100 000 € d'amende CNIL : comment Marc, fondateur d'une fintech, a sauvé son scoring IA du naufrage réglementaire
Marc referme son laptop d'un geste sec. Il est 22h17, un jeudi de janvier 2026. Sur l'écran de son téléphone, un article de presse résume la dernière sanction CNIL : 100 000 € d'amende contre une entreprise qui faisait du scoring crédit par IA sans avoir réalisé d'évaluation d'impact. Company W, disent les documents officiels. Marc ne connaît pas Company W. Mais il connaît très bien ce qu'elle faisait. Parce que sa propre boîte fait exactement la même chose.
Trois ans que Marc a cofondé LendScore — nom fictif, histoire vraie dans ses grandes lignes. Une fintech B2B qui aide les courtiers en crédit immobilier à pré-qualifier leurs dossiers grâce à un algorithme maison. Rien de spectaculaire en apparence : le modèle ingère des données financières, croise quelques signaux, attribue un score de 0 à 100. Les courtiers adorent. L'outil leur fait gagner des heures. Personne ne s'était jamais posé la question de savoir si c'était légal.
Enfin, si. Marc s'était posé la question. Vaguement. Un jour, entre deux sprints produit. Il avait googlé "RGPD scoring crédit" et lu un article de blog rassurant. Ça lui avait suffi.
Ça ne suffit plus.
Le déclic : une amende qui ressemble trop à ce qu'on fait
La décision CNIL contre Company W date du 5 décembre 2025 (source : CNIL, décisions publiques). Le montant — 100 000 euros — peut sembler modeste comparé aux sanctions géantes contre les GAFAM. Pour une boîte de 30 personnes, c'est un trimestre de trésorerie. Le motif exact : scoring crédit sans évaluation d'impact IA. Autrement dit, Company W utilisait un algorithme pour évaluer la solvabilité de particuliers, sans avoir documenté les risques que ça posait pour les droits des personnes concernées.
Marc relit trois fois le résumé de la décision. Puis il ouvre un Google Doc et tape : "On est dans la merde ?"
Le lendemain matin, il envoie le lien à Léa, sa CTO associée, et à Karim, le lead dev qui a construit le modèle de scoring. Léa répond en 11 minutes : "Je regarde." Karim met quatre heures. Sa réponse tient en deux mots : "Ah ouais."
Ce que Marc ne savait pas (et que beaucoup de fondateurs ignorent)
Voilà le truc que Marc découvre en creusant — et je simplifie volontairement, parce que le droit européen a cette capacité unique à rendre incompréhensible ce qui est au fond assez logique.
Son scoring crédit tombe sous deux régimes simultanés :
Le RGPD d'abord, en vigueur depuis 2018. L'article 22 interdit les décisions entièrement automatisées produisant des effets juridiques ou significatifs sur les personnes. Un score de crédit qui détermine si votre dossier passe ou non ? C'est pile dedans. Obligation : intervention humaine significative, information de la personne, droit de contestation. Marc n'avait rien de tout ça. Son outil crachait un score, le courtier le prenait pour argent comptant.
L'IA Act ensuite. Depuis le décret du 20 mars 2026 (publié au Journal Officiel via Legifrance), la France a désigné son autorité nationale de surveillance. Le scoring crédit figure explicitement dans l'annexe III de l'IA Act comme système à risque élevé. Ce qui déclenche une cascade d'obligations : documentation technique, gestion des risques, contrôle humain, transparence, enregistrement dans la base de données européenne.
Et puis il y a le troisième étage de la fusée, celui que personne ne voit venir. Le 15 février 2026, le CEPD (Comité Européen de la Protection des Données) a publié un avis clarifiant l'articulation entre IA Act et RGPD. En résumé : les deux s'appliquent en parallèle, pas en substitution. Se conformer à l'un ne dispense pas de l'autre. Double jeu d'obligations. Double risque de sanction.
Marc commence à comprendre pourquoi Company W s'est fait rattraper.
Le week-end où tout a basculé
Je me permets une parenthèse. J'ai accompagné une dizaine de startups sur des sujets de conformité données ces dernières années, et le schéma se répète à chaque fois : il y a un week-end charnière. Celui où le fondateur passe de "c'est un sujet juridique, pas mon problème" à "OK, c'est un sujet business, et c'est mon problème." Pour Marc, c'est le week-end du 18-19 janvier 2026.
Il fait ce que tout fondateur rationnel ferait : il appelle un avocat spécialisé RGPD/IA. Pas un généraliste. Un cabinet qui connaît l'IA Act, qui a lu les lignes directrices de l'AI Office publiées le 1er avril 2026 sur les systèmes à risque élevé, et qui sait traduire le jargon réglementaire en actions concrètes.
Le diagnostic tombe en une semaine. Voici ce que l'avocate — appelons-la Maître Renard — identifie :
| Obligation réglementaire | Texte source | Statut chez LendScore | Risque estimé |
|---|---|---|---|
| Évaluation d'impact (AIPD/PIA) | RGPD art. 35 + IA Act art. 9 | Absente | Critique — motif exact de l'amende Company W |
| Information des personnes scorées | RGPD art. 13-14 + IA Act art. 52 | Inexistante | Élevé — 150 000 € infligés à Company Y pour défaut similaire |
| Documentation technique du modèle | IA Act art. 11, annexe IV | Partielle (README Git) | Modéré — l'arrêté du 28 février 2026 précise les modalités |
| Contrôle humain effectif | RGPD art. 22 + IA Act art. 14 | Aucun — score automatique | Critique — le courtier ne "contrôle" rien |
| Enregistrement base UE | IA Act art. 49 | Non fait | Modéré mais bloquant à terme |
| Journalisation des décisions | IA Act art. 12 | Logs techniques bruts, non conformes | Modéré |
Six manquements. Dont deux critiques. Marc accuse le coup.
La remise en conformité, pas à pas (et pas sans douleur)
Maître Renard propose un plan en trois phases. Marc espérait deux semaines. Ce sera trois mois. Minimum.
Phase 1 — Février 2026 : le diagnostic et la documentation
Karim, le lead dev, passe deux semaines à documenter le modèle de scoring. Pas un README de trois paragraphes cette fois. Une documentation technique conforme à l'annexe IV de l'IA Act : description du système, données d'entraînement, métriques de performance, limites connues, biais identifiés. Il découvre au passage que le dataset d'entraînement surreprésentait les dossiers franciliens. Le modèle scorait mieux les profils parisiens que les profils ruraux. Pas une intention discriminatoire. Juste un biais de données que personne n'avait pensé à chercher.
C'est le genre de découverte qui vous réveille à 3h du matin.
Phase 2 — Mars 2026 : l'évaluation d'impact et le contrôle humain
L'AIPD (Analyse d'Impact relative à la Protection des Données) prend trois semaines. L'avocate guide, Karim fournit la matière technique, Marc valide les choix business. Ils documentent les risques : discrimination potentielle, opacité du scoring, absence de recours. Pour chaque risque, une mesure de mitigation. Le biais géographique ? Rééquilibrage du dataset et monitoring continu. L'opacité ? Explication individualisée du score en langage clair.
Le contrôle humain, c'est le sujet qui fâche. Jusqu'ici, le score sortait de l'algo et le courtier cliquait sur "valider" sans même regarder le détail. Maître Renard est catégorique : ça ne constitue pas un contrôle humain au sens de l'article 14 de l'IA Act. Le contrôle doit être "effectif", pas cosmétique. Concrètement, ça veut dire que le courtier doit avoir accès aux facteurs principaux du score, pouvoir le contester, et que sa décision de passer outre doit être techniquement possible et traçable.
Marc redesigne l'interface. Ça prend du temps. Ça coûte un sprint produit entier. Léa râle. Elle a raison — mais l'alternative c'est 100 000 euros et un article dans la presse.
Phase 3 — Avril 2026 : les finitions et l'enregistrement
Dernière ligne droite. L'information des personnes concernées. Chaque emprunteur dont le dossier passe par LendScore doit savoir qu'un algorithme d'IA participe à l'évaluation de son dossier. Comment, sur quelle base, avec quels droits. Marc ajoute une page dédiée dans le parcours du courtier, avec un résumé en langage courant transmis au client final. Pas un bandeau cookie incompréhensible. Une vraie explication.
L'enregistrement dans la base de données européenne (article 49 de l'IA Act) est la partie la plus simple — mais elle nécessite que tout le reste soit en place. Un formulaire en ligne, des pièces justificatives, et l'engagement de maintenir la documentation à jour.
Fin avril, LendScore est conforme. Trois mois de travail, un sprint produit sacrifié, 15 000 euros d'honoraires juridiques. Marc résume la chose ainsi lors d'un event tech à Lyon : "Quinze mille euros pour ne pas en payer cent mille. Meilleur ROI de ma carrière."
Ce que cette histoire dit sur l'état de la conformité IA en France
Le cas de Marc n'est pas isolé. Les données CNIL montrent que les quatre sanctions IA de la période décembre 2025 — mars 2026 totalisent 550 000 euros. Quatre entreprises, quatre angles morts différents : reconnaissance faciale sans base légale (50 000 €), chatbot sans transparence IA (150 000 €), profilage discriminatoire en recrutement (250 000 €), scoring crédit sans évaluation d'impact (100 000 €).
Le pattern est limpide. La CNIL ne cible pas les géants. Elle cible les cas d'usage courants. Ceux que des centaines d'entreprises françaises déploient en ce moment sans se poser de questions.
Et ça va s'accélérer. Le décret du 20 mars 2026 a officialisé l'autorité nationale de surveillance. L'arrêté du 28 février 2026 a fixé les procédures de déclaration des systèmes à risque élevé. Les lignes directrices de l'AI Office du 1er avril 2026 ont clarifié ce qui relève du risque élevé et ce qui n'en relève pas. Tout le cadre est posé. L'enforcement suit.
Une nuance quand même — et elle est importante. La CNIL, dans ses décisions, prend en compte la bonne foi et les efforts de mise en conformité. Company W n'avait rien fait. Zéro documentation, zéro évaluation d'impact, zéro information. Si elle avait eu une AIPD partielle, un début de documentation, la sanction aurait probablement été réduite. La CNIL sanctionne l'inaction, pas l'imperfection. C'est une distinction que beaucoup de fondateurs ne font pas, et qui les paralyse.
Trois leçons que Marc retient (et qu'il partage gratuitement à qui veut les entendre)
Première leçon : le RGPD et l'IA Act ne sont pas deux sujets séparés. Pour un même système d'IA, il faut vérifier la conformité aux deux textes. L'avis du CEPD du 15 février 2026 l'a confirmé noir sur blanc. Si vous avez un chatbot qui collecte des données personnelles, il tombe sous le RGPD et sous les obligations de transparence IA Act. Notre comparatif IA Act vs RGPD pour les chatbots détaille les différences obligation par obligation.
Deuxième leçon : commencez par l'évaluation d'impact. C'est le document que la CNIL demande en premier lors d'un contrôle. Sans lui, tout le reste est suspect. L'article sur les sanctions CNIL IA et le retour de terrain d'une DPO montre comment une professionnelle a priorisé ses chantiers — l'AIPD était en tête de liste.
Troisième leçon : 15 000 euros de conformité valent mieux que 100 000 euros d'amende. C'est de l'arithmétique. Le calcul est encore plus favorable quand on ajoute le coût réputationnel, le temps perdu en procédure contradictoire, et le risque de perdre des clients B2B qui exigent désormais des garanties de conformité IA dans leurs appels d'offres.
Marc a un dernier conseil, qu'il donne toujours en fin de présentation. Il dit : "Ne commencez pas par l'avocat. Commencez par la checklist." C'est vrai. Avant de mobiliser un cabinet à 300 euros de l'heure, il faut savoir où on en est. Quelles obligations s'appliquent à mon système ? Est-ce que je suis à risque élevé ? Qu'est-ce que j'ai déjà documenté ?
Si vous êtes dans la même situation que Marc il y a trois mois, notre checklist conformité IA Act et template DPA est un bon point de départ. Gratuit, sans inscription, conçu pour les fondateurs et CTO qui veulent un diagnostic rapide avant d'aller plus loin.
Le pire serait de ne rien faire et d'attendre le recommandé.