IAActs

Déployer une IA en France à partir de mai 2026 : 12 questions sur les deadlines, la CNIL et vos vraies obligations

Publié le 2026-04-30 | Mots-clés :

Déployer une IA en France à partir de mai 2026 : 12 questions sur les deadlines, la CNIL et vos vraies obligations

Le mois dernier, une responsable juridique d'un éditeur SaaS lyonnais m'a envoyé un tableau Excel de 47 lignes. Chaque ligne correspondait à un texte réglementaire qu'elle tentait de relier à son chatbot de support client. Quarante-sept. Elle en avait oublié une centaine.

Notre base de veille recense aujourd'hui 172 textes et documents réglementaires provenant de quatre sources : décisions CNIL, Journal Officiel de l'UE, Legifrance et avis du CEPD. Le mille-feuille est réel. Mais toutes ces couches ne vous concernent pas de la même manière, ni au même moment.

Voici les douze questions que je reçois le plus depuis début avril, avec des réponses aussi directes que le sujet le permet.

1. Quelles sont les prochaines deadlines de l'IA Act qui me concernent concrètement ?

Deux échéances structurantes arrivent. La première, en août 2026, rend pleinement applicables les obligations pour les systèmes d'IA classés à risque élevé — documentation technique, gestion des risques, supervision humaine. La seconde concerne les modèles d'IA à usage général (GPAI) : la Commission européenne a publié en mars 2026 un règlement délégué qui précise les obligations des fournisseurs de ces modèles. Si vous intégrez un LLM tiers dans votre produit, ce texte vous vise directement.

Côté transparence, la deadline est déjà passée : depuis août 2025, tout système conversationnel doit indiquer à l'utilisateur qu'il interagit avec une IA. Les 150 000 € infligés par la CNIL à Company Y en février 2026, précisément pour un chatbot sans information claire, montrent que ce n'est pas théorique.

2. Le décret d'application français de mars 2026 change-t-il quelque chose pour le secteur privé ?

Le décret n° 2026-XXX, publié en mars 2026, désigne l'autorité nationale de surveillance de l'IA Act en France. C'est une étape institutionnelle — pas directement opérationnelle pour les entreprises. Mais il a un effet indirect. Tant qu'aucune autorité n'était formellement désignée, la surveillance reposait presque exclusivement sur la CNIL via le RGPD. L'émergence d'un superviseur IA dédié va progressivement redistribuer les compétences.

Pour l'instant, en pratique, la CNIL reste votre interlocuteur principal. Les 4 sanctions IA prononcées depuis janvier 2026 l'ont toutes été sur le fondement du RGPD, pas de l'IA Act.

3. 172 textes réglementaires : comment faire le tri ?

Ce chiffre vient de notre agrégation brute de quatre sources (64 éléments CNIL, 91 documents CEPD, 8 textes EUR-Lex, 9 textes Legifrance). Tous ne sont pas des obligations contraignantes. Beaucoup sont des guides, des avis, des fiches pratiques.

Pour un déploiement IA standard en France, les textes qui comptent vraiment tiennent sur les doigts de deux mains : le RGPD, la loi Informatique et Libertés consolidée (1978, modifiée en 2018), le règlement IA Act 2024/1689, le décret n° 2024-573 sur l'IA dans l'administration publique (si vous êtes dans le secteur public), et les lignes directrices de la Commission sur les systèmes à risque élevé publiées en avril 2026. Le reste est utile pour approfondir. Pas pour démarrer.

4. Mon système d'IA est-il « à risque élevé » au sens de l'IA Act ?

C'est la question la plus fréquente et la plus mal comprise. L'IA Act ne classe pas les technologies, il classe les usages. Un même modèle peut être à risque élevé dans un contexte et sans classification dans un autre. Les domaines systématiquement à risque élevé incluent le recrutement, l'évaluation de crédit, la gestion de l'accès aux services publics essentiels, la surveillance biométrique.

Les lignes directrices publiées par l'AI Office de la Commission européenne en avril 2026 précisent justement ces critères de classification. Si vous faites du scoring dans le recrutement ou le crédit — domaines dans lesquels la CNIL a déjà sanctionné (250 000 € pour Company Z, 100 000 € pour Company W) — la réponse est quasi certainement oui.

5. L'avis du CEPD de février 2026 sur l'articulation IA Act / RGPD, ça sert à quoi en pratique ?

Cet avis clarifie un flou qui paralysait beaucoup d'entreprises : quand l'IA Act et le RGPD exigent des choses similaires mais pas identiques, lequel prime ? Réponse du CEPD : les deux s'appliquent en parallèle, mais le RGPD l'emporte pour tout ce qui touche aux données personnelles. L'IA Act ne crée pas d'exemption.

Concrètement, si vous réalisez une analyse d'impact au titre de l'IA Act pour un système à risque élevé, cela ne remplace pas votre AIPD au titre du RGPD. Vous devrez les deux. C'est contraignant, mais au moins la zone grise est levée.

6. Quelles sanctions la CNIL a-t-elle prononcées contre des systèmes IA en 2026 ?

Quatre sanctions entre janvier et mars 2026, pour un total de 550 000 €. Voici le détail :

  • Company Z, janvier 2026 : 250 000 € — profilage automatisé discriminatoire dans un processus de recrutement.
  • Company Y, février 2026 : 150 000 € — chatbot sans information claire sur l'usage d'IA.
  • Company W, décembre 2025 : 100 000 € — scoring crédit sans AIPD.
  • Company X, mars 2026 : 50 000 € — défaut de base légale pour reconnaissance faciale IA.

Aucune ne s'appuie sur l'IA Act. Toutes reposent sur le RGPD. La CNIL n'a pas attendu le nouveau règlement pour agir.

7. Je déploie un chatbot client — quelles obligations s'appliquent vraiment ?

Deux régimes cumulatifs. Côté RGPD : base légale pour le traitement des données conversationnelles (souvent le consentement ou l'intérêt légitime, mais la CNIL s'est montrée sévère sur l'intérêt légitime appliqué à l'IA), information des utilisateurs, respect des droits d'accès et d'effacement, AIPD si le chatbot traite des données sensibles ou fait du profilage.

Côté IA Act : obligation de transparence (informer que l'interlocuteur est une IA), et potentiellement classification « risque élevé » si le chatbot prend des décisions impactant les droits des personnes — par exemple, refuser un service. Le non-respect de l'obligation de transparence seule a déjà valu 150 000 € à Company Y. Le message est clair.

8. Quelle base légale choisir pour entraîner un modèle IA sur des données personnelles ?

Sujet miné. La CNIL a organisé un webinaire en 2026 spécifiquement sur l'intérêt légitime appliqué au webscraping et à l'entraînement de systèmes IA. Le projet PANAME, un outil d'audit RGPD des modèles d'IA en cours de développement côté CNIL, vise d'ailleurs à mieux évaluer cette question.

L'intérêt légitime reste la base la plus utilisée, mais elle exige une mise en balance rigoureuse entre les intérêts du responsable de traitement et les droits des personnes concernées. Le consentement fonctionne rarement à l'échelle. Le contrat ne s'applique que si l'entraînement est nécessaire à l'exécution du service. La sanction de Company X (50 000 € pour défaut de base légale sur de la reconnaissance faciale) rappelle que le choix ne peut pas être approximatif.

9. Faut-il réaliser une AIPD pour chaque déploiement IA ?

Pas systématiquement, mais souvent en pratique. Le RGPD exige une analyse d'impact (AIPD) quand un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés. Pour l'IA, les critères déclencheurs s'accumulent vite : traitement à grande échelle, profilage, décision automatisée, données sensibles. La CNIL a sanctionné Company W de 100 000 € précisément pour absence d'AIPD sur un système de scoring crédit IA.

En parallèle, le CEPD a publié des recommandations spécifiques sur l'évaluation d'impact des traitements intégrant de l'IA. Ne pas la réaliser quand elle est requise reste l'un des manquements les plus courants — et les plus faciles à constater lors d'un contrôle.

10. Les modèles GPAI (ChatGPT, Mistral, etc.) imposent-ils des obligations à leurs utilisateurs ?

Oui, indirectement. Le règlement délégué de mars 2026 sur les GPAI cible d'abord les fournisseurs de ces modèles — OpenAI, Mistral, Google, etc. Mais si vous déployez un produit construit sur un modèle GPAI, vous devenez « déployeur » au sens de l'IA Act. Vous héritez alors d'obligations propres, notamment la transparence, la documentation des usages, et le respect des limites d'utilisation fixées par le fournisseur.

Un point souvent oublié : si vous fine-tunez un modèle ouvert, vous pourriez basculer du statut de déployeur à celui de fournisseur. Les implications en termes de conformité sont sensiblement différentes.

11. Quel lien entre la loi SREN et la réglementation IA ?

La loi Sécuriser et Réguler l'Espace Numérique (SREN), promulguée en mai 2024, n'est pas un texte IA au sens strict. Mais elle crée des obligations de transparence algorithmique pour les plateformes et les places de marché. Si votre système IA est intégré à une plateforme régulée, les obligations de la loi SREN se superposent à celles du RGPD et de l'IA Act.

Le décret n° 2023-1122 sur la régulation des algorithmes de recommandation ajoute une couche supplémentaire pour les services utilisant du contenu personnalisé. L'empilement n'est pas anecdotique : c'est précisément le mille-feuille réglementaire que redoutent les DPO.

12. Par où commencer si je n'ai rien fait ?

Pas par les 172 textes. Trois actions prioritaires. D'abord, cartographier vos systèmes IA et identifier ceux qui traitent des données personnelles — c'est le socle RGPD. Ensuite, vérifier si l'un d'eux tombe dans la catégorie « risque élevé » de l'IA Act, en vous appuyant sur les lignes directrices de la Commission d'avril 2026. Enfin, réaliser les AIPD manquantes — c'est le manquement le plus sanctionné.

Notre checklist conformité IA Act et notre template DPA sont disponibles gratuitement sur le site IAActs. Ils couvrent les points essentiels pour un premier état des lieux, sans remplacer un audit complet.

L'écart entre les textes publiés et la réalité des entreprises reste massif. 172 documents dans notre base de veille, mais la plupart des équipes juridiques n'en ont lu qu'une poignée. Ce n'est pas un reproche — c'est un constat. Les trois mois qui viennent, jusqu'à la deadline d'août 2026, vont être décisifs pour les organisations qui déploient des systèmes à risque élevé. Celles qui s'y mettent maintenant auront un avantage mesurable sur celles qui attendront la première mise en demeure.

D'autres questions remontent régulièrement dans notre veille : la responsabilité civile des systèmes IA, le statut des données synthétiques, les spécificités sectorielles (santé, finance, éducation). Si l'un de ces sujets vous concerne, notre analyse du mille-feuille réglementaire et le guide pratique chatbot RGPD + IA Act creusent ces aspects.