un jour on en met un, prévoir : - Dataset équilibré - Métriques par groupe - Supervision humaine avec explications - Logs de chaque décision"

Company X : reconnaissance faciale sans base légale

15 mars 2026. Le cas le plus récent. Company X, une chaîne de magasins, utilisait de la reconnaissance faciale pour "améliorer l'expérience client". En vrai, pour tracker les clients et envoyer des promos ciblées.

50 000€ d'amende. Relativement léger, parce que Company X a coopéré et supprimé le système dès la première alerte CNIL. Mais la base légale n'existait pas : ni consentement explicite, ni intérêt légitime valable.

Sophie a ajouté une note dans son doc de veille : "Reconnaissance faciale = ultra sensible. Depuis l'IA Act, c'est considéré risque élevé voire inacceptable selon l'usage. À éviter sauf cas d'usage ultra justifié."

Son entreprise n'utilise pas de reconnaissance faciale. Mais elle a checké les briques tierces intégrées dans leur app mobile. Un SDK d'onboarding faisait de la "liveness detection" (détection de vivacité pour éviter les photos). Techniquement, c'est de la reconnaissance faciale. Elle a demandé au prestataire sa doc de conformité IA Act. Réponse attendue sous 48h.

Ce que Sophie a mis en place après ces 4 cas

Réunion du 14h, suite.

Sophie a conclu son slide deck avec un plan d'action en 5 points. Le CEO a validé en direct. Budget débloqué, deadline août 2026.

1. Cartographie complète des systèmes IA

Premier chantier : lister tous les systèmes d'IA utilisés. Pas juste les gros projets visibles. Aussi les briques tierces, les features "expérimentales" en prod, les scripts Python qui tournent en cron.

Sophie a créé un Google Sheet partagé avec les Product Managers. Colonnes : - Nom du système - Description - Fournisseur (interne / externe) - Données traitées - Niveau de risque estimé (élevé / limité / minimal) - Responsable

En 2 semaines, elle a recensé 18 systèmes. Elle en connaissait 9. Les 9 autres ? "Ah ouais, on a un petit modèle de détection de fraude qu'on a bricolé l'an dernier." "Ah et on utilise ChatGPT dans notre support pour reformuler les réponses." Etc.

2. Évaluation de risque selon l'IA Act

Sophie a classé les 18 systèmes selon la grille IA Act :

Niveau de risque Nombre de systèmes Exemples
Risque élevé 3 Scoring crédit, anti-fraude, décision prêt
Risque limité 7 Chatbot support, suggestions produits, reformulation IA
Risque minimal 8 Filtres spam, recommandations internes, analytics

3 systèmes à risque élevé. C'est sur eux qu'elle doit concentrer l'effort. Ils nécessitent : - Documentation technique complète - Évaluation de conformité - Logs de toutes les décisions - Supervision humaine - Tests de robustesse et de biais - Enregistrement dans la base de données européenne

3. AIPD + évaluation IA Act pour chaque système à risque élevé

Sophie a commandé un audit externe pour les 3 systèmes critiques. Coût : 15 000€. Moins cher qu'une amende CNIL.

L'audit couvre : - AIPD RGPD classique - Évaluation IA Act (Annexe IV du règlement : documentation technique, jeux de données, métriques de performance, gestion des risques) - Recommandations de mise en conformité

Livraison prévue mi-mai 2026. Ça laisse 3 mois avant l'échéance d'août.

4. Transparence chatbot : bandeau visible immédiat

Pour le chatbot (risque limité), la correction était simple. Le dev a pushé un fix en 2 jours : - Bandeau en haut du chat : "Vous discutez avec une IA. Un humain peut reprendre la conversation à tout moment." - Bouton "Parler à un humain" visible dès le 1er message - Footer : lien vers la politique d'utilisation de l'IA

Coût : 0€. Temps : 4h dev + 1h QA. Risque évité : 150 000€.

5. Formation des équipes

Sophie a organisé 2 sessions de formation (1h chacune) : - Session 1 : Devs et PMs → "IA Act pour les produits : qu'est-ce qui change ?" - Session 2 : Support et Ops → "RGPD et IA : comment répondre aux demandes utilisateurs"

Elle a aussi créé un canal Slack #compliance-ia avec une FAQ vivante. Question la plus fréquente : "On peut utiliser ChatGPT pour nos emails clients ?" Réponse de Sophie : "Oui, mais avec 3 conditions : 1) pas de données perso dans les prompts 2) mention que l'IA a aidé si c'est substantiel 3) relecture humaine avant envoi."

Les 3 pièges que Sophie a évités

En analysant les 4 sanctions, Sophie a identifié 3 pièges récurrents :

Piège 1 : Penser que l'AIPD RGPD suffit. Non. L'IA Act demande une évaluation spécifique. Les deux se complètent mais ne se remplacent pas.

Piège 2 : Sous-estimer les obligations de transparence. Un petit disclaimer en footer ne suffit pas. Il faut que ce soit immédiatement visible et compréhensible. Test simple : est-ce qu'un utilisateur de 70 ans comprend qu'il parle à une IA en 3 secondes ? Si non, c'est insuffisant.

Piège 3 : Ne pas tester les biais. Si vous avez un système à risque élevé qui touche des personnes, vous devez calculer les métriques de performance par sous-groupe (genre, âge, origine si pertinent). Sinon, vous êtes en infraction.

Août 2026 : la vraie deadline

Sophie a encadré la date dans son agenda : 2 août 2026. C'est l'entrée en application des obligations IA Act pour les systèmes à risque élevé.

Après cette date : - Tout nouveau système à risque élevé doit être conforme avant mise sur le marché - Les systèmes existants ont un délai supplémentaire jusqu'en août 2027, sauf si des modifications substantielles sont apportées

La stratégie de Sophie : être conforme avant août 2026, même pour les systèmes existants. Parce qu'une "modification substantielle", c'est flou. Changer un paramètre du modèle, c'est substantiel ? Ajouter une feature, oui. Mais corriger un bug ? Personne ne sait exactement. Mieux vaut anticiper.

Ce que vous pouvez faire cette semaine

Sophie a partagé son plan avec son réseau de DPOs. Voici les 3 actions qu'elle recommande pour cette semaine :

  1. Lister vos systèmes d'IA (même les "petits") Tableau simple : nom, description, données utilisées, risque estimé.

  2. Vérifier la transparence de vos chatbots Si vous en avez un, ouvrez-le. Est-ce que c'est clair que c'est une IA ? Si non, fix immédiat.

  3. Identifier votre système le plus risqué Scoring, recrutement, décision automatisée, reconnaissance biométrique ? Commencez par celui-là. Audit externe ou interne, mais ne le laissez pas en l'état.

Sophie a fermé son laptop à 18h. La réunion de 14h avait duré 2h30, mais le plan était validé. Budget, ressources, timeline. Elle a relu une dernière fois le tableau des sanctions CNIL.

550 000€ en 4 mois. Pour des erreurs évitables.

Elle a envoyé un message au CEO : "On est sur la bonne voie. Août 2026, on sera prêts."

Réponse : "Merci Sophie. Franchement, t'es ce qui nous évite la cata."

Elle a souri. Puis elle a ouvert la décision Company W une 4e fois. Parce qu'on ne sait jamais. Et qu'en compliance, la paranoïa est une vertu.

Ressources citées dans cet article : - Décisions CNIL 2025-2026 (sanctions IA) — 4 sanctions analysées : Company Z (250k€), Y (150k€), X (50k€), W (100k€) - Texte IA Act (EUR-Lex) — Annexe IV : documentation technique des systèmes à risque élevé - Lignes directrices AI Office (avril 2026) — Classification des systèmes et obligations

Besoin d'un outil pour auditer vos systèmes IA ? Téléchargez notre Checklist conformité IA Act + template AIPD (gratuit, 12 pages).