IA Act, CNIL, RGPD et chatbots : 13 questions que se posent vraiment les entreprises en avril 2026

Un DPO d'une ETI parisienne m'a posé sept de ces questions en un seul email la semaine dernière. Sept. C'est là que j'ai compris que le flou réglementaire n'avait pas reculé d'un centimètre depuis l'entrée en vigueur progressive de l'IA Act. Les textes s'empilent — notre veille agrège 140 sources réglementaires issues de la CNIL, d'EUR-Lex, de Legifrance et du CEPD — mais les réponses opérationnelles restent rares.

Voici celles que je donne le plus souvent.

1. L'IA Act est-il vraiment applicable en France en avril 2026 ?

Partiellement. Le règlement 2024/1689 est entré en vigueur le 1er août 2024, mais son application s'échelonne. En avril 2026, les interdictions de pratiques IA (article 5) sont actives depuis février 2025. Les obligations de transparence pour les chatbots s'appliquent depuis août 2025. Les exigences complètes pour les systèmes à risque élevé ne seront pleinement exigibles qu'en août 2026. La Commission a publié en avril 2026 ses lignes directrices sur la classification des systèmes à risque élevé. Côté français, le décret n° 2024-573 sur l'IA dans l'administration publique ajoute une couche pour le secteur public.

2. Mon chatbot est-il concerné par le RGPD, par l'IA Act, ou par les deux ?

Les deux. Le RGPD s'applique dès que le chatbot traite des données personnelles — ce qui couvre l'immense majorité des déploiements. L'IA Act impose en parallèle des obligations de transparence : l'utilisateur doit savoir qu'il interagit avec une IA. Le CEPD a publié un avis en février 2026 pour clarifier l'articulation entre ces deux textes. Point crucial : la base légale RGPD doit être déterminée indépendamment de la classification IA Act. Les deux cadres coexistent.

3. Combien d'amendes CNIL liées à l'IA ont été prononcées récemment ?

Quatre sanctions entre décembre 2025 et mars 2026, pour un total de 550 000 euros. Le détail : 250 000 € pour un profilage discriminatoire en recrutement, 150 000 € pour un chatbot déployé sans mention d'IA, 100 000 € pour un scoring crédit sans analyse d'impact, et 50 000 € pour un défaut de base légale en reconnaissance faciale. Les montants restent modestes comparés au plafond théorique du RGPD (4 % du CA mondial), mais la fréquence des contrôles ciblés sur l'IA s'accélère nettement.

4. Mon chatbot doit-il afficher une mention « vous parlez à une IA » ?

Oui, c'est une obligation directe de l'IA Act (article 50, alinéa 1). Tout système d'IA interagissant avec des personnes physiques doit signaler sa nature artificielle de manière claire et compréhensible. La sanction de 150 000 € prononcée en février 2026 visait précisément ce manquement. L'absence de mention constitue aussi un défaut d'information au sens du RGPD (articles 13 et 14). Le cumul des deux infractions est tout à fait possible, même si la CNIL n'a pas encore prononcé de double sanction sur ce fondement.

5. Faut-il réaliser une AIPD (analyse d'impact) avant de déployer un outil IA ?

Ça dépend du traitement. Le RGPD exige une AIPD lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits des personnes — profilage, décision automatisée, traitement à grande échelle. Pour un chatbot de service client basique, c'est discutable. Pour un scoring crédit ou un outil de tri de CV, c'est obligatoire. L'amende de 100 000 € pour scoring crédit sans AIPD illustre bien le risque. Sous l'IA Act, une évaluation de conformité s'ajoute pour les systèmes classés à risque élevé, mais les critères précis ne seront pleinement stabilisés qu'en août 2026.

6. Comment savoir si mon système IA est classé « risque élevé » ?

L'annexe III du règlement 2024/1689 liste les domaines concernés : biométrie, infrastructures critiques, éducation, emploi, services essentiels, maintien de l'ordre, immigration, justice. Si votre système IA opère dans l'un de ces domaines et influence une décision significative pour une personne, il y a de fortes chances qu'il tombe dans cette catégorie. Les lignes directrices publiées en avril 2026 par l'AI Office de la Commission européenne précisent les seuils de matérialité. Un chatbot de support produit n'est généralement pas concerné. Un outil de pré-sélection de candidats, si.

7. Que risque concrètement une entreprise en cas de non-conformité IA Act ?

Les amendes prévues sont substantielles : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour violation des pratiques interdites, 15 millions ou 3 % pour les systèmes à risque élevé. Ces plafonds ne sont pas encore testés — aucune sanction purement IA Act n'a été prononcée. En pratique, ce sont les sanctions CNIL sous le RGPD qui frappent. 550 000 € en quatre mois, ce n'est qu'un début.

8. Le CEPD a-t-il un rôle dans l'application de l'IA Act ?

Pas directement. L'IA Act crée un AI Office européen et des autorités nationales de surveillance du marché. Mais le CEPD intervient dès que l'IA implique des données personnelles — la quasi-totalité des cas réels. Son avis de février 2026 sur l'articulation IA Act / RGPD fait référence. Notre veille recense 59 documents EDPB/CEPD, dont plusieurs traitent directement de l'intelligence artificielle.

9. Les modèles de langage (GPT, Claude, Mistral) sont-ils encadrés spécifiquement ?

Oui, via le chapitre V de l'IA Act sur les modèles d'IA à usage général (GPAI). Un règlement délégué publié en mars 2026 précise les obligations : documentation technique, transparence sur les données d'entraînement, respect du droit d'auteur. Les fournisseurs de GPAI à risque systémique doivent aussi évaluer leur modèle et signaler les incidents graves. OpenAI, Anthropic, Mistral AI sont concernés. Si vous utilisez ces modèles via API, vous héritez de certaines obligations en tant que déployeur.

10. Quelle différence entre « fournisseur » et « déployeur » dans l'IA Act ?

Le fournisseur développe le système IA et le met sur le marché. Le déployeur l'utilise dans son activité professionnelle. Une startup qui intègre GPT-4 dans son chatbot est déployeur du modèle et fournisseur de son propre système — double casquette que beaucoup sous-estiment. Le fournisseur assure la conformité technique. Le déployeur vérifie que l'usage respecte le cadre et informe les utilisateurs finaux.

11. La CNIL peut-elle sanctionner une entreprise pour un manquement à l'IA Act ?

Pas en l'état. La CNIL est l'autorité RGPD. L'IA Act prévoit la désignation d'autorités nationales de surveillance du marché, qui en France devrait être l'ARCEP ou une entité dédiée — le choix n'est pas encore finalisé. Mais la CNIL peut sanctionner sur la base du RGPD tout traitement de données personnelles réalisé via un système IA. Les quatre amendes récentes le prouvent. En pratique, le croisement est permanent : une non-conformité IA Act liée aux données personnelles est aussi une non-conformité RGPD.

12. Quels textes français complètent l'IA Act et le RGPD sur le terrain ?

Plusieurs. La loi Informatique et Libertés de 1978 (consolidée) reste le socle national. La loi SREN de mai 2024 ajoute des règles sur l'espace numérique. Le décret n° 2024-573 encadre l'IA dans l'administration publique. Notre veille suit 9 textes Legifrance directement pertinents. L'empilement n'est pas toujours lisible — c'est un euphémisme — et rares sont les juristes qui maîtrisent l'ensemble du puzzle.

13. Par où commencer pour mettre son IA en conformité ?

Trois priorités. Cartographier tous les systèmes IA déployés et les classifier selon l'annexe III de l'IA Act. Vérifier que chaque traitement de données personnelles dispose d'une base légale RGPD valide et d'une information transparente. Documenter : AIPD quand requise, registre des traitements à jour, politique de transparence IA visible. Notre checklist conformité IA Act et template DPA gratuits couvrent ces trois axes.

Sources de données : CNIL décisions publiques (64 entrées), EUR-Lex (8 textes), Legifrance (9 textes), avis CEPD/EDPB (59 documents). Dernière mise à jour de la veille : 26 avril 2026.

Pour aller plus loin, notre analyse des 550 000 € d'amendes CNIL en chiffres détaille chaque sanction. Le deep dive sur la sanction recrutement IA à 250 000 € décortique le raisonnement juridique de la formation restreinte. Et si vous déployez un chatbot, le comparatif IA Act vs RGPD clarifie les obligations qui se chevauchent.