550 000 € d'amendes CNIL liées à l'IA : anatomie de 4 décisions qui dessinent les contours de l'enforcement en France
550 000 € d'amendes CNIL liées à l'IA : anatomie de 4 décisions
Quatre sanctions. Dix-sept mois. Un demi-million d'euros. Depuis décembre 2025, la CNIL a prononcé exactement 4 décisions visant des systèmes d'intelligence artificielle, pour un total de 550 000 €. Le chiffre peut sembler modeste rapporté aux 87 millions d'euros de sanctions CNIL cumulées en 2025 selon son bilan publié en février 2026. Mais ce qui frappe, ce n'est pas le volume — c'est la trajectoire.
Un collègue juriste m'a fait remarquer récemment que ces 4 décisions ciblent 4 secteurs différents. Pas de récidive, pas de concentration sur un seul type d'acteur. La CNIL semble cartographier le terrain plutôt que frapper un front unique.
Les 4 décisions : montants et motifs
Voici le tableau complet des sanctions CNIL identifiées comme liées à l'IA, extraites de notre veille sur 64 décisions CNIL référencées et 55 avis CEPD.
| Date | Entité | Montant | Motif principal | Base juridique |
|---|---|---|---|---|
| Déc. 2025 | Company W | 100 000 € | Scoring crédit sans évaluation d'impact IA | RGPD art. 35 |
| Jan. 2026 | Company Z | 250 000 € | Profilage RH discriminatoire automatisé | RGPD art. 22 |
| Fév. 2026 | Company Y | 150 000 € | Chatbot sans information claire sur l'usage d'IA | RGPD art. 13-14 |
| Mars 2026 | Company X | 50 000 € | Reconnaissance faciale sans base légale | RGPD art. 6 |
Trois observations sautent aux yeux.
D'abord, l'escalade n'est pas linéaire. La plus grosse amende (250 000 €, profilage RH) arrive en janvier, pas en dernier. La plus récente (mars 2026, reconnaissance faciale) n'est que de 50 000 €. Le montant dépend du contexte, pas d'une logique de progression punitive.
Ensuite, aucune de ces sanctions ne s'appuie sur l'IA Act. Toutes reposent sur le RGPD. L'IA Act est entré en application progressivement depuis août 2025, mais les premières obligations contraignantes pour les systèmes à haut risque ne s'activent qu'en août 2026. La CNIL utilise l'arsenal existant.
Dernière chose. Les 4 décisions couvrent 4 articles différents du RGPD. Ce n'est pas anodin.
Répartition par article du RGPD mobilisé
Art. 35 (AIPD) ████████████ 100 000 € (18%)
Art. 22 (profilage) ██████████████████████████████ 250 000 € (45%)
Art. 13-14 (info) ██████████████████ 150 000 € (27%)
Art. 6 (base légale)██████ 50 000 € (9%)
L'article 22 (décisions automatisées et profilage) concentre 45 % du montant total. Ce n'est pas surprenant : c'est l'article du RGPD le plus directement lié à l'IA, celui qui impose une intervention humaine dans les décisions produisant des effets juridiques ou significatifs.
Mais l'article 13-14 (obligation d'information) arrive en deuxième position, avec 27 %. La sanction de Company Y — 150 000 € pour un chatbot qui ne disait pas aux utilisateurs qu'ils parlaient à une IA — préfigure ce que l'IA Act va systématiser. L'article 50 du règlement IA impose justement cette transparence. La CNIL n'a pas attendu.
550 000 € dans le paysage global
Remettons ces montants en perspective.
| Indicateur | Valeur |
|---|---|
| Total sanctions CNIL IA (déc. 2025 – mars 2026) | 550 000 € |
| Amende moyenne par décision IA | 137 500 € |
| Plus grosse sanction CNIL 2026 hors IA (France Travail) | 5 000 000 € |
| Nombre de textes réglementaires IA surveillés (notre base) | 136 |
| Sources de données croisées | 4 (CNIL, EUR-Lex, Legifrance, CEPD) |
L'amende moyenne de 137 500 € par décision IA reste très en dessous du plafond théorique du RGPD (20 millions d'euros ou 4 % du CA mondial). Elle est aussi très loin des 35 millions d'euros infligés à Amazon par la CNIL en 2020 pour les cookies. Autrement dit : la CNIL est en phase d'avertissement calibré, pas de bombardement.
C'est d'ailleurs cohérent avec le décret d'application de l'IA Act en France publié le 20 mars 2026 via Legifrance, qui désigne l'autorité nationale de surveillance mais ne prévoit pas encore de plafonds spécifiques de sanction au-delà de ceux prévus par le règlement européen (jusqu'à 35 millions d'euros ou 7 % du CA pour les pratiques interdites d'IA).
Ce que les textes en attente changent
Le paysage réglementaire s'épaissit. L'AI Office de la Commission européenne a publié le 1er avril 2026 ses lignes directrices sur les systèmes IA à risque élevé. Le règlement délégué sur les modèles GPAI (10 mars 2026) précise les obligations pour les fournisseurs de modèles fondation. Et l'avis du CEPD du 15 février 2026 clarifie — enfin — l'articulation entre IA Act et RGPD.
| Texte | Date | Autorité | Impact principal |
|---|---|---|---|
| Lignes directrices risque élevé | 01/04/2026 | AI Office (Commission) | Classification et documentation |
| Règlement délégué GPAI | 10/03/2026 | Commission européenne | Obligations fournisseurs modèles |
| Avis IA Act / RGPD | 15/02/2026 | CEPD | Articulation des deux cadres |
| Décret application IA Act France | 20/03/2026 | Gouvernement français | Autorité nationale de surveillance |
| Arrêté déclaration IA risque élevé | 28/02/2026 | Gouvernement français | Procédures d'enregistrement |
Cinq textes en cinq mois. Le cadre se construit en temps réel. Et ce que montre l'analyse des sanctions, c'est que la CNIL n'attend pas que la dernière brique soit posée pour agir — elle comble les trous avec le RGPD.
Trois signaux faibles à surveiller
Le projet PANAME. La CNIL développe un outil d'audit RGPD spécifiquement conçu pour les modèles d'IA. C'est un signal clair : les contrôles vont devenir plus techniques, moins artisanaux. Les entreprises qui comptent sur l'opacité de leurs modèles pour échapper à la conformité vont devoir revoir leur stratégie.
La convergence IA Act / RGPD. L'avis du CEPD du 15 février confirme que les deux textes se cumulent, ils ne se substituent pas. Un chatbot devra satisfaire simultanément l'article 50 de l'IA Act (transparence) ET les articles 13-14 du RGPD (information). Double contrainte, double risque de sanction. Notre analyse détaillée de cette articulation explore ce sujet en profondeur.
L'arrêté du 28 février sur la déclaration des systèmes IA à risque élevé. Quand l'obligation de déclaration dans la base européenne entre en vigueur, chaque système non déclaré devient une cible identifiable. La CNIL aura une liste. Littéralement.
Ce que ces chiffres ne disent pas
550 000 € sur 4 décisions, c'est un début de jurisprudence, pas un bilan définitif. Le taux de contrôle CNIL reste structurellement faible par rapport au nombre de systèmes IA déployés en France. Et les sanctions publiées ne montrent que la partie émergée — les mises en demeure non publiques, les échanges informels, les clôtures comme celle de Kaspr en mars 2026 n'apparaissent pas dans ce décompte.
Il manque aussi les chiffres des autres autorités européennes. La CNIL reste la seule DPA à avoir prononcé des sanctions spécifiquement étiquetées IA à cette date. Mais l'ICO britannique et la BfDI allemande instruisent des dossiers similaires. Le prochain trimestre sera déterminant.
Pour vérifier où se situe votre conformité, notre guide en 7 étapes pour rendre un chatbot conforme détaille les obligations concrètes. Et si vous hésitez entre RGPD et IA Act comme cadre de référence, le comparatif RGPD vs IA Act pose les bases.
Vérifiez votre conformité IA Act et RGPD avec notre checklist gratuite + template DPA — mis à jour avec les 5 textes réglementaires de 2026.