L'IA Act ne concerne pas votre chatbot — et 550 000 € de sanctions CNIL le prouvent

Un DPO m'a raconté une scène surréaliste le mois dernier. Sa direction venait de débloquer 40 000 € pour un audit « IA Act chatbot » commandé à un cabinet parisien. Le livrable ? Soixante-douze pages classifiant leur bot de support client comme système « à risque élevé ». Recommandation finale : constituer un dossier technique complet, désigner un représentant auprès de l'autorité nationale, documenter les jeux de données d'entraînement.

Le chatbot en question répondait à trois types de questions : horaires d'ouverture, suivi de commande, politique de retour.

Risque élevé, vraiment ?

Ce que dit réellement l'IA Act sur les chatbots

Le règlement européen 2024/1689 classe les systèmes d'IA en quatre niveaux : risque inacceptable (interdit), risque élevé (obligations lourdes), risque limité (transparence) et risque minimal (rien). Les chatbots, sauf exception, tombent dans la catégorie « risque limité » au titre de l'article 50. L'obligation se résume à une seule exigence : informer l'utilisateur qu'il interagit avec une IA.

C'est tout.

Pas de dossier technique à constituer. Pas d'évaluation de conformité par un organisme notifié. Pas de documentation des jeux de données. Pas de système de gestion des risques au sens de l'article 9. Ces obligations-là concernent les systèmes à risque élevé — listés à l'annexe III du règlement — qui touchent au recrutement, au crédit, à la justice, à l'identification biométrique, aux infrastructures critiques.

Un chatbot de service client, un assistant FAQ, un bot conversationnel de prise de rendez-vous : risque limité. Les lignes directrices publiées le 1er avril 2026 par l'AI Office de la Commission européenne le confirment en précisant les critères de classification des systèmes à risque élevé — et les chatbots génériques n'y figurent pas.

Les chiffres CNIL que personne ne lit correctement

Depuis décembre 2025, la CNIL a prononcé 4 sanctions liées à des systèmes d'intelligence artificielle, pour un total de 550 000 €. Ce montant circule partout. Il alimente le discours anxiogène des vendeurs de conformité. Mais décomposons-le.

Trois constats sautent aux yeux. D'abord, 64 % du montant total (350 000 €) cible des systèmes qui relèveraient du « risque élevé » ou supérieur sous l'IA Act — profilage RH, scoring crédit, reconnaissance faciale. Des usages sans rapport avec un chatbot. Ensuite, la seule sanction visant un chatbot (150 000 €) repose sur un manquement RGPD basique : le défaut d'information. L'entreprise n'avait pas mentionné que son bot RH utilisait de l'IA pour filtrer les candidatures — un cas très spécifique, loin du chatbot FAQ standard. Enfin, aucune de ces sanctions ne s'appuie sur l'IA Act. Elles reposent intégralement sur le RGPD. Le décret de mars 2026 a bien désigné l'autorité nationale de surveillance, mais à ce jour aucune procédure IA Act n'a été ouverte.

La vraie menace n'est pas où vous regardez

Voilà la contradiction que l'industrie de la conformité refuse d'assumer : elle vend des audits IA Act chatbot à des entreprises dont le chatbot est classé « risque limité », pendant que les sanctions réelles frappent des systèmes de profilage et de scoring. Le cabinet qui a facturé 40 000 € au DPO de mon anecdote aurait mieux servi son client en auditant ses processus RH ou son algorithme de scoring interne.

Les 91 documents publiés par le CEPD (Comité Européen de la Protection des Données) à date traitent massivement de profilage automatisé, de décisions algorithmiques et de transferts de données — pas de chatbots. Même chose côté Legifrance : l'arrêté du 28 février 2026 sur les déclarations de systèmes IA ne concerne que les systèmes « à risque élevé ». Le chatbot, encore une fois, n'est pas dans le viseur.

J'admets une nuance. Certains chatbots franchissent la ligne. Un bot qui note les candidats dans un processus de recrutement, un assistant qui influence l'octroi d'un prêt, un système conversationnel utilisé en contexte médical pour du triage : ceux-là basculent en risque élevé. Le critère n'est pas la technologie (chatbot) mais l'usage (décision impactante sur une personne). Et c'est exactement ce que montrent les sanctions CNIL : le chatbot sanctionné à 150 000 € n'était pas un simple FAQ, c'était un outil RH filtrant des candidatures. Comme le détaille notre étude de cas sur ce chatbot RH à 150 000 €, le problème n'était pas le format chatbot mais la fonction de tri.

Ce que votre chatbot doit réellement faire

Si votre chatbot est un outil de support, de FAQ, de prise de rendez-vous ou de navigation produit — et c'est le cas de l'écrasante majorité des déploiements en France — vos obligations IA Act se comptent sur les doigts d'une main. Obligation de transparence : mentionner que l'utilisateur interagit avec une IA. C'est l'article 50 du règlement, rien de plus.

Côté RGPD, les obligations chatbot restent celles de tout traitement de données personnelles : base légale (consentement ou intérêt légitime), information des personnes, registre des traitements, durée de conservation. Des obligations que vous devriez déjà remplir, IA ou pas. Notre comparatif RGPD vs IA Act pour les systèmes IA détaille la superposition des deux régimes.

La panique actuelle est auto-entretenue. Elle se nourrit d'un amalgame entre « chatbot » et « système d'IA » comme si tous les chatbots relevaient du même régime. Les 172 textes réglementaires référencés dans notre base de veille montrent une réalité plus nuancée : la pression réglementaire se concentre sur les usages à fort impact sociétal, pas sur les assistants conversationnels.

Le business model de la peur chatbot

Il faut appeler les choses par leur nom. Une partie de l'écosystème conformité a un intérêt financier à classer le maximum de systèmes en « risque élevé ». Plus le périmètre est large, plus les missions d'audit sont volumineuses, plus les formations sont longues, plus les honoraires montent. Le chatbot est la cible idéale : tout le monde en a un, personne ne comprend vraiment la classification IA Act, et le mot « intelligence artificielle » suffit à déclencher un réflexe de panique réglementaire.

Ce mécanisme n'est pas nouveau. On l'a observé avec le RGPD en 2018 : des DPO externalisés facturaient des audits cookies à des boulangeries. Huit ans plus tard, le même schéma se répète avec l'IA Act. La différence, c'est que les montants en jeu sont plus élevés et que la confusion entre niveaux de risque est entretenue — parfois sciemment — par ceux qui devraient la dissiper.

Ce qui devrait vraiment vous inquiéter

Plutôt que de commander un audit IA Act pour votre chatbot FAQ, vérifiez si vos systèmes de scoring interne disposent d'une analyse d'impact (AIPD). Vérifiez que vos outils de présélection RH respectent l'article 22 du RGPD sur les décisions automatisées. Vérifiez que vous avez documenté la base légale de chaque traitement IA. Ce sont ces manquements que la CNIL sanctionne — pas l'absence de bandeau « ceci est une IA » sur votre bot de support.

Et quand l'IA Act entrera pleinement en application en août 2026, les premières mises en demeure viseront les systèmes à risque élevé insuffisamment documentés. L'annexe III les liste : biométrie, infrastructure critique, emploi, crédit, justice, migration. Pas les chatbots.

Rien n'empêche de rester vigilant. Si demain votre chatbot intègre du scoring comportemental ou du profilage décisionnel, le curseur bougera. Mais tant que votre bot reste un assistant informatif, le cadre est clair et les obligations sont légères. L'énergie (et le budget) seraient mieux investis ailleurs.

Parfois la meilleure conformité, c'est de savoir ce qui ne vous concerne pas.

Pour l'étude détaillée des sanctions touchant le profilage et le recrutement IA, consultez notre analyse de la sanction CNIL de 250 000 € pour profilage discriminatoire.

Vérifiez gratuitement si votre système relève du risque élevé avec notre checklist conformité IA Act + template DPA.