136 textes, 4 couches réglementaires : le mille-feuille IA en France que personne ne maîtrise vraiment
136 textes, 4 couches réglementaires : le mille-feuille IA en France que personne ne maîtrise vraiment
La semaine dernière, un DPO d'une scale-up parisienne m'a envoyé un Slack qui résume tout : "J'ai compté. On est censés suivre combien de textes exactement ?". La réponse, après agrégation de nos quatre sources de veille, est précise. 136.
Pas 136 pages. 136 textes distincts — règlements, directives, décrets, avis, guidelines, recommandations — produits par au moins 4 institutions différentes, sur des calendriers qui ne se coordonnent pas. Et quand on gratte les données, la réalité est plus brutale que le discours ambiant sur "la simplification réglementaire".
Le corpus brut : 136 textes, 4 sources, zéro coordination
Voici la ventilation exacte tirée de notre base de veille au 28 avril 2026 :
| Source | Nombre de textes | Type dominant | Autorité |
|---|---|---|---|
| CNIL (décisions & publications IA) | 64 | Sanctions, fiches pratiques, webinaires | CNIL France |
| EDPB / CEPD | 55 | Avis, guidelines, recommandations | Comité européen protection données |
| Legifrance | 9 | Lois, décrets, arrêtés | Législateur français |
| EUR-Lex | 8 | Règlements, directives UE | Commission & Parlement européens |
| Total | 136 | 4 sources distinctes |
64 textes rien que côté CNIL. Dont des publications IA qui vont du webinaire sur l'intérêt légitime au projet PANAME d'audit RGPD des modèles, en passant par les recommandations sur les droits des mineurs face à l'IA conversationnelle. Un DPO est censé digérer tout ça.
Soyons honnêtes : la moitié de ces textes CNIL sont des fiches grand public. Mais l'autre moitié contient des prises de position qui font jurisprudence — et c'est précisément cette ambiguïté qui rend le corpus piégeux.
Les 4 couches du mille-feuille : qui pèse quoi
Le problème n'est pas le volume. C'est l'empilement. Quatre strates se superposent, chacune avec ses propres obligations, ses propres délais, ses propres sanctions :
Couche 4 ─ Guidelines EDPB/CEPD [55 textes] Interprétation
│
Couche 3 ─ Droit français [9 textes] Transposition
│ (Loi SREN, Décret IA admin,
│ Arrêté déclaration IA)
│
Couche 2 ─ IA Act + règlements UE [8 textes] Obligations directes
│ (IA Act, Data Act, DGA,
│ DSA, Directive resp. IA)
│
Couche 1 ─ RGPD + enforcement CNIL [64 textes] Sanctions immédiates
Ce schéma n'est pas théorique. Un chatbot commercial déployé en France en avril 2026 doit se conformer simultanément au RGPD (couche 1), à l'IA Act articles 50 et suivants sur la transparence (couche 2), au décret n° 2024-573 sur l'IA dans l'administration s'il traite avec le public (couche 3), et aux Guidelines 1/2026 de l'EDPB sur la recherche scientifique si ses données d'entraînement en relèvent (couche 4).
Personne ne dit ça clairement. Je le dis.
Le calendrier 2026 : 5 nouveaux textes en 4 mois
L'activité réglementaire accélère. Depuis janvier 2026, cinq textes majeurs sont tombés :
| Date | Texte | Source | Impact |
|---|---|---|---|
| 1er avril 2026 | Lignes directrices systèmes IA à risque élevé | AI Office (Commission UE) | Classification et documentation obligatoires |
| 20 mars 2026 | Décret d'application IA Act en France | Legifrance | Désignation autorité nationale de surveillance |
| 10 mars 2026 | Règlement délégué modèles GPAI | Commission UE | Obligations fournisseurs modèles fondation |
| 28 février 2026 | Arrêté déclaration systèmes IA risque élevé | Legifrance | Procédures d'enregistrement base européenne |
| 15 février 2026 | Avis CEPD sur articulation IA Act / RGPD | EDPB | Clarifications double régime données perso |
Cinq textes en quatre mois. Et aucun n'annule ou ne simplifie les précédents — chacun ajoute une couche. Le décret du 20 mars ne remplace pas l'IA Act ; il le transpose. L'arrêté du 28 février ne clarifie pas le décret ; il détaille une procédure. L'avis du CEPD du 15 février ne tranche pas entre IA Act et RGPD ; il superpose les deux.
C'est l'empilement, pas la complexité individuelle de chaque texte, qui tue les équipes conformité.
Où tombent les sanctions : la réalité des 550 000 €
Toute cette architecture réglementaire finirait en décor si personne ne sanctionnait. Or la CNIL sanctionne. 550 000 € sur quatre décisions IA depuis décembre 2025 :
| Décision | Montant | Motif principal | Date |
|---|---|---|---|
| Company Z — Recrutement | 250 000 € | Profilage discriminatoire automatisé | Janv. 2026 |
| Company Y — Chatbot | 150 000 € | Absence d'information sur l'usage d'IA | Fév. 2026 |
| Company W — Scoring crédit | 100 000 € | Pas d'évaluation d'impact IA | Déc. 2025 |
| Company X — Reconnaissance faciale | 50 000 € | Défaut de base légale | Mars 2026 |
Le signal est net. 45 % du montant total (250 000 €) frappe le profilage discriminatoire — pas la transparence, pas les cookies, pas les mentions légales. L'industrie conformité regarde le mauvais endroit. Les consultants vendent des audits "transparence IA Act" pendant que la CNIL aligne les sanctions sur le profilage et les AIPD manquantes.
Et ce chiffre ne compte même pas la sanction France Travail de 5 millions d'euros pour violation de données en janvier 2026 — pas strictement "IA", mais le signal envoyé au marché est identique : les montants montent.
Ce que révèlent les données quand on croise les couches
La donnée la plus inquiétante n'est dans aucun tableau. C'est le ratio : 55 guidelines EDPB pour 4 sanctions CNIL. Autrement dit, le régulateur européen produit 14 fois plus de textes d'interprétation que le régulateur français ne produit de décisions d'enforcement IA.
Ce déséquilibre crée un angle mort. Les entreprises investissent dans la compliance documentaire — registres, DPIA, fiches transparence — parce que c'est ce que demandent les guidelines. Mais la CNIL sanctionne sur des manquements opérationnels : un algorithme de recrutement qui discrimine, un chatbot qui ne dit pas qu'il est un robot, un scoring sans évaluation d'impact.
Le mille-feuille pousse à la conformité de papier. Les sanctions tombent sur la conformité de terrain.
J'ai une contradiction à assumer ici : ce blog vit en partie de ce mille-feuille. Sans les 136 textes, pas de veille à faire. Mais la complexité qu'ils génèrent n'aide personne — ni les entreprises, ni les personnes que le RGPD est censé protéger. Un DPO qui passe ses journées à lire des guidelines EDPB ne les passe pas à auditer un algorithme de scoring.
Ce qu'un DPO devrait prioriser (au lieu de tout lire)
Trois chiffres à retenir :
- 73 % des sanctions CNIL IA ne concernent pas la transparence — comme on l'a détaillé dans notre analyse des fausses priorités
- 137 500 € de sanction moyenne par décision IA — un montant qui justifie un audit interne, voici le dataset complet des 4 sanctions
- 5 textes en 4 mois en 2026 — le rythme de production réglementaire ne ralentira pas
La stratégie rationnelle face à 136 textes n'est pas de tous les lire. C'est de cartographier les obligations qui déclenchent des sanctions, puis de traiter le reste comme de la veille secondaire.
Notre checklist conformité IA Act et template DPA gratuits sont conçus exactement pour ça : prioriser les obligations sanctionnables, pas les obligations théoriques. Parce que quand on a 136 textes à respecter, la seule question qui compte est : lequel va me coûter 250 000 € si je l'ignore ?