Votre chatbot n'a pas besoin de l'IA Act pour être conforme — le RGPD suffit déjà
Votre chatbot n'a pas besoin de l'IA Act pour être conforme — le RGPD suffit déjà
J'ai passé deux heures la semaine dernière à décortiquer le programme d'une conférence "Conformité IA Act 2026" facturée 890 € la journée. Quinze intervenants, des slides en pagaille, un vocabulaire calibré pour faire peur. Et au milieu de tout ça, une promesse récurrente : sans mise en conformité IA Act, votre chatbot va vous coûter très cher.
Sauf que c'est faux. Ou plutôt, c'est à côté du sujet.
Regardons les faits. Pas les slides de consultants. Les données.
Les 4 sanctions CNIL "IA" depuis décembre 2025 : zéro mention de l'IA Act
Depuis que l'IA Act est entré dans le radar médiatique, la CNIL a prononcé exactement 4 sanctions liées à l'intelligence artificielle. Voici ce qu'on y trouve — et surtout ce qu'on n'y trouve pas.
| Sanction | Montant | Motif | Base juridique invoquée |
|---|---|---|---|
| Profilage discriminatoire recrutement (janv. 2026) | 250 000 € | Algorithme de tri CV discriminatoire | RGPD — art. 22, 35 |
| Chatbot sans transparence IA (fév. 2026) | 150 000 € | Aucune info donnée à l'utilisateur sur l'usage d'IA | RGPD — art. 13, 14 |
| Scoring crédit sans AIPD (déc. 2025) | 100 000 € | Pas d'analyse d'impact pour un scoring automatisé | RGPD — art. 35 |
| Reconnaissance faciale illicite (mars 2026) | 50 000 € | Absence de base légale | RGPD — art. 6 |
Total : 550 000 €. Quatre décisions. Et un point commun massif : chaque sanction repose exclusivement sur le RGPD. Pas une ligne, pas une virgule de l'IA Act.
Ça devrait poser question.
Pourquoi l'IA Act ne change (presque) rien pour les chatbots classiques
Voilà l'idée reçue qu'on entend partout : l'IA Act crée des obligations nouvelles et inédites pour tous les systèmes d'IA, chatbots compris. Les cabinets de conseil adorent cette version. Elle vend des audits.
La réalité est plus banale. Un chatbot de service client, de FAQ, d'aide à la navigation — celui que 90 % des entreprises françaises utilisent — tombe dans la catégorie "risque limité" de l'IA Act. Concrètement, cela implique une obligation principale : la transparence. Dire à l'utilisateur qu'il parle à une machine.
Sauf que le RGPD demande déjà ça depuis 2018.
L'article 13 du RGPD impose d'informer la personne concernée sur la logique sous-jacente d'un traitement automatisé. L'article 22 encadre les décisions entièrement automatisées. L'article 35 oblige à réaliser une analyse d'impact quand le traitement présente un risque élevé pour les droits des personnes.
Autrement dit : si votre chatbot collecte des données personnelles (et il en collecte, ne serait-ce qu'une adresse IP), le RGPD vous impose déjà transparence, information, et évaluation des risques. L'IA Act, pour un chatbot standard, ajoute au mieux une couche de vernis réglementaire sur une obligation que vous deviez déjà respecter.
Le décret de mars 2026 et l'arrêté de février : du bruit pour les mauvaises oreilles
En mars 2026, la France a publié le décret d'application de l'IA Act désignant l'autorité nationale de surveillance. En février, un arrêté détaillait les modalités de déclaration des systèmes d'IA à risque élevé — recrutement automatisé, notation de crédit, surveillance biométrique, etc.
Deux textes importants. Mais aucun des deux ne concerne les chatbots standard.
Le vrai danger, si on veut en trouver un, se niche ailleurs : dans les chatbots qui font du profilage sans le dire. Ceux qui orientent un client vers un produit financier en fonction de son historique de navigation. Ceux qui collectent des données de santé mentale en douce. Ces cas-là basculent potentiellement en "risque élevé" — et là, oui, l'IA Act entre en jeu.
Mais pour le chatbot lambda qui répond "nos horaires sont 9h-18h" ? Non.
Le CEPD l'a dit lui-même : le RGPD reste le socle
En février 2026, le Comité Européen de la Protection des Données a publié un avis sur l'articulation entre l'IA Act et le RGPD. Le message central est limpide : les deux textes se superposent, ils ne se remplacent pas. Et pour la majorité des traitements de données personnelles par des systèmes d'IA, c'est le RGPD qui prime.
L'avis détaille une logique simple. L'IA Act régule la mise sur le marché et l'utilisation des systèmes d'IA selon leur niveau de risque. Le RGPD régule le traitement des données personnelles, quel que soit le système. Un chatbot qui traite des données personnelles doit d'abord être conforme au RGPD. L'IA Act vient éventuellement en complément, pas en remplacement.
C'est un détail que les vendeurs de conformité omettent systématiquement.
140 textes réglementaires, et pourtant
Notre veille recense 140 documents en provenance de la CNIL, du Journal Officiel de l'UE, de Legifrance et du CEPD — rien que sur la régulation de l'IA et la protection des données. 64 publications CNIL, 59 avis CEPD, 9 textes Legifrance, 8 actes EUR-Lex.
C'est beaucoup. C'est même étourdissant.
Et ça crée une illusion d'optique dangereuse : plus le volume normatif augmente, plus les entreprises paniquent. Plus elles paniquent, plus elles achètent du conseil. Plus elles achètent du conseil, moins elles lisent les textes eux-mêmes.
Or si vous lisez les textes — vraiment — vous découvrez que 80 % de ce qu'un chatbot classique doit respecter existait déjà avant l'IA Act. L'obligation de transparence ? RGPD, 2018. L'analyse d'impact ? RGPD, 2018. Le droit d'opposition au profilage automatisé ? RGPD, 2018.
La nouveauté réelle de l'IA Act pour un chatbot à risque limité tient en une phrase : vous devez indiquer clairement que le contenu est généré par une IA. Si vous faisiez déjà votre boulot RGPD, c'est une mention supplémentaire dans vos CGU et un bandeau sur l'interface. Pas une refonte complète de votre stack juridique.
Alors qui devrait vraiment s'inquiéter de l'IA Act ?
Je ne dis pas que l'IA Act est inutile. Ce serait malhonnête.
Les entreprises qui développent des systèmes de scoring de crédit automatisé, de recrutement par algorithme, de reconnaissance faciale en temps réel ou de notation sociale — celles-là ont du travail devant elles. L'arrêté de février 2026 les vise directement avec ses modalités de déclaration dans la base européenne des systèmes à risque élevé.
Mais une PME qui utilise un chatbot Intercom pour son SAV ? Elle n'a pas besoin d'un audit IA Act à 15 000 €. Elle a besoin de vérifier trois choses :
1. Sa politique de confidentialité mentionne le chatbot et les données qu'il collecte (RGPD, art. 13).
2. Un bandeau ou un message indique que l'utilisateur interagit avec une IA (IA Act, art. 52 — mais aussi déjà bon sens + RGPD).
3. Si le chatbot prend des décisions automatisées qui affectent les droits des utilisateurs, une intervention humaine est possible (RGPD, art. 22).
C'est tout. Trois vérifications. Pas quinze. Pas un audit de six mois.
La vraie faille : les entreprises conformes à l'IA Act mais pas au RGPD
Et voilà le paradoxe que personne ne soulève dans les conférences à 890 € : des entreprises vont dépenser des fortunes pour cocher les cases IA Act tout en restant en infraction RGPD. Parce que le RGPD, c'est "vieux", c'est "connu", c'est "déjà fait". Sauf que non, ce n'est pas déjà fait. Les 4 sanctions CNIL de ces derniers mois le prouvent — chaque fois, c'est un manquement RGPD basique. Pas un angle mort de l'IA Act.
La sanction de 150 000 € pour le chatbot sans transparence ? Un article 13 du RGPD non respecté. C'est du 2018. Huit ans que cette obligation existe.
L'amende de 250 000 € pour profilage discriminatoire ? Article 22, article 35. Encore du RGPD. Encore des fondamentaux.
Si vous voulez protéger votre entreprise — et accessoirement, les personnes qui utilisent votre chatbot — commencez par le RGPD. Vraiment. Pas le survol qu'on fait en une après-midi pour cocher une case. La lecture attentive des articles 13, 14, 22 et 35. L'analyse d'impact documentée. La politique de confidentialité à jour.
L'IA Act viendra se poser dessus naturellement. Comme un étage supplémentaire sur des fondations solides.
Ce que ça change concrètement pour vous
Si vous gérez un chatbot en France en 2026, voici la hiérarchie réelle des priorités — pas celle des plaquettes commerciales :
Priorité 1 — Vérifiez votre conformité RGPD (transparence, base légale, AIPD si nécessaire). C'est là que tombent les amendes aujourd'hui.
Priorité 2 — Ajoutez la mention "contenu généré par IA" si ce n'est pas fait. C'est la principale obligation IA Act pour les systèmes à risque limité.
Priorité 3 — Si et seulement si votre chatbot fait du profilage, de la recommandation personnalisée impactante, ou traite des données sensibles, alors évaluez votre classification IA Act.
Cette hiérarchie n'est pas glamour. Elle ne remplit pas une salle de conférence. Mais elle correspond à ce que montrent les données — les sanctions réelles, les textes publiés, les avis du CEPD.
Notre checklist conformité IA Act et template DPA peut vous aider à faire le tri en moins d'une heure — gratuitement.
Les données citées proviennent de notre veille réglementaire couvrant les décisions CNIL, le Journal Officiel de l'UE, Legifrance et les avis du CEPD. Dernière mise à jour : avril 2026. Pour une analyse plus détaillée de l'articulation IA Act/RGPD, consultez notre comparatif IA Act vs RGPD pour les chatbots. Le bilan réglementaire d'avril 2026 donne une vue agrégée de l'ensemble des textes publiés ce mois-ci.