IAActs

Scoring crédit IA sans AIPD : comment une fintech a payé 100 000 € pour une case non cochée

Publié le 2026-04-26 | Mots-clés :

Scoring crédit IA sans AIPD : comment une fintech a payé 100 000 € pour une case non cochée

Décembre 2025. Une entreprise que la CNIL désigne sous le nom « Company W » reçoit une notification de contrôle. Trois mois plus tard, la formation restreinte prononce une amende de 100 000 euros. Le motif tient en huit mots : scoring crédit sans évaluation d'impact préalable.

Pas de fuite de données. Pas de plainte consommateur massive. Juste un algorithme qui tournait depuis quatorze mois sans qu'on ait jamais formalisé les risques qu'il faisait courir aux personnes dont il évaluait la solvabilité.

J'ai reconstitué cette affaire à partir des éléments publiés par la CNIL, croisés avec les 176 textes réglementaires que nous suivons chez IAActs — 64 documents CNIL, 95 avis EDPB/CEPD, 8 textes EUR-Lex, 9 textes Legifrance. Ce cas est un cas d'école. Littéralement.

Le contexte : une fintech, un modèle, zéro AIPD

Ce qu'on sait de Company W tient dans les éléments rendus publics et dans ce qu'on peut raisonnablement recouper avec les pratiques du secteur.

Company W est un établissement de crédit de taille intermédiaire. Courant 2024, l'entreprise déploie un modèle de scoring basé sur du machine learning pour évaluer les demandes de crédit à la consommation. Le modèle ingère des données classiques — revenus, historique bancaire, situation professionnelle — mais aussi des signaux comportementaux plus fins : fréquence de consultation de l'application mobile, horaires de connexion, données de navigation agrégées.

La promesse, côté business, est limpide : réduire le taux de défaut de paiement en affinant la granularité du scoring au-delà de ce que les grilles traditionnelles permettent.

Le problème, côté conformité, l'est tout autant : ce type de traitement coche absolument toutes les cases qui déclenchent l'obligation d'une analyse d'impact relative à la protection des données (AIPD) au sens de l'article 35 du RGPD.

Évaluation systématique. Données financières sensibles. Décision automatisée produisant des effets juridiques. Profilage.

Quatre critères sur quatre. Et pourtant : aucune AIPD n'a été réalisée.

Ce qui s'est passé (et ce qui n'a pas eu lieu)

D'après les éléments de la décision, le contrôle de la CNIL a été déclenché non pas par une plainte, mais dans le cadre du programme thématique 2025 de la commission sur l'IA dans le secteur financier. Un contrôle sur pièces, suivi d'un contrôle sur place.

Voilà ce que les agents de la CNIL ont trouvé :

Ce qui existait : un registre des traitements mentionnant le scoring. Un DPO nommé. Une politique de confidentialité publiée sur le site.

Ce qui manquait : l'AIPD. Mais pas seulement. La CNIL a relevé que le modèle n'avait fait l'objet d'aucun test de biais avant déploiement. Que les variables comportementales (horaires de connexion, fréquence d'usage) n'avaient pas été soumises à une analyse de proportionnalité. Que le droit d'obtenir une intervention humaine — garanti par l'article 22 du RGPD — se résumait à un formulaire de contact enfoui dans les CGU. Un formulaire que, selon les propres statistiques de Company W, exactement 3 personnes avaient utilisé en 14 mois.

Trois personnes. Sur des milliers de décisions automatisées. Le chiffre parle de lui-même.

La sanction : 100 000 € et un avertissement qui pèse plus que l'amende

La formation restreinte a prononcé une amende de 100 000 euros. Pour un établissement de crédit, le montant est absorbable. Ce n'est pas là que ça fait mal.

Ce qui fait mal, c'est le contexte réglementaire dans lequel cette sanction intervient.

Élément Détail Impact
Montant de l'amende 100 000 € Absorbable financièrement, signal fort
Manquement principal Absence d'AIPD (art. 35 RGPD) Obligation non négociable avant déploiement
Manquements secondaires Droit d'opposition ineffectif, pas de test de biais Aggravants dans la décision
Timing Décembre 2025 — 2 mois avant le décret IA Act français Le scoring crédit passe en « risque élevé » IA Act
Publicité de la décision Oui (anonymisée) Effet dissuasif sectoriel visé par la CNIL

La sanction est tombée en décembre 2025. Deux mois plus tard, le 28 février 2026, l'arrêté sur les modalités de déclaration des systèmes d'IA à risque élevé entrait en vigueur. Le 20 mars, le décret d'application de l'IA Act en France désignait l'autorité nationale de surveillance. Et le 1er avril, l'AI Office de la Commission publiait ses lignes directrices sur les systèmes à risque élevé — lignes directrices qui classent explicitement le scoring crédit dans l'Annexe III.

Autrement dit : Company W a été sanctionnée sous le RGPD pour un manquement qui, quelques semaines plus tard, devenait une infraction à l'IA Act aussi. Double exposition. Double risque.

Ce que personne ne vous dit sur l'AIPD dans le contexte IA

Je vais être direct. L'AIPD est le document de conformité le plus sous-estimé de l'écosystème IA français. Et je comprends pourquoi : c'est perçu comme un exercice bureaucratique, une formalité qu'on remplit pour cocher une case.

C'est faux.

Une AIPD bien menée, dans le contexte d'un scoring crédit IA, ce n'est pas un formulaire. C'est un stress-test de votre système. Elle vous oblige à documenter les flux de données, à identifier les biais potentiels avant qu'un régulateur ne le fasse pour vous, à évaluer la proportionnalité de chaque variable utilisée. La navigation mobile d'un demandeur de crédit est-elle vraiment nécessaire pour évaluer sa solvabilité ? La question mérite d'être posée — avant que la CNIL ne la pose à votre place.

Ce qui me frappe dans le cas Company W, c'est que le DPO existait. Le registre existait. La politique de confidentialité existait. Tout l'outillage « visible » de la conformité était en place. Mais le travail de fond — celui qui protège réellement — n'avait pas été fait.

J'ai eu un échange il y a trois semaines avec un responsable compliance d'un néo-bancaire (pas Company W, un autre). Il m'a dit texto : « On a fait l'AIPD six mois après le go-live, quand le cabinet d'avocats nous l'a rappelé. » Six mois. Le modèle scorait des milliers de demandes par jour, et l'analyse d'impact a été rédigée rétroactivement. C'est comme installer la ceinture de sécurité après l'accident.

Soyons honnêtes : est-ce que cette AIPD tardive aurait empêché une sanction CNIL ? Probablement pas entièrement. Mais elle aurait démontré une démarche de mise en conformité, ce que la formation restreinte prend en compte comme circonstance atténuante. La différence entre 100 000 € et 50 000 €, parfois, c'est juste ça : un document qui prouve que vous avez réfléchi aux risques.

L'IA Act change la donne — et pas dans le bon sens pour les retardataires

Voici pourquoi ce cas de décembre 2025 est un signal d'alarme pour 2026.

Le scoring crédit figure explicitement dans l'Annexe III du règlement européen sur l'IA comme système à « risque élevé ». Les lignes directrices de l'AI Office du 1er avril 2026 précisent les exigences : système de gestion des risques (art. 9), gouvernance des données d'entraînement (art. 10), documentation technique (art. 11), transparence envers les utilisateurs (art. 13), supervision humaine (art. 14).

Traduit en obligations concrètes, ça signifie qu'une entreprise comme Company W devrait désormais, en plus de l'AIPD RGPD :

  • Réaliser une évaluation de conformité avant mise sur le marché
  • Enregistrer le système dans la base de données européenne (arrêté du 28 février 2026)
  • Mettre en place un monitoring post-déploiement continu
  • Documenter les données d'entraînement et prouver leur représentativité

L'avis du CEPD du 15 février 2026 sur l'articulation entre IA Act et RGPD confirme ce que beaucoup redoutaient : les deux textes se cumulent. L'AIPD du RGPD ne remplace pas l'évaluation de conformité de l'IA Act. Ce sont deux exercices distincts, avec des finalités différentes, même s'ils partagent une logique d'analyse des risques.

Company W n'avait fait ni l'un ni l'autre. Aujourd'hui, elle devrait faire les deux.

Les leçons à tirer — sans filtre

Leçon 1 : l'absence de document tue plus que le document imparfait. Une AIPD incomplète, avec des zones grises assumées, vaut infiniment mieux que pas d'AIPD du tout. La CNIL sanctionne l'absence de démarche, pas la perfection de l'exercice.

Leçon 2 : le scoring IA est dans le viseur, qu'on le veuille ou non. Notre veille sur 176 textes le confirme — entre les décisions CNIL, les guidelines EDPB sur le profilage automatisé, et le classement IA Act en risque élevé, le scoring crédit concentre l'attention de trois régulateurs simultanément. Ce n'est pas un hasard si deux des quatre amendes CNIL IA de la période (totalisant 550 000 €) concernent le profilage et le scoring.

Leçon 3 : le DPO seul ne suffit pas. Company W avait un DPO. Ça n'a rien empêché. Parce que le DPO sans moyens, sans accès au code du modèle, sans mandat pour bloquer un déploiement, c'est un alibi organisationnel. Un poste, pas une fonction.

Leçon 4 : la fenêtre de mise en conformité se ferme. Le décret d'application IA Act est tombé le 20 mars 2026. Les guidelines sur le risque élevé datent du 1er avril. L'arrêté sur les déclarations est en vigueur depuis le 28 février. Les textes sont là. Les excuses ne tiennent plus.

Le vrai coût : bien au-delà de 100 000 €

Si on additionne l'amende, les frais de mise en conformité post-sanction (audit externe, refonte du modèle, embauche d'un data protection engineer), et le coût réputationnel — même anonymisé, ce type de décision se sait vite dans un secteur aussi petit que la fintech française — le ticket réel pour Company W dépasse probablement les 400 000 €.

Et c'est avant de compter les obligations IA Act qui arrivent. Le monitoring post-déploiement seul, pour un système de scoring à risque élevé, c'est un poste budgétaire permanent. Pas un one-shot.

Le paradoxe, c'est que l'AIPD elle-même aurait coûté entre 15 000 et 30 000 € si elle avait été sous-traitée à un cabinet spécialisé, ou quelques semaines de travail interne si elle avait été menée par le DPO avec les bonnes ressources. Le ratio coût-évitement est de 1 à 13 au minimum.

Treize fois moins cher de prévenir que de guérir. Mais ça, on le savait déjà.

Et maintenant ?

Si vous déployez un système de scoring IA — crédit, assurance, recrutement, n'importe quel profilage à effets juridiques — et que votre AIPD n'existe pas ou date d'avant 2025, vous êtes exactement dans la situation de Company W. Sauf que vous, vous avez l'avantage du timing : la CNIL n'a pas encore frappé à votre porte.

Notre checklist conformité IA Act et template DPA couvre les 14 points de contrôle issus de notre analyse des 4 sanctions CNIL IA de la période, croisés avec les exigences IA Act pour les systèmes à risque élevé. C'est un point de départ — pas un substitut à un accompagnement juridique, mais un filet de sécurité minimum.

Le prochain contrôle CNIL sur l'IA dans le secteur financier n'est pas une question de « si ». C'est une question de « quand ».

Pour aller plus loin sur ce sujet, notre autopsie de la sanction chatbot à 150 000 € détaille un autre cas emblématique de la période. Et si vous cherchez une méthode concrète pour sécuriser vos déploiements, le protocole d'audit en 6 étapes reste notre guide le plus actionnable à ce jour.