L'IA Act est inutile : 550 000 € d'amendes CNIL prouvent que le RGPD régule déjà l'IA en France
L'IA Act est inutile : 550 000 € d'amendes CNIL prouvent que le RGPD régule déjà l'IA en France
Prenez n'importe quel fil LinkedIn compliance cette semaine. Vous y trouverez le même refrain : « Préparez-vous à l'IA Act ! », « Les obligations IA Act arrivent ! », « Êtes-vous prêt pour le nouveau cadre européen ? ». Des cabinets d'avocats vendent des audits IA Act à 15 000 €. Des consultants montent des formations certifiantes. Des DPO paniquent dans les open spaces.
Et pendant ce temps, la CNIL sanctionne. Depuis janvier 2026, quatre décisions totalisant 550 000 euros ont frappé des entreprises utilisant de l'intelligence artificielle en France. La base juridique de ces quatre sanctions ? Le RGPD. Pas l'IA Act. Zéro mention du règlement européen sur l'intelligence artificielle dans les motifs de condamnation.
Ce n'est pas un hasard.
Le score : RGPD 4, IA Act 0
Regardons les faits — pas les PowerPoints de conférence, les faits. Voici les quatre décisions CNIL rendues depuis le début de l'année sur des systèmes impliquant de l'IA :
| Décision | Entreprise | Montant | Motif principal | Base juridique |
|---|---|---|---|---|
| Janvier 2026 | Company Z | 250 000 € | Profilage automatisé discriminatoire (recrutement) | RGPD art. 22 + art. 5 |
| Février 2026 | Company Y | 150 000 € | Chatbot sans information sur l'usage d'IA | RGPD art. 13-14 |
| Mars 2026 | Company X | 50 000 € | Reconnaissance faciale sans base légale | RGPD art. 6 |
| Décembre 2025 | Company W | 100 000 € | Scoring crédit sans AIPD | RGPD art. 35 |
Quatre sanctions. Quatre fondements RGPD. L'IA Act brille par son absence. Le profilage automatisé et le défaut de base légale représentent à eux seuls 400 000 € sur 550 000 €, soit 73 % du montant total — un ratio que nous avions déjà détaillé dans notre analyse du dataset des sanctions CNIL 2026.
Quelqu'un va m'objecter : « Normal, l'IA Act n'est pas encore en application complète. » C'est vrai. Les obligations pour les systèmes à haut risque ne s'appliquent pleinement qu'à partir d'août 2026 pour la plupart des acteurs. Mais c'est exactement mon point.
Pourquoi le RGPD n'avait pas besoin de renfort
Le RGPD couvre déjà la quasi-totalité des risques que l'IA Act prétend adresser. Pas parfaitement, pas dans le même langage, mais en substance. Faisons le tour.
Le profilage automatisé ? L'article 22 du RGPD interdit les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques significatifs. C'est exactement ce qui a coûté 250 000 € à Company Z pour son algorithme de tri de CV discriminatoire. La CNIL n'a pas eu besoin de l'annexe III de l'IA Act pour qualifier le système de « haut risque ». L'article 22 suffisait.
La transparence ? Les articles 13 et 14 du RGPD imposent d'informer les personnes sur les traitements automatisés, la logique sous-jacente, les conséquences envisagées. Company Y a pris 150 000 € pour son chatbot opaque. L'obligation de marquer les contenus générés par IA (article 50 de l'IA Act) n'apporte qu'une couche supplémentaire sur un socle qui existait déjà.
L'évaluation d'impact ? L'article 35 du RGPD impose une analyse d'impact relative à la protection des données (AIPD) pour tout traitement « susceptible d'engendrer un risque élevé ». Le scoring crédit par IA de Company W rentre en plein dedans. Le concept d'évaluation de conformité de l'IA Act (chapitre 3, section 5) est structurellement similaire, avec un formalisme différent.
La vraie question que personne ne pose dans les cercles compliance : si le RGPD couvrait déjà ces cas, pourquoi avions-nous besoin d'un texte supplémentaire de 113 articles et 13 annexes ?
La réponse officielle ne tient pas
Les défenseurs de l'IA Act avancent trois arguments. Chacun mérite un examen sérieux.
« Le RGPD ne couvre pas les risques non liés aux données personnelles »
C'est le seul argument qui tient debout, et encore partiellement. L'IA Act adresse effectivement des risques systémiques — manipulation cognitive, exploitation de vulnérabilités, scoring social — qui dépassent le périmètre du RGPD. L'interdiction des systèmes de notation sociale (article 5.1.c) n'a pas d'équivalent dans la réglementation données personnelles.
Sauf que. En France, ces cas restent théoriques à ce stade. Aucune des 64 décisions CNIL référencées dans nos bases, aucun des 9 textes Legifrance pertinents ne porte sur un système d'IA posant un risque « non lié aux données personnelles ». Quand on examine le corpus réglementaire français — 172 documents agrégés entre CNIL, EUR-Lex, Legifrance et CEPD — la totalité des cas d'application concerne des traitements de données personnelles. Le RGPD n'est peut-être pas suffisant en théorie. En pratique, il couvre 100 % des cas sanctionnés.
« L'IA Act apporte un cadre spécifique adapté à la technologie »
C'est vrai sur le papier. La classification par niveau de risque (inacceptable, élevé, limité, minimal) est une innovation conceptuelle intéressante. Le registre européen des systèmes à haut risque, les obligations de documentation technique, les sandboxes réglementaires — tout cela est nouveau.
Mais « nouveau » ne signifie pas « nécessaire ». Le CEPD (Comité Européen de la Protection des Données) a publié en février 2026 un avis sur l'articulation entre IA Act et RGPD qui soulève précisément ce problème : les deux textes se chevauchent sur une surface considérable. L'avis recommande de « clarifier les situations de concours d'obligations » — une formulation diplomatique pour dire que personne ne sait vraiment lequel prime.
Résultat concret : les entreprises doivent maintenant jongler avec 136 textes réglementaires répartis sur 4 couches au lieu d'appliquer un cadre unique. Le mille-feuille réglementaire n'est pas une feature, c'est un bug.
« Les sanctions IA Act seront plus dissuasives »
L'IA Act prévoit des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Le RGPD plafonne à 20 millions ou 4 %. Sur le papier, l'IA Act frappe plus fort.
En pratique ? Le RGPD s'applique depuis 2018. Huit ans d'enforcement. La CNIL a sanctionné des entreprises IA avec le RGPD chaque trimestre en 2026. L'IA Act, lui, n'a produit zéro sanction en France. Le AI Office de la Commission européenne a publié des lignes directrices sur les systèmes à risque élevé en avril 2026, et un règlement délégué sur les modèles GPAI en mars 2026, mais pas un centime d'amende n'est sorti du texte.
Un texte qui ne mord pas n'est pas dissuasif. Point.
Le paradoxe du calendrier
Il y a un paradoxe que les promoteurs de l'IA Act esquivent systématiquement dans leurs présentations. Les pratiques interdites (article 5) — scoring social, manipulation subliminale, exploitation de vulnérabilités — sont théoriquement en vigueur depuis février 2025. Mais les mécanismes de surveillance et de sanction ne sont pas opérationnels. Le AI Office à Bruxelles monte en charge. Les autorités nationales de surveillance de marché ne sont pas toutes désignées. En France, le décret d'application pour désigner l'autorité compétente n'est toujours pas publié à la date où j'écris ces lignes.
On se retrouve donc dans une situation absurde : un texte qui interdit des pratiques mais ne peut pas les punir. Pendant ce temps, la CNIL — avec ses 25 ans d'expérience, ses pouvoirs de contrôle sur place, ses 270 agents — sanctionne effectivement. La machine administrative du RGPD fonctionne. Celle de l'IA Act n'existe pas encore concrètement en France.
Et c'est peut-être la donnée la plus parlante de toute cette analyse : parmi les 172 documents réglementaires de notre base, les 91 avis CEPD sont quasi exclusivement orientés RGPD. Le sujet IA Act émerge à peine dans la production normative européenne effective, malgré le bruit médiatique qu'il génère.
L'objection que je retourne contre moi-même
Je dois être honnête : ma thèse a une faille. Et elle est sérieuse.
Le RGPD a été conçu en 2016 pour un monde pré-IA générative. Il ne couvre pas les modèles de fondation (GPAI), n'encadre pas les fournisseurs de modèles en tant que tels, et n'impose aucune obligation de documentation technique spécifique aux systèmes d'IA. Le règlement délégué de la Commission européenne sur les modèles GPAI, publié le 10 mars 2026, comble un vide réel que le RGPD ne pouvait structurellement pas couvrir.
Si vous êtes fournisseur de modèle d'IA à usage général — et pas simplement déployeur — le RGPD ne vous dit effectivement pas grand-chose sur vos obligations en matière de transparence du modèle, d'évaluation de risques systémiques, ou de documentation technique d'entraînement. L'IA Act apporte quelque chose de neuf ici.
La nuance, que je refuse d'éluder : mon argument ne vaut que pour les entreprises qui utilisent de l'IA, pas pour celles qui en développent. Pour les déployeurs — c'est-à-dire l'immense majorité des entreprises françaises qui intègrent un chatbot, un outil de scoring ou un système de recommandation — le RGPD suffisait probablement.
Ce que ça change pour votre budget conformité
J'ai discuté la semaine dernière avec une responsable juridique d'une ETI industrielle à Lyon. Son entreprise utilise trois systèmes d'IA : un chatbot service client, un outil de prédiction maintenance, un scoring fournisseurs. Pas un géant tech, une boîte de 400 personnes.
Son budget conformité IA pour 2026 : 85 000 €, dont 60 000 € dédiés à « la préparation IA Act ». Quand je lui ai montré que les quatre sanctions CNIL portaient exclusivement sur des manquements RGPD, elle est restée silencieuse un moment. Puis : « On a peut-être mis l'argent au mauvais endroit. »
L'ironie est mordante. Pendant que des entreprises investissent massivement dans l'anticipation de l'IA Act, la CNIL sanctionne sur des fondamentaux RGPD que ces mêmes entreprises pensaient maîtriser. Défaut de base légale. Absence d'AIPD. Information insuffisante. Ce ne sont pas des manquements sophistiqués. Ce sont des erreurs de 2018 qui coûtent encore de l'argent en 2026.
Cette ETI lyonnaise n'est pas un cas isolé. Combien de PME et ETI françaises ont alloué l'essentiel de leur budget réglementaire IA sur un texte qui ne produira aucune sanction avant 2027, tout en laissant des failles RGPD béantes dans leurs traitements existants ? Je n'ai pas de statistique fiable à citer — personne ne mesure ça. Mais le schéma se répète dans chaque conversation que j'ai avec des professionnels compliance depuis trois mois. La peur de l'inconnu (l'IA Act) l'emporte sur la gestion du risque avéré (le RGPD). C'est humain. C'est aussi coûteux.
Le vrai risque n'est pas celui qu'on croit
La question n'est pas de savoir si l'IA Act est un mauvais texte — c'est un texte ambitieux qui comble des lacunes réelles pour les fournisseurs de modèles. La question est : est-ce que la frénésie actuelle autour de l'IA Act détourne les entreprises de la conformité RGPD, qui reste la source réelle et immédiate de sanctions ?
Les chiffres disent oui.
550 000 € d'amendes RGPD-IA en cinq mois. Zéro amende IA Act. 91 documents CEPD dans nos bases de veille, 64 décisions CNIL, 9 textes Legifrance — et 100 % des sanctions effectives sont fondées sur le RGPD.
Pendant que vous peaufinez votre registre IA Act, vérifiez d'abord que votre chatbot respecte les obligations de base du RGPD. Que votre AIPD est à jour. Que vos bases légales tiennent la route. Le risque le plus probable d'une amende CNIL en 2026, ce n'est pas un défaut de conformité IA Act. C'est un article 6 ou un article 22 du RGPD mal appliqué.
Et si l'IA Act servait surtout le marché de la compliance ?
Petite digression, mais elle me semble utile. L'industrie de la compliance IA pèse déjà des centaines de millions d'euros en Europe. Cabinets d'avocats, consultants GRC, éditeurs de solutions « IA Act ready », organismes de formation. Chaque nouveau texte réglementaire génère un marché. Ce n'est pas un complot — c'est un mécanisme économique banal. Mais ça devrait nous rendre collectivement plus critiques quand les mêmes acteurs qui vendent de la conformité IA Act sont aussi ceux qui en amplifient l'urgence.
Un cabinet qui facture un audit IA Act à 15 000 € n'a aucun intérêt à vous dire que le RGPD suffisait peut-être pour 80 % de vos cas d'usage. Je ne dis pas que c'est malhonnête — la prudence juridique a une valeur. Mais la distinction entre prudence et sur-conformité coûteuse mérite d'être posée.
D'ailleurs, la CNIL elle-même n'a jamais prétendu manquer d'outils pour réguler l'IA. Son projet PANAME — un outil d'audit RGPD des modèles d'IA, actuellement en phase de tests — montre qu'elle continue d'enrichir son arsenal RGPD pour les cas IA, sans attendre la mise en œuvre de l'IA Act. Le bilan sanctions 2025 publié en février 2026 confirme cette orientation. L'institution construit sa doctrine IA sur les fondations RGPD, pas sur le nouveau règlement européen.
Ce que je recommande, concrètement
Pas de recette magique. Trois priorités, calibrées sur ce que les données de sanctions montrent réellement :
Première priorité : vérifiez vos bases légales RGPD. Les articles 6 et 22 concentrent 73 % des montants de sanction sur les systèmes IA. Si votre traitement IA repose sur l'intérêt légitime, assurez-vous que votre balance des intérêts résiste à un contrôle. L'intérêt légitime appliqué à l'IA est un terrain miné que la CNIL surveille de près.
Deuxième priorité : mettez à jour vos AIPD. Le scoring crédit sans évaluation d'impact a coûté 100 000 € à Company W. Chaque système IA traitant des données à grande échelle ou produisant des effets juridiques nécessite une AIPD à jour. Pas un document figé de 2019 — une évaluation vivante, révisée à chaque modification significative du modèle ou du périmètre de données. La CNIL a rappelé ce point dans ses fiches IA publiées récemment, et dans un webinaire dédié aux droits des personnes concernées par des systèmes IA.
Troisième priorité : ne confondez pas urgence médiatique et risque juridique réel. L'IA Act sera un texte majeur à partir de 2027. Les obligations pour les systèmes à haut risque vont monter en puissance. Mais en avril 2026, votre risque financier immédiat vient du RGPD. Allouez vos budgets en conséquence. Un bon réflexe : pour chaque euro investi dans la préparation IA Act, vérifiez que vous avez déjà couvert les fondamentaux RGPD sur vos systèmes existants. Le ratio 70/30 en faveur du RGPD semble raisonnable au vu du panorama actuel des sanctions. Cet équilibre changera probablement à mesure que l'IA Act entre en application effective — mais pas avant fin 2026 au plus tôt, et encore, uniquement pour les systèmes classés haut risque.
Notre checklist gratuite de conformité IA Act et notre template DPA peuvent vous aider à cadrer les deux axes en parallèle, sans surinvestir sur un front au détriment de l'autre.
Données issues de notre veille sur 172 documents réglementaires agrégés depuis 4 sources : CNIL (64 décisions publiques), CEPD (91 avis), EUR-Lex (8 textes), Legifrance (9 textes). Dernière mise à jour : 29 avril 2026.