91 avis EDPB, 64 décisions CNIL : le centre de gravité de la réglementation IA bascule vers Bruxelles
91 avis EDPB, 64 décisions CNIL : le centre de gravité de la réglementation IA bascule vers Bruxelles
Un chiffre a retenu mon attention en compilant notre base de veille cette semaine : sur les 172 documents réglementaires que nous suivons autour de l'IA, plus de la moitié — 91 exactement — émanent du Comité européen de la protection des données (EDPB/CEPD). La CNIL, elle, en produit 64. Le Journal Officiel de l'UE (EUR-Lex) pèse 8 textes, Legifrance 9.
Autrement dit, pour chaque décision publiée par la CNIL sur le sujet IA, le CEPD en émet 1,4. Le rapport de force normatif se déplace, et beaucoup d'entreprises françaises ne s'en rendent pas compte.
La répartition brute des sources
| Source | Documents suivis | Part du corpus | Nouveautés (dernier scrape) |
|---|---|---|---|
| EDPB / CEPD | 91 | 52,9 % | 4 |
| CNIL | 64 | 37,2 % | 0 |
| Legifrance | 9 | 5,2 % | 0 |
| EUR-Lex | 8 | 4,7 % | 0 |
| Total | 172 | 100 % | 4 |
Les 4 nouveaux documents du dernier relevé proviennent tous de l'EDPB. Zéro du côté CNIL, Legifrance ou EUR-Lex. Ce n'est pas un hasard ponctuel : le CEPD produit à un rythme soutenu depuis le début de l'année, porté par l'entrée en application progressive de l'IA Act.
Ce que produit l'EDPB — et pourquoi ça compte pour la France
Le CEPD ne sanctionne pas directement. Pas d'amendes spectaculaires, pas de communiqués de presse fracassants. Son influence est plus souterraine. Il émet des opinions contraignantes (article 64 du RGPD), des guidelines adoptées en plénière, des recommandations qui deviennent la doctrine de référence pour les 27 autorités nationales.
Quelques exemples concrets tirés de notre base :
- Opinion 15/2026 sur les critères de certification Europrivacy, qui redéfinit les conditions de transfert de données pour les systèmes IA certifiés
- Guidelines 1/2026 sur le traitement de données personnelles à des fins de recherche scientifique — un texte qui touche directement l'entraînement des modèles d'IA sur des datasets européens
- Avis conjoint EDPB-EDPS 4/2026 sur le Cybersecurity Act 2 et les amendements à NIS 2, qui croise cybersécurité et protection des données dans les systèmes automatisés
Trois textes. Aucun n'a fait la une des médias français. Les trois ont des implications concrètes pour quiconque déploie un système d'IA traitant des données personnelles en France.
Le cas spécifique de l'avis CEPD sur l'articulation IA Act / RGPD
En février 2026, le CEPD a publié un avis formel sur l'interprétation croisée de l'IA Act et du RGPD pour les traitements de données personnelles. Ce document clarifie — enfin — les zones grises entre les deux textes : qui est responsable de quoi, comment articuler l'AIPD (analyse d'impact relative à la protection des données) avec l'évaluation de conformité IA Act, quelle base légale invoquer pour l'entraînement de modèles GPAI.
Un DPO que j'ai croisé à une conférence AFCDP m'a résumé la situation en une phrase : « On lisait le RGPD en français, maintenant il faut lire l'EDPB en anglais. » Raccourci un peu brutal, mais pas faux.
La CNIL reste le bras armé — mais le cerveau est ailleurs
Soyons précis. La CNIL conserve un rôle irremplaçable : elle sanctionne. Quatre décisions liées à l'IA depuis décembre 2025, totalisant 550 000 euros d'amendes. Reconnaissance faciale sans base légale (50 000 €), chatbot sans information claire sur l'usage d'IA (150 000 €), profilage discriminatoire en recrutement (250 000 €), scoring crédit sans évaluation d'impact (100 000 €). Les montants grimpent. Notre bilan chiffré des sanctions CNIL IA détaille chaque cas.
Mais ces sanctions appliquent des principes définis en amont. La doctrine, les critères d'interprétation, les seuils de tolérance — tout cela se construit au niveau EDPB. La CNIL exécute une partition écrite à Bruxelles.
Ça ne plaira pas à tout le monde de le formuler ainsi.
Cartographie des obligations par source normative
| Obligation | Texte source | Autorité | Effet en France |
|---|---|---|---|
| AIPD obligatoire pour IA à risque élevé | IA Act, art. 9 + RGPD art. 35 | Commission EU + CEPD | Direct (règlement EU) |
| Transparence chatbot IA | IA Act, art. 52 | AI Office EU | Direct |
| Déclaration systèmes IA risque élevé | Arrêté du 28 février 2026 | Legifrance | Transposition nationale |
| Désignation autorité nationale IA Act | Décret n° 2026-XXX (mars 2026) | Legifrance | Transposition nationale |
| Critères certification transferts données IA | Opinion 15/2026 EDPB | CEPD | Doctrine contraignante |
| Interprétation IA Act / RGPD | Avis CEPD fév. 2026 | CEPD | Doctrine contraignante |
| Obligations fournisseurs GPAI | Règlement délégué mars 2026 | Commission EU | Direct |
Sept obligations. Trois relèvent directement de textes européens à application immédiate. Deux passent par la transposition française. Deux sont de la doctrine EDPB, théoriquement non contraignante mais systématiquement reprise par la CNIL dans ses décisions. La frontière entre soft law et hard law n'a jamais été aussi floue.
Le paradoxe du DPO français en 2026
Voilà la situation concrète d'un responsable conformité IA dans une entreprise française au printemps 2026 :
- Il doit surveiller 172 textes issus de 4 sources différentes
- 53 % de ces textes sont en anglais (publications EDPB)
- Les délais de transposition CNIL des guidelines EDPB varient de 3 à 18 mois
- Pendant ce temps, les sanctions tombent — sur la base des principes EDPB que la CNIL n'a pas encore formellement transposés
C'est un peu comme recevoir un PV pour excès de vitesse sur une route dont les panneaux n'ont pas encore été posés. Sauf que juridiquement, le RGPD est d'application directe, et les guidelines EDPB sont censées être « prises en compte » par les autorités nationales.
Digression nécessaire : ce décalage temporel n'est pas un bug, c'est une feature. L'architecture RGPD a toujours reposé sur le principe de responsabilité (accountability). Le régulateur ne prémâche pas tout. C'est à l'entreprise de s'informer, d'anticiper, de documenter. Les guidelines EDPB sont la boussole ; la CNIL est le contrôleur radar.
Ce que ces chiffres changent concrètement
Pour une entreprise française qui déploie un chatbot, un outil de scoring ou un système de recrutement assisté par IA, les implications sont nettes :
Première conséquence : la veille réglementaire ne peut plus se limiter à cnil.fr. Il faut intégrer edpb.europa.eu dans le scope de surveillance, en particulier les opinions article 64, les guidelines en consultation publique, et les avis conjoints EDPB-EDPS. Sur 91 documents EDPB dans notre base, au moins une douzaine touchent directement l'IA — le double régime IA Act / RGPD en est l'illustration la plus récente.
Deuxième conséquence : les entreprises qui attendent la « transposition CNIL » d'un texte EDPB pour agir prennent un risque. La formation restreinte de la CNIL cite régulièrement les guidelines EDPB dans ses décisions de sanction, même quand la CNIL n'a pas publié de recommandation spécifique sur le sujet en question.
Troisième conséquence : le coût de la conformité augmente mécaniquement. Suivre 172 textes réglementaires, dont 91 en anglais, exige des ressources que la plupart des PME et startups n'ont pas. D'où l'intérêt d'outils de veille automatisée — comme notre checklist conformité IA Act et template DPA, gratuits — pour structurer le minimum vital.
Pour ceux qui se posent encore les questions de base, notre FAQ sur la conformité IA Act couvre les 13 interrogations les plus fréquentes.
Ce qui arrive au second semestre 2026
L'IA Act entre en application par vagues. Les obligations relatives aux systèmes à risque élevé se déploient progressivement, et l'AI Office de la Commission publie déjà ses lignes directrices (celle d'avril 2026 sur la classification des systèmes à risque élevé est dans notre corpus). Parallèlement, le CEPD intensifie ses travaux sur la pseudonymisation (Guidelines 01/2025, encore en consultation), le traitement des données pour la recherche scientifique (Guidelines 1/2026), et l'interplay DSA-RGPD (Guidelines 3/2025).
Le flux ne va pas ralentir. Il va accélérer.