Marc, CTO d'une startup, a branché une IA générative sur son SaaS — 3 mois plus tard, la CNIL frappe à la porte
Marc, CTO d'une startup, a branché une IA générative sur son SaaS — 3 mois plus tard, la CNIL frappe à la porte
Marc a quarante-deux ans, douze ans d'expérience en architecture logicielle, et une conviction ancrée depuis 2019 : « si ton produit n'a pas d'IA dedans, les investisseurs ne décrochent pas le téléphone ». En janvier 2026, il dirige la tech chez Prédica, une startup B2B parisienne de quarante-cinq salariés qui vend un outil de gestion de sinistres aux courtiers en assurance. Le produit tourne bien. Mais les concurrents commencent à intégrer des modules conversationnels, et le board de Prédica veut la même chose. Vite.
Le 8 janvier, Marc choisit un fournisseur de modèle GPAI — un modèle fondation via API, du type qu'on branche en quelques jours. Il câble l'interface. Deux sprints. Le module génère des résumés de dossiers sinistres, propose des réponses types aux courtiers, et classe les urgences par probabilité. Le tout alimenté par les données clients de Prédica.
C'est propre. C'est rapide. Et personne dans l'équipe ne se pose la question qui va tout faire basculer.
L'appel qui change tout
Mi-mars, la DPO de Prédica — Lucie, recrutée six mois plus tôt, fraîchement certifiée — reçoit un courrier de la CNIL. Pas un contrôle formel. Un questionnaire. Dix-sept questions sur le traitement de données personnelles lié à « un module d'intelligence artificielle intégré à une plateforme de gestion de sinistres ». Le genre de courrier qui ne fait pas de bruit, mais qui précède systématiquement les ennuis.
Marc découvre le questionnaire un mardi matin. Il me racontera plus tard : « J'ai lu les dix-sept questions, et j'ai compris au point 4 que je ne savais répondre à aucune d'entre elles. »
Le point 4, c'est : Avez-vous réalisé une analyse d'impact relative à la protection des données (AIPD) pour le système d'IA déployé ?
Non. Prédica n'en a pas fait. Marc ne savait même pas que c'était requis pour un module qui « résume des textes ».
La cascade réglementaire que personne ne voit venir
Voici le problème. Et je vais être direct, parce que trop de gens dans l'écosystème tech français continuent à croire que brancher un modèle GPAI via API, c'est comme intégrer Stripe ou Twilio. Ce n'est pas le cas. Pas depuis le premier trimestre 2026.
Trois textes se sont empilés en l'espace de quarante-cinq jours :
Le 15 février 2026, le Comité Européen de la Protection des Données (CEPD/EDPB) a publié un avis sur l'articulation entre l'IA Act et le RGPD. Ce texte clarifie — enfin — que les obligations RGPD s'appliquent en plus de l'IA Act, pas en remplacement. Les deux régimes sont cumulatifs. Pour quiconque pensait que l'IA Act rendait le RGPD secondaire sur les systèmes IA : c'est l'inverse. Le CEPD a tranché.
Le 10 mars 2026, la Commission européenne a adopté un règlement délégué sur les modèles d'IA à usage général (GPAI). Ce texte impose des obligations spécifiques aux fournisseurs de modèles fondation : documentation technique, transparence sur les données d'entraînement, évaluation des risques systémiques pour les modèles les plus puissants. Mais — et c'est le piège — le texte crée aussi des obligations pour les déployeurs qui intègrent ces modèles dans des systèmes destinés à des usages spécifiques.
Le 1er avril 2026, les lignes directrices de l'AI Office sur les systèmes d'IA à risque élevé ont atterri. Précisions sur la classification, sur les exigences de documentation, sur ce qui fait basculer un système de « risque limité » à « risque élevé ».
Marc n'avait lu aucun de ces trois textes. Lucie non plus, parce qu'elle surveillait les publications CNIL, pas EUR-Lex ni le CEPD.
Le vrai sujet : déployeur ou fournisseur ?
La première question que Marc aurait dû se poser — et qu'il n'a pas posée — concerne son statut juridique. L'IA Act distingue deux rôles : le fournisseur du système IA (celui qui le développe ou le met sur le marché) et le déployeur (celui qui l'utilise dans un contexte professionnel).
Sur le papier, Prédica est déployeur. Le modèle GPAI vient d'un fournisseur tiers. Sauf que.
Sauf que Prédica a fine-tuné le modèle sur ses propres données de sinistres. Elle a ajouté une couche de classification par urgence. Et elle a exposé le module directement aux courtiers, qui l'utilisent pour prendre des décisions sur des dossiers impliquant des personnes physiques — les assurés.
Dans cette configuration, Prédica n'est plus un simple déployeur. Elle est potentiellement devenue fournisseur d'un système IA à part entière, au sens de l'article 25 de l'IA Act. Et les obligations qui vont avec sont d'un autre ordre de magnitude.
Je le dis sans détour : cette zone grise, entre déployeur et fournisseur, est le piège juridique le plus sous-estimé de 2026. J'ai échangé avec trois cabinets d'avocats spécialisés ces dernières semaines. Aucun ne donne la même réponse sur les cas limites. L'autorité nationale de surveillance n'a pas encore publié de doctrine claire. Et la CNIL, elle, continue de contrôler sous l'angle RGPD sans se soucier de la qualification IA Act.
Les chiffres qui parlent
Mettons les données sur la table.
Depuis janvier 2026, la CNIL a prononcé 4 sanctions liées à des systèmes d'intelligence artificielle, pour un total de 550 000 euros. Quatre décisions. Quatre angles d'attaque différents. Voici la ventilation :
| Sanction | Montant | Motif principal | Texte violé | Date |
|---|---|---|---|---|
| Company X — reconnaissance faciale | 50 000 € | Défaut de base légale | RGPD art. 6 | Mars 2026 |
| Company Y — chatbot sans transparence | 150 000 € | Information insuffisante sur l'usage d'IA | RGPD + IA Act art. 50 | Février 2026 |
| Company Z — profilage RH discriminatoire | 250 000 € | Profilage automatisé discriminatoire | RGPD art. 22 | Janvier 2026 |
| Company W — scoring crédit sans AIPD | 100 000 € | Absence d'évaluation d'impact | RGPD art. 35 | Décembre 2025 |
Ce tableau raconte une histoire. La CNIL ne sanctionne pas au hasard. Elle cible les cas où le traitement de données personnelles par un système IA n'a fait l'objet d'aucune évaluation préalable, d'aucune information aux personnes concernées, ou d'aucune base légale identifiable.
Et 73 % du montant total (400 000 € sur 550 000 €) concerne des systèmes qui utilisent des données personnelles pour prendre ou assister des décisions individuelles — profilage RH, scoring crédit, chatbot collectant des données. Ce n'est pas de la reconnaissance faciale spectaculaire façon presse généraliste. C'est du B2B ordinaire.
Comme celui de Marc.
Retour chez Prédica : l'audit de panique
Mars-avril 2026. Prédica a trois semaines pour répondre au questionnaire CNIL. Marc embauche un cabinet. Le devis est salé — 28 000 euros pour un audit flash. Lucie découvre en même temps que le décret n° 2024-573, publié en juin 2024 sur Legifrance, encadre déjà l'IA dans l'administration publique et que les courtiers de Prédica travaillent partiellement pour des mutuelles de fonction publique. Un texte de plus dans la pile. Un risque de plus dans la matrice.
Le cabinet rend son rapport. Six constats :
Le module IA de Prédica traite des données de santé (dossiers sinistres contenant des informations médicales). Pas de base légale explicite au sens de l'article 9 du RGPD. L'AIPD n'existe pas. L'information aux personnes concernées — les assurés dont les dossiers passent dans le modèle — est inexistante. Le fine-tuning sur des données clients pose un problème de finalité. Et la traçabilité des décisions assistées par l'IA n'est pas documentée.
Six constats. Zéro défense viable.
Marc me dira : « On avait un module qui marchait bien. Les courtiers l'adoraient. Ça nous faisait gagner deux heures par dossier. Et d'un point de vue réglementaire, on était nus. »
Nu. Le mot est juste.
Ce que le CEPD a changé — et que les DPO n'ont pas encore intégré
L'avis du CEPD du 15 février 2026 est, à mon sens, le texte le plus important publié cette année sur l'IA. Plus que les lignes directrices de l'AI Office. Plus que le règlement délégué GPAI. Parce qu'il pose un principe que tout le monde espérait voir contourné : le RGPD ne cède pas devant l'IA Act.
Concrètement, si vous déployez un système IA qui traite des données personnelles, vous devez respecter simultanément : - Les obligations du RGPD (base légale, AIPD, droits des personnes, information, registre des traitements) - Les obligations de l'IA Act (classification des risques, documentation technique, transparence, conformité CE pour les systèmes à haut risque) - Et potentiellement la Directive Responsabilité IA (UE 2024/2853), qui ouvre de nouveaux recours civils aux victimes
Trois couches. Pas alternatives. Cumulatives.
J'entends régulièrement des CTO expliquer que « l'IA Act c'est pour les gros, pas pour nous ». C'est faux. Si votre système utilise un modèle GPAI pour traiter des données personnelles dans un contexte où les décisions affectent des individus — comme un scoring, un profilage, une recommandation — vous êtes dans le périmètre. Point.
Les 91 documents publiés par l'EDPB (avis, recommandations, lignes directrices) ne laissent aucune ambiguïté. Le cadre est là. Il est dense. Et il est applicable.
La digression nécessaire sur le « risque limité »
J'ouvre une parenthèse, parce que la confusion est massive. L'IA Act crée quatre niveaux de risque : inacceptable, élevé, limité, minimal. La plupart des chatbots et modules conversationnels tombent dans le « risque limité ». Et beaucoup de professionnels en déduisent : « risque limité = obligations limitées = pas grand-chose à faire ».
C'est une erreur de lecture. Risque limité au sens de l'IA Act signifie essentiellement une obligation de transparence (article 50) : informer les utilisateurs qu'ils interagissent avec une IA. Mais le RGPD, lui, ne connaît pas cette classification. Un chatbot « risque limité » IA Act qui traite des données personnelles reste soumis à l'intégralité du RGPD. Base légale obligatoire. Information aux personnes. Droit d'opposition. AIPD si le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés.
La sanction de 150 000 euros contre Company Y le démontre. Le chatbot était probablement « risque limité » au sens de l'IA Act. Mais l'absence d'information sur l'usage d'IA constituait une violation simultanée de l'article 50 de l'IA Act et de l'article 13 du RGPD.
Deux textes. Une seule erreur. Double qualification. Fermer la parenthèse.
Le coût réel de la non-conformité
Marc a fini par mettre son module en pause. Pas par choix — par nécessité. Le temps de constituer l'AIPD, de documenter les flux de données, de notifier les personnes concernées, de revoir les contrats avec le fournisseur GPAI, de mettre en place un système de traçabilité des décisions assistées.
Coût total de la mise en conformité : environ 85 000 euros. Dont 28 000 d'audit, 22 000 de prestation juridique, 15 000 de développement technique pour la traçabilité, 12 000 de refonte de l'information aux personnes, et 8 000 de formation interne. Sans compter les trois mois de revenus perdus sur le module.
La CNIL n'a pas (encore) sanctionné Prédica. Le questionnaire a été renvoyé. L'autorité évalue. Mais Marc sait — et je le sais aussi — que la réponse au point 4 était « non ». Et que ce « non » sur l'AIPD, c'est exactement ce qui a valu 100 000 euros à Company W pour son scoring crédit.
Ce que j'aurais dit à Marc en janvier
Si Marc m'avait appelé avant de brancher son module, voici les cinq choses que je lui aurais dites :
Premièrement, qualifier votre statut. Êtes-vous déployeur ou fournisseur au sens de l'IA Act ? Si vous fine-tunez un modèle GPAI et l'exposez à des utilisateurs finaux dans un contexte décisionnel, vous risquez de basculer du côté fournisseur. Faites cette analyse avant de coder.
Deuxièmement, cartographier les données. Un modèle GPAI branché sur des données de sinistres contenant des informations médicales, c'est un traitement de données sensibles au sens de l'article 9 du RGPD. Les obligations ne sont pas les mêmes qu'avec des données commerciales basiques.
Troisièmement, faire l'AIPD avant le déploiement. Pas après. Pas « quand on aura le temps ». Avant. C'est l'article 35 du RGPD. Et depuis que la CNIL a sanctionné Company W pour absence d'AIPD sur un scoring IA, ce n'est plus théorique. Notre guide en 7 étapes pour l'AIPD des systèmes IA détaille la procédure.
Quatrièmement, informer les personnes concernées. Les assurés dont les dossiers passent dans le modèle doivent savoir qu'un système IA traite leurs données. C'est l'article 13 du RGPD et l'article 50 de l'IA Act simultanément. Les deux. Comme on l'a vu dans l'analyse du double régime IA Act/RGPD et ses implications pour les obligations GPAI.
Cinquièmement, documenter la chaîne de responsabilité avec votre fournisseur de modèle GPAI. Le règlement délégué du 10 mars 2026 impose des obligations de documentation aux fournisseurs de modèles fondation. Mais en tant que déployeur (ou fournisseur dérivé), vous devez vous assurer que cette documentation existe et qu'elle couvre votre usage spécifique.
Le fond du problème
Je vais dire quelque chose qui ne plaira pas à tout le monde. Le fond du problème n'est pas que la réglementation est trop complexe. Elle l'est, oui — 9 textes officiels rien que sur Legifrance, sans compter EUR-Lex et le CEPD. Mais la complexité est un prétexte.
Le fond du problème, c'est que l'écosystème tech français traite la conformité réglementaire comme un sujet de DPO, pas comme un sujet de produit. Marc n'a pas ignoré la réglementation par malveillance. Il l'a ignorée parce que, dans sa culture professionnelle, la compliance est ce qu'on fait après que le produit marche. Quand il y a du budget. Quand le juridique a le temps.
550 000 euros de sanctions CNIL en quatre mois disent le contraire. Ce n'est plus « après ». C'est maintenant.
Et le pire, c'est que les amendes CNIL restent modestes comparées à ce que l'IA Act prévoit. Les sanctions IA Act peuvent monter jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. On n'y est pas encore — l'application complète est progressive — mais la direction est claire.
La suite pour Marc
Prédica a relancé son module fin avril, après deux mois de remédiation. L'AIPD est faite. L'information aux assurés est en place. Le contrat avec le fournisseur GPAI a été revu avec des clauses de documentation et de traçabilité conformes au règlement délégué de mars 2026.
Le module fonctionne toujours. Les courtiers l'utilisent toujours. Mais il est désormais encadré par une architecture de conformité qui représente environ 12 % du coût total du produit. Marc considère que c'est cher. Moi, je considère que c'est le prix d'un produit qui ne vous expose pas à un contrôle CNIL dont vous ne pouvez pas sortir indemne.
La CNIL a annoncé que les contrôles sur les systèmes IA allaient s'intensifier au second semestre 2026. L'autorité nationale de surveillance IA Act — dont les contours restent flous malgré le décret de mars 2026 — va commencer à exercer ses prérogatives. Et la Directive Responsabilité IA 2024/2853 ouvre des recours civils aux victimes de décisions algorithmiques, avec une présomption de causalité qui inverse la charge de la preuve.
Trois fronts simultanés. Administratif, réglementaire, civil.
Marc le sait maintenant. La question n'est pas de savoir si votre produit IA sera examiné. La question est de savoir si vous serez prêt quand il le sera.
Pour vérifier votre propre niveau de conformité, téléchargez notre checklist gratuite conformité IA Act + template DPA — mise à jour avec les obligations GPAI du règlement délégué de mars 2026.