IAActs

Non, vous n'avez pas besoin d'un avocat spécialisé IA pour être conforme — les 550 000 € d'amendes CNIL le prouvent

Publié le 2026-05-01 | Mots-clés :

Non, vous n'avez pas besoin d'un avocat spécialisé IA pour être conforme

Je vais écrire quelque chose qui ne va pas plaire à une partie de mon écosystème professionnel. Tant pis.

Depuis que l'IA Act est entré en application progressive, un marché très lucratif s'est structuré autour de la peur. Des cabinets d'avocats — parfois excellents, souvent opportunistes — ont créé des offres « conformité IA Act » facturées entre 15 000 et 80 000 euros. Des formations certifiantes à 3 500 euros la journée. Des audits « IA Act readiness » vendus comme la nouvelle norme.

Et des milliers de dirigeants de PME, de DPO de structures moyennes, de CTO qui n'ont jamais eu de problème avec la CNIL, se retrouvent convaincus qu'ils ont besoin d'une expertise juridique ultra-pointue sous peine de sanctions catastrophiques.

Regardons les faits. Pas les brochures commerciales.

Les 4 sanctions CNIL IA en 2026 : un bilan qui parle

Depuis janvier 2026, la CNIL a prononcé exactement 4 sanctions liées à l'intelligence artificielle, pour un total de 550 000 euros. Voici ce qu'elles disent — et surtout ce qu'elles ne disent pas.

Sanction Montant Motif réel Texte violé Compétence requise
Reconnaissance faciale (mars 2026) 50 000 € Pas de base légale pour le traitement RGPD art. 6 DPO standard
Chatbot sans information IA (fév. 2026) 150 000 € Défaut de transparence envers l'utilisateur RGPD art. 13 + IA Act art. 50 DPO + bon sens
Profilage RH discriminatoire (janv. 2026) 250 000 € Discrimination dans un processus automatisé RGPD art. 22 DPO + RH
Scoring crédit sans AIPD (déc. 2025) 100 000 € Absence d'analyse d'impact RGPD art. 35 DPO standard

Quatre sanctions. Quatre violations du RGPD. Dans trois cas sur quatre, aucune mention de l'IA Act comme base de la sanction. Seule la décision sur le chatbot cite marginalement l'article 50 de l'IA Act (obligation de transparence pour les systèmes à risque limité).

Le reste ? Articles 6, 13, 22 et 35 du RGPD. Des textes qui existent depuis 2018. Huit ans.

L'idée reçue qu'il faut déconstruire

Voici ce qu'on vous vend : « L'IA Act crée un nouveau cadre juridique si complexe que seuls des avocats spécialisés en régulation de l'intelligence artificielle peuvent vous accompagner. Sans eux, vous risquez des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. »

C'est techniquement vrai. Et profondément trompeur.

C'est comme dire qu'en conduisant une voiture, vous risquez 10 ans de prison. Oui, si vous provoquez un homicide involontaire en état d'ivresse sur l'autoroute. Pas si vous oubliez votre clignotant au rond-point.

La réalité, sur le terrain français en mai 2026, c'est que l'immense majorité des systèmes d'IA déployés par les PME relèvent du risque limité — catégorie qui impose essentiellement une obligation de transparence. Dire à vos utilisateurs qu'ils interagissent avec une IA. Point.

Et devinez quoi ? Le RGPD imposait déjà cette transparence via les articles 13 et 14 sur l'information des personnes.

Ce que disent réellement les textes (en langage humain)

Je ne suis pas juriste. Mais j'ai lu l'IA Act, le RGPD, l'avis du CEPD du 15 février 2026 sur l'articulation entre les deux textes, le règlement délégué du 10 mars 2026 sur les modèles GPAI, et le décret français de mars 2026 sur l'autorité nationale de surveillance. 136 textes répertoriés dans notre base de veille, issus de 4 sources différentes (CNIL, EUR-Lex, Legifrance, CEPD).

J'ai aussi lu les plaquettes commerciales de neuf cabinets d'avocats parisiens spécialisés IA.

La différence de ton est saisissante.

Les textes officiels sont méthodiques, parfois obscurs, mais rarement alarmistes. L'avis du CEPD du 15 février 2026 dit textuellement que les obligations de l'IA Act « complètent et ne remplacent pas » celles du RGPD. Autrement dit : si vous êtes déjà conforme au RGPD pour votre traitement de données personnelles, vous avez déjà fait une bonne partie du chemin.

Les plaquettes commerciales, elles, parlent de « tsunami réglementaire », de « risque existentiel pour les entreprises non accompagnées », de « nouvelle ère de compliance ». Le vocabulaire n'est pas neutre. Il crée l'urgence. L'urgence justifie les honoraires.

Mais alors, l'IA Act ajoute quoi concrètement ?

Pour être honnête — et la nuance est essentielle ici — l'IA Act ajoute bien des obligations nouvelles. Soyons précis.

Pour les systèmes à risque limité (la plupart des chatbots, générateurs de texte/image, systèmes de recommandation) : une obligation de transparence. Informer l'utilisateur qu'il interagit avec une IA. Un bandeau, une mention claire. Ce n'est pas rien, puisque l'amende du chatbot à 150 000 euros montre que même ça, beaucoup ne le font pas. Mais ce n'est pas une révolution juridique nécessitant un cabinet à 600 euros de l'heure.

Pour les systèmes à risque élevé (scoring crédit, recrutement automatisé, notation éducative, certains dispositifs médicaux) : là, les choses se corsent. Évaluation de conformité, documentation technique détaillée, système de gestion des risques, supervision humaine effective, enregistrement dans la base de données européenne. L'arrêté du 28 février 2026 précise les modalités de déclaration en France. C'est lourd.

Pour les modèles GPAI (type GPT, Mistral, LLaMA) : obligations de documentation technique, de transparence sur les données d'entraînement, et pour les modèles à risque systémique, des évaluations adverses. Le règlement délégué du 10 mars 2026 détaille tout ça.

La question n'est pas « l'IA Act est-il un texte léger ? ». Non, c'est un texte costaud. La question est : « votre entreprise a-t-elle besoin d'un spécialiste IA pour s'y conformer ? »

Trois signaux qui montrent que votre DPO suffit

Un mardi de mars, j'ai assisté à un webinaire organisé par une association de DPO franciliens. Le panel réunissait deux DPO d'ETI, un avocat spécialisé données personnelles (pas IA spécifiquement), et une consultante indépendante en conformité. La question posée au panel : « Faut-il recruter un profil dédié IA Act ? »

Les deux DPO ont répondu la même chose, en substance : « Pour nos structures, non. On a ajouté l'IA Act à notre périmètre de veille, adapté notre registre des traitements, et intégré les nouvelles obligations de transparence dans nos process existants. Le plus chronophage, c'est la cartographie des systèmes IA — et ça, c'est un travail de terrain, pas un travail juridique. »

L'avocat a nuancé : « Pour les systèmes à haut risque, un accompagnement juridique ponctuel peut être utile. Mais on parle d'une mission ciblée de quelques jours, pas d'un contrat au long cours. »

Seule la consultante a défendu l'idée d'un audit complet. Elle vendait précisément ce service. Je ne lui jette pas la pierre — elle fait son métier. Mais l'alignement entre le discours et l'intérêt commercial était transparent.

Voici les trois signaux concrets que votre DPO peut gérer la conformité IA Act sans renfort juridique spécialisé :

Signal 1 : vos systèmes IA ne sont pas à haut risque. Si vous utilisez un chatbot de support, un outil de rédaction assistée, un système de recommandation produit — vous êtes en risque limité. Les lignes directrices de l'AI Office du 1er avril 2026 clarifient la classification. Votre DPO peut lire ces 40 pages et vous situer.

Signal 2 : vous avez déjà un registre des traitements RGPD à jour. L'IA Act demande une documentation des systèmes IA. Si votre registre RGPD liste déjà vos traitements automatisés avec leurs finalités, bases légales et mesures de sécurité, vous avez 60 % de la documentation IA Act. Le delta, c'est la description technique du système et l'évaluation des risques spécifiques.

Signal 3 : vous n'entraînez pas vos propres modèles. Si vous êtes déployeur (vous utilisez un modèle tiers via API), vos obligations IA Act sont sensiblement plus légères que celles du fournisseur du modèle. Le règlement délégué du 10 mars 2026 sur les GPAI s'adresse aux fournisseurs, pas aux utilisateurs.

Le vrai coût de la conformité IA pour une PME

Mettons des chiffres. Pas des fourchettes de consultant, des chiffres issus de ce que j'observe dans mon réseau professionnel.

Une PME de 50 à 200 salariés qui utilise 2 à 5 systèmes IA (chatbot, outil de rédaction, CRM prédictif) en risque limité a besoin de :

  • Cartographie des systèmes IA : 2 à 5 jours de travail DPO, en collaboration avec la DSI. Coût marginal si le DPO est internalisé.
  • Mise à jour du registre : 1 à 2 jours.
  • Ajout des mentions de transparence : 1 jour technique + validation juridique. La validation juridique, votre cabinet habituel (celui qui gère déjà votre RGPD) peut la faire.
  • Veille réglementaire continue : 2 heures par semaine. Des outils gratuits existent — y compris notre checklist de conformité IA Act que vous trouverez en fin d'article.

Total réaliste : entre 5 et 10 jours-homme, la première année. Pas 50 000 euros d'audit.

Évidemment, si vous déployez un système à haut risque — un outil de scoring pour du crédit, un algorithme de tri de CV, un dispositif de surveillance — la donne change. Un accompagnement juridique ciblé se justifie, surtout pour l'évaluation de conformité ex ante. Mais même là, parlez en journées de conseil, pas en contrat annuel.

La contradiction que j'assume

Je contribue à un blog de veille réglementaire IA. Mon activité dépend en partie du fait que les gens s'intéressent à ces questions, voire s'en inquiètent un peu. Je serais donc le dernier à dire que la conformité IA n'est « pas un sujet ».

C'est un sujet. Sérieux.

Mais la nature du sujet est souvent mal présentée. Le problème n'est pas juridique pour 80 % des entreprises. Il est organisationnel. Savoir quels systèmes IA vous utilisez, qui les a déployés, quelles données ils traitent, et si vos utilisateurs sont informés. C'est du management, pas du droit.

La composante juridique intervient à la marge, sur des points précis : qualification du niveau de risque d'un système ambigu, articulation des responsabilités fournisseur/déployeur, rédaction d'un DPA (Data Processing Agreement) intégrant les clauses IA Act. Pour ça, oui, un regard juridique est utile. Ponctuellement.

Le reste, c'est de la rigueur opérationnelle. Et votre DPO est formé à ça depuis 2018.

Mais si la CNIL durcit le ton ?

Objection légitime. Et c'est celle que les cabinets utilisent systématiquement pour conclure la vente. « Aujourd'hui c'est 550 000 euros, mais demain… » Le demain fait vendre. Le présent, beaucoup moins.

Regardons quand même le présent. Quatre sanctions en un an, 550 000 euros au total, c'est objectivement peu. La CNIL elle-même a publié son bilan des sanctions 2025 le 9 février 2026 — et les montants liés à l'IA restent marginaux face aux sanctions « classiques » (France Travail : 5 millions d'euros pour violation de données, sans lien avec l'IA). Dix fois le total des amendes IA, sur un seul dossier « données personnelles old school ».

Les 64 décisions CNIL que nous référençons dans notre base montrent un pattern clair : la CNIL sanctionne sur des fondamentaux RGPD. Défaut de base légale. Absence d'information. Pas d'analyse d'impact. La sophistication technologique du système n'est pas le critère déterminant.

Est-ce que la CNIL va monter en compétences IA et sanctionner plus sévèrement sur des motifs spécifiquement IA Act ? Probablement. Le décret de mars 2026 désigne l'autorité nationale de surveillance — la CNIL y participe aux côtés de la DGE et de l'ANSSI. L'appareil répressif se structure.

Mais même dans ce scénario, la montée en charge sera progressive. Les lignes directrices de l'AI Office d'avril 2026 sont un signe : on est dans une phase de clarification, pas de répression massive. L'UE a tiré les leçons du RGPD — les deux premières années post-application avaient été marquées par la pédagogie, pas par les amendes records.

Petite digression : l'effet pervers du « compliance washing »

J'ai vu un truc étrange le mois dernier. Un éditeur SaaS affichait un badge « IA Act Compliant » sur sa page d'accueil. Quand j'ai creusé, le badge renvoyait vers une page expliquant que l'entreprise avait fait auditer son chatbot par un cabinet. Le chatbot en question ? Un widget de FAQ avec des réponses préprogrammées. Pas d'IA. Pas de machine learning. Un arbre de décision classique.

Le badge coûtait 8 000 euros.

On touche ici à un effet pervers du discours alarmiste. Quand tout le monde panique, ceux qui affichent un tampon « conforme » — même vide de sens — gagnent un avantage commercial. Et l'industrie du conseil a tout intérêt à maintenir cette panique, parce qu'elle vend les tampons.

Le parallèle avec les certifications ISO 27001 de la décennie précédente est frappant. Beaucoup d'entreprises avaient obtenu la certification sans réellement sécuriser leurs systèmes. Le papier valait plus que la pratique. Résultat : des audits de renouvellement facturés 20 000 euros par an pour maintenir un logo sur un site web.

On reproduit exactement le même schéma avec l'IA Act. Sauf que cette fois, le texte n'impose aucune certification obligatoire pour les systèmes à risque limité. Aucune. Le « badge conforme » n'a aucune base réglementaire pour un chatbot de support client. Celui qui vous le vend exploite votre méconnaissance du texte.

Ce que je recommande (vraiment)

Pour les PME avec des systèmes IA à risque limité — c'est-à-dire la majorité d'entre vous :

Gardez votre DPO. Donnez-lui du temps, pas un prestataire externe. Le temps de cartographier vos systèmes IA, de mettre à jour votre registre, de vérifier que vos mentions d'information couvrent l'usage d'IA. Abonnez-le/la à un outil de veille (il en existe de gratuits, on y reviendra).

Pour les entreprises avec des systèmes à haut risque :

Oui, un accompagnement juridique se justifie. Mais cadrez-le. Une mission ponctuelle, 5 à 15 jours, pour l'évaluation de conformité et la documentation technique. Pas un contrat de surveillance permanent. Notre analyse détaillée des obligations croisées RGPD/IA Act donne les clés pour comprendre l'articulation entre les deux textes avant de mandater qui que ce soit.

Pour tout le monde :

Arrêtez de lire les plaquettes commerciales comme des sources neutres d'information. Lisez les textes. Ils sont publics, gratuits, et — surprise — souvent plus clairs que les synthèses qu'on vous vend.

L'avis du CEPD du 15 février 2026 fait 23 pages. Lisible en une heure. Le récit terrain de notre CTO fictif confronté aux obligations GPAI montre concrètement ce que ça implique au quotidien. Et les lignes directrices sur les systèmes à risque élevé d'avril 2026 incluent des diagrammes de classification que n'importe quel profil technique peut suivre.

Le mot de la fin (pas une conclusion)

550 000 euros de sanctions CNIL IA en quatre mois. Sur des manquements RGPD basiques. Zéro sanction « pure IA Act ». 136 textes à suivre — oui, c'est beaucoup, mais c'est le job d'un DPO, pas d'un cabinet à 80 000 euros.

L'industrie du conseil juridique IA a un business model. Ça ne fait pas d'elle une source impartiale d'évaluation de vos besoins. Si votre garagiste vous dit que votre voiture a besoin d'une révision complète chaque trimestre, vous demandez un deuxième avis. Pourquoi ne pas faire pareil ici ?

Le RGPD a survécu à huit ans de prédictions catastrophistes. Les amendes existent, oui. Mais les entreprises qui ont investi dans la compréhension interne du texte — plutôt que dans la sous-traitance permanente de leur conformité — s'en sortent systématiquement mieux. Parce qu'elles comprennent ce qu'elles font. Et pourquoi elles le font.

L'IA Act suivra le même chemin. Formez vos équipes. Lisez les textes. Posez des questions aux bonnes personnes, pas aux personnes les plus chères.

Les textes sont là. Gratuits. Publics. Et souvent — j'insiste — plus clairs que ce qu'on vous en dit.

Notre checklist gratuite de conformité IA Act + template DPA vous guide étape par étape dans la mise en conformité. Pas de jargon juridique inutile, pas d'upsell vers un audit à cinq chiffres.