IA Act, RGPD, amendes CNIL : 13 questions cash sur la conformité IA en France — avec les vrais chiffres
IA Act, RGPD, amendes CNIL : 13 questions cash sur la conformité IA en France
Je reçois chaque semaine des messages de DPO, de CTO de PME, parfois de fondateurs de startup qui posent les mêmes questions — souvent mal formulées, souvent urgentes, presque toujours après avoir lu un article de presse qui leur a foutu la trouille. Le problème, c'est que les réponses disponibles en ligne sont soit trop académiques (merci les cabinets d'avocats qui facturent au mot), soit trop vagues pour servir à quoi que ce soit sur le terrain.
Un DPO d'une boîte de 200 personnes m'a dit la semaine dernière, texto : « J'ai l'impression de jouer au Minesweeper les yeux bandés. » L'image est juste. Trop de cases, pas assez de drapeaux.
Voici treize questions que j'entends tout le temps. Avec des réponses qui s'appuient sur des données vérifiables — 4 sanctions CNIL IA en 2026, 136 textes réglementaires suivis depuis quatre sources officielles, des montants précis. Pas de langue de bois. Si je ne sais pas, je le dis.
1. L'IA Act est-il vraiment en vigueur en France aujourd'hui ?
Oui et non — et cette réponse en deux mots résume le cauchemar des équipes conformité en ce moment. Le règlement européen (UE) 2024/1689, dit IA Act, est entré en vigueur par étapes. Les interdictions de pratiques inacceptables s'appliquent depuis février 2025. Les obligations pour les modèles d'IA à usage général (GPAI) sont applicables depuis août 2025. Pour les systèmes à risque élevé, l'échéance était août 2026 — on y est presque.
Côté français, le décret de mars 2026 a désigné l'autorité nationale de surveillance. Mais les modalités concrètes de contrôle restent floues sur plusieurs points. Le texte existe. L'application terrain, elle, se construit encore. Et entre le texte et le contrôle, il y a un espace que beaucoup d'entreprises confondent avec de l'immunité. Ce n'en est pas. C'est un délai de grâce non officiel, et personne ne vous préviendra quand il prend fin.
2. Combien d'amendes CNIL liées à l'IA ont été prononcées en 2026 ?
Quatre. Pour un total de 550 000 €. Ce n'est pas un chiffre massif comparé aux sanctions RGPD classiques (France Travail a pris 5 millions d'euros en janvier 2026 pour une violation de données). Mais le signal est clair.
Détail : 150 000 € pour un chatbot sans information sur l'usage d'IA, 250 000 € pour du profilage discriminatoire en recrutement, 100 000 € pour un scoring crédit sans évaluation d'impact, 50 000 € pour un défaut de base légale en reconnaissance faciale. La tendance est nette. La CNIL ne cible pas (encore) les montants dissuasifs façon DPC irlandaise. Elle pose des jalons jurisprudentiels. Et ça, c'est plus dangereux pour les entreprises à moyen terme que 550 000 € d'amendes.
3. Mon chatbot est-il concerné par l'IA Act ou seulement par le RGPD ?
Les deux. C'est la réponse que personne ne veut entendre, mais c'est la bonne.
Le RGPD s'applique dès que le chatbot traite des données personnelles — et sauf si votre bot répond uniquement « Bonjour, au revoir » sans rien collecter, c'est le cas. L'IA Act ajoute une couche. Un chatbot classique relève du « risque limité » (article 50) : obligation de transparence, c'est-à-dire signaler à l'utilisateur qu'il interagit avec une IA. Simple en théorie. La CNIL a pourtant sanctionné 150 000 € une entreprise qui avait omis ce bandeau en février 2026.
Si votre chatbot fait du scoring, de la recommandation personnalisée basée sur du profilage, ou s'il intervient dans un processus décisionnel RH ou financier, il peut basculer en « risque élevé ». Et là, les obligations explosent. Mon avis : faites la cartographie avant de coder le disclaimer.
4. L'avis du CEPD de février 2026 change-t-il quelque chose concrètement ?
L'avis du CEPD du 15 février 2026 clarifie l'articulation entre IA Act et RGPD pour les traitements de données personnelles. C'est un document que trop peu de DPO ont lu, et pourtant il tranche des ambiguïtés que la Commission avait laissées traîner.
Point clé : le CEPD confirme que l'IA Act ne se substitue pas au RGPD. Les deux se cumulent. Si votre système IA est classé « risque élevé » par l'IA Act, vous devez satisfaire les exigences des deux textes simultanément — l'évaluation de conformité IA Act ET l'analyse d'impact RGPD (DPIA). Pas l'un ou l'autre. Les deux. J'ai vu des avocats vendre des « audits IA Act » en oubliant la DPIA RGPD. C'est du travail bâclé et ça expose le client.
5. Qu'est-ce que le règlement délégué GPAI du 10 mars 2026 implique pour les entreprises françaises ?
Le règlement délégué sur les modèles d'IA à usage général (GPAI), publié le 10 mars 2026, précise les obligations pour les fournisseurs de modèles fondation. Si vous développez un modèle de langage, un modèle de vision ou tout modèle entraîné sur des données massives et destiné à être intégré dans des applications tierces, vous êtes directement concerné.
Concrètement : documentation technique détaillée, politique de respect du droit d'auteur, transparence sur les données d'entraînement. Pour les modèles « à risque systémique » (les gros, type GPT-4 ou équivalent), des obligations supplémentaires s'ajoutent — évaluation adversariale, reporting d'incidents, tests de robustesse.
La plupart des PME françaises ne développent pas de modèles fondation. Elles les utilisent via API. Mais attention : si vous fine-tunez un modèle open source et le redistribuez, vous pouvez être requalifié fournisseur. La frontière est mince. Et le texte ne la dessine pas au feutre épais.
Digression utile : la CNIL a publié un outil de traçabilité des modèles IA open source, et le projet PANAME teste actuellement un outil d'audit RGPD spécifique aux modèles d'IA. Deux initiatives concrètes qui montrent que le régulateur français prépare le terrain pour des contrôles plus ciblés sur les modèles, pas seulement sur les applications finales. Si vous utilisez un modèle fine-tuné, gardez un œil là-dessus.
6. Comment la CNIL calibre-t-elle ses amendes IA — c'est arbitraire ?
Non. Mais la grille n'est pas publique au sens d'un barème affiché.
En analysant les quatre sanctions 2026, un pattern émerge. Le montant dépend de trois variables : la gravité du manquement, le nombre de personnes affectées, et la coopération de l'entreprise pendant le contrôle. Le profilage discriminatoire en recrutement (250 000 €) a été sanctionné plus lourdement que le chatbot sans bandeau (150 000 €) parce qu'il touchait des candidats dans un contexte de décision à fort impact — refus d'embauche. Le scoring crédit sans DPIA (100 000 €) était un cas de négligence documentaire plus qu'un préjudice avéré.
Ma lecture : la CNIL utilise ces premiers dossiers pour construire une jurisprudence. Les montants sont délibérément modérés pour être inattaquables en appel. La vraie sévérité viendra après.
7. Faut-il une DPIA spécifique pour chaque système IA ou une seule suffit ?
Une par système. Pas de raccourci.
La tentation est forte de faire une DPIA « IA » générique qui couvre tous les outils. J'ai vu passer des templates de 12 pages censés protéger une entreprise qui utilise six systèmes différents — du chatbot au scoring en passant par de la classification de tickets. Cette approche ne tient pas face à un contrôle CNIL. L'entreprise sanctionnée à 100 000 € pour son scoring crédit avait une DPIA, mais elle était générique et ne couvrait pas les spécificités du modèle déployé.
Chaque système a ses propres données d'entrée, sa logique, ses risques. Chaque DPIA doit refléter ça. C'est pénible. C'est chronophage. C'est la loi. Et non, un consultant externe qui vous vend un « pack DPIA IA » clé en main pour 3 000 € ne fait pas le travail à votre place — il vous donne un cadre vide que vous devrez remplir avec les spécificités de vos systèmes. Le vrai coût, c'est le temps de vos équipes techniques pour documenter ce que fait réellement chaque modèle.
8. Que risque-t-on si on déploie un système IA « risque élevé » sans l'enregistrer dans la base européenne ?
L'arrêté du 28 février 2026 précise les modalités de déclaration et d'enregistrement des systèmes IA à risque élevé dans la base européenne. Ne pas s'y conformer, c'est une infraction à l'IA Act — théoriquement passible de sanctions pouvant aller jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
En pratique, au 1er mai 2026, aucune sanction n'a été prononcée sur ce fondement en France. La base européenne est encore en phase de montée en charge, et les formulaires d'enregistrement sont — disons-le — perfectibles en termes d'ergonomie. Mais ne pas enregistrer un système, c'est laisser une trace d'audit béante. Si la CNIL ou l'autorité nationale tombe sur votre outil par un autre biais — une plainte utilisateur, un contrôle RGPD de routine — l'absence d'enregistrement deviendra un facteur aggravant. Miser sur l'inertie administrative, c'est jouer à la roulette. Et le casino, sur ce coup, c'est Bruxelles.
9. Les lignes directrices « risque élevé » d'avril 2026 clarifient-elles la liste des systèmes concernés ?
Partiellement. Les lignes directrices publiées le 1er avril 2026 par l'AI Office de la Commission européenne précisent la classification des systèmes IA à risque élevé et les exigences de documentation. Elles détaillent mieux les annexes III du règlement — les catégories comme l'éducation, le recrutement, l'accès aux services essentiels, la justice, l'immigration.
Mais — et c'est une frustration partagée par tous les praticiens que je croise — elles ne donnent pas de liste exhaustive de cas d'usage avec un oui/non binaire. Un chatbot de support client n'est pas « risque élevé » a priori. Sauf s'il prend des décisions qui impactent l'accès à un service essentiel. Où commence « l'impact » ? Le texte ne le dit pas avec assez de précision. On reste dans l'interprétation. Et l'interprétation, en droit, ça se paye cher quand on se trompe.
10. Combien de textes réglementaires faut-il réellement surveiller pour être conforme ?
136 au dernier comptage. C'est le nombre d'items que nous suivons en continu depuis quatre sources : CNIL (64 items), EDPB/CEPD (55 avis et opinions), Legifrance (9 textes français), et EUR-Lex (8 textes européens). Tous ne sont pas directement applicables à chaque entreprise, évidemment. Mais la veille doit couvrir l'ensemble pour ne pas rater un avis du CEPD qui requalifie subitement l'interprétation d'un article.
Pour une PME, c'est intenable en interne. Soyons honnêtes : même les grands groupes avec des équipes juridiques de dix personnes passent à côté de textes. Le mois d'avril 2026 a vu 230 textes pertinents passer sur nos radars si on inclut les documents de travail et consultations publiques. C'est un flux que personne ne peut absorber seul. Et pourtant, l'ignorance d'un texte n'a jamais constitué une excuse recevable devant la formation restreinte de la CNIL.
11. IA Act et RGPD se contredisent-ils parfois ?
Oui, sur au moins un point. Et je sais que cette réponse va faire bondir les juristes puristes qui m'expliquent que les textes européens forment un ensemble cohérent. La théorie est belle.
En pratique : l'IA Act exige de la documentation et de la transparence sur les données d'entraînement des modèles. Le RGPD impose la minimisation des données et, dans certains cas, l'effacement. Que fait-on quand un individu exerce son droit à l'effacement sur des données qui ont servi à entraîner un modèle, et que la documentation IA Act exige de garder une trace de ces données d'entraînement ? L'avis du CEPD de février 2026 aborde la question sans la trancher complètement. La réalité, c'est que les praticiens bricolent. L'approche la plus courante : documenter l'usage des données d'entraînement de manière anonymisée dans la fiche technique IA Act, tout en respectant les demandes d'effacement au niveau de l'application — sans toucher au modèle déjà entraîné. Juridiquement fragile. Techniquement logique. On verra ce que les premières jurisprudences en diront. Quand on bricole en droit, on accumule du risque.
12. Un audit « IA Act » réalisé par un cabinet suffit-il à couvrir le volet RGPD ?
Non. Jamais.
J'ai examiné une dizaine de rapports d'audit « IA Act » produits par des cabinets spécialisés ces trois derniers mois. Huit sur dix ne couvrent pas les obligations RGPD de manière satisfaisante. Ils vérifient la classification du risque, la documentation technique, l'obligation de transparence — tout ce qui relève du règlement 2024/1689. Mais la DPIA, les bases légales de traitement, le registre des activités, la gestion des droits des personnes ? Absent ou survolé.
C'est un problème structurel : les cabinets « IA Act » viennent souvent du droit du numérique ou de la propriété intellectuelle. Les cabinets RGPD viennent de la protection des données. Rares sont ceux qui maîtrisent les deux corpus. Résultat : l'entreprise paye deux audits, ou pire, elle pense être conforme après un seul. La CNIL, elle, contrôle les deux en même temps. Comme l'a montré la sanction chatbot de février 2026 — fondée à la fois sur le défaut de transparence (IA Act) et sur le non-respect de l'article 13 du RGPD. Si vous avez un seul budget, investissez-le dans un profil qui connaît les deux textes. Ils existent. Ils sont rares. Mais un généraliste médiocre coûte plus cher qu'un spécialiste pointu quand l'amende tombe.
13. Par où commencer concrètement si je n'ai rien fait ?
Par un inventaire. Pas par un audit de 200 pages.
Listez chaque système qui utilise de l'IA — y compris les outils SaaS tiers qui intègrent de l'IA sans le crier sur les toits (votre CRM avec du scoring prédictif, votre outil de recrutement avec du matching automatique, votre chatbot Zendesk ou Intercom). Pour chacun, répondez à trois questions : est-ce que ça traite des données personnelles ? Est-ce que ça prend ou influence une décision impactante ? Est-ce que les utilisateurs savent qu'ils interagissent avec une IA ?
Si la réponse est oui-oui-non, vous avez un problème immédiat. Commencez par les systèmes les plus exposés — ceux qui touchent des candidats, des clients, des usagers. Notre checklist conformité IA Act gratuite, avec un template DPA intégré, couvre précisément ce triage initial.
Et si tout ça vous semble déjà lu, c'est normal : j'ai détaillé les 7 étapes concrètes de mise en conformité chatbot dans un guide terrain publié cette semaine. Le comparatif chatbot vs profilage RH éclaire aussi les différences d'obligations selon le type de système. Pour le panorama complet du mois écoulé, le bilan avril 2026 pose le contexte.
Sources de données : CNIL (décisions publiques), EUR-Lex (règlements et directives), Legifrance (décrets et arrêtés français), EDPB/CEPD (avis et opinions). Dernière mise à jour de notre veille : 1er mai 2026, 136 items suivis.