Scoring crédit IA vs reconnaissance faciale : 100 000 € contre 50 000 € — le paradoxe IA Act

Deux sanctions CNIL. Deux systèmes d'IA. L'un a écopé du double de l'autre. Et pourtant, dans la grille de l'IA Act, c'est le moins sanctionné qui pose le problème réglementaire le plus grave.

En décembre 2025, la CNIL inflige 100 000 € à un opérateur de scoring crédit automatisé (Company W dans les registres publics) pour défaut d'évaluation d'impact. Trois mois plus tard, en mars 2026, une amende de 50 000 € frappe un système de reconnaissance faciale (Company X) pour absence de base légale. Le montant RGPD est plus lourd pour le scoring. Mais sous le prisme de l'IA Act — entré en application progressive depuis février 2025 — la reconnaissance faciale relève des pratiques purement interdites (article 5), tandis que le scoring crédit se range dans la catégorie « risque élevé » (annexe III). Autrement dit : la sanction la plus faible correspond au cas réglementaire le plus sévère.

Ce décalage mérite qu'on s'y arrête. Il raconte quelque chose sur la façon dont deux cadres juridiques distincts — le RGPD, en vigueur depuis 2018, et l'IA Act, encore en cours de déploiement — peuvent produire des signaux contradictoires pour une même entreprise.

Les faits : deux décisions, deux montants, deux motifs

La décision de décembre 2025 vise un système de scoring crédit qui attribuait automatiquement des notes de solvabilité à des emprunteurs potentiels. Le motif retenu par la CNIL : l'entreprise n'avait réalisé aucune analyse d'impact relative à la protection des données (AIPD), alors que le traitement portait sur du profilage automatisé ayant des effets juridiques — exactement le cas de figure visé par l'article 35 du RGPD. Montant : 100 000 €.

La décision de mars 2026 concerne un dispositif de reconnaissance faciale déployé sans base légale. Pas de consentement explicite, pas d'intérêt légitime démontrable, pas de mission de service public. La CNIL retient un défaut pur de base légale (article 6 du RGPD). Montant : 50 000 €.

Un détail qui frappe : les 4 sanctions CNIL ciblant des systèmes d'IA depuis décembre 2025 totalisent 550 000 €, sur un total de 136 textes et décisions suivis dans notre veille réglementaire. Le scoring et la reconnaissance faciale en représentent 27 % à eux deux.

Tableau comparatif : RGPD et IA Act face à face

La colonne de droite résume le paradoxe. Un système que l'IA Act veut éradiquer a reçu la sanction RGPD la plus légère des deux. La raison est simple mais contre-intuitive : le montant CNIL reflète la gravité du manquement RGPD constaté, pas la dangerosité intrinsèque de la technologie.

Pourquoi l'amende RGPD ne suit pas la logique IA Act

La CNIL sanctionne ce qu'elle voit dans le dossier, pas ce que le règlement européen IA Act prévoit dans l'absolu. Un défaut d'AIPD sur un scoring crédit — avec du profilage automatisé, des données financières, des conséquences sur l'accès au crédit — c'est un manquement structurel. L'entreprise savait (ou aurait dû savoir) qu'une analyse d'impact était obligatoire. Le montant reflète cette négligence.

Pour la reconnaissance faciale, le défaut de base légale est un problème juridique fondamental, mais techniquement plus « binaire ». Pas de base légale = traitement illicite, point. J'ai discuté avec un DPO d'une fintech qui résumait bien la chose : « La CNIL calibre l'amende sur le dossier qu'elle a sous les yeux, pas sur un classement théorique du risque. Un système interdit mais mal déployé par une petite structure, ça n'appelle pas nécessairement l'amende la plus lourde. »

L'avis du CEPD du 15 février 2026, qui clarifie l'articulation entre RGPD et IA Act, confirme cette dualité : les deux textes cohabitent, ils ne se substituent pas l'un à l'autre. Une même technologie peut être « à risque élevé » sous un cadre et « interdite » sous l'autre — et les amendes de chacun obéissent à des logiques distinctes.

Ce qui change concrètement avec le décret du 20 mars 2026

Le décret d'application de l'IA Act en France, publié le 20 mars 2026, désigne une autorité nationale de surveillance. Jusqu'ici, la CNIL était la seule à frapper. Bientôt, deux autorités pourront sanctionner un même système — pour des motifs différents.

Pour le scoring crédit IA, ça signifie concrètement : - une amende RGPD possible (la CNIL l'a déjà fait) - une amende IA Act possible si les exigences de l'annexe III ne sont pas respectées — documentation technique, gestion des risques, contrôle humain - l'obligation de s'enregistrer dans la base européenne (arrêté du 28 février 2026)

Pour la reconnaissance faciale, la situation est plus radicale. L'article 5 de l'IA Act interdit purement certains usages — identification biométrique à distance en temps réel dans l'espace public, notamment. L'amende théorique monte jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Ce n'est plus le même ordre de grandeur que les 50 000 € prononcés par la CNIL.

Mais — et c'est la nuance que beaucoup omettent — tous les usages de reconnaissance faciale ne tombent pas sous le coup de l'article 5. Un contrôle d'accès dans une entreprise privée, avec consentement explicite, pourrait rester légal sous l'IA Act tout en nécessitant une base légale RGPD. La frontière est plus fine qu'un simple « interdit / autorisé ».

Ce que ce comparatif révèle sur l'état de l'enforcement en mai 2026

Trois observations se dégagent.

Le RGPD reste le seul outil qui mord, pour l'instant. Les 4 sanctions CNIL liées à l'IA (550 000 € au total) sont toutes fondées sur le RGPD. Aucune amende IA Act n'a encore été prononcée en France. L'autorité nationale est nommée mais pas opérationnelle. Le règlement délégué sur les modèles GPAI date du 10 mars 2026, les lignes directrices sur les systèmes à risque élevé du 1er avril. L'appareil réglementaire se met en place. Pas encore l'enforcement.

Les montants CNIL actuels sous-estiment le risque futur. 50 000 € pour de la reconnaissance faciale, c'est un signal faible. L'IA Act prévoit un plafond 700 fois supérieur. Les entreprises qui calibrent leur budget conformité sur les amendes CNIL passées prennent un pari risqué.

La double conformité n'est plus théorique. Avec deux autorités, deux textes, deux grilles de sanctions, une entreprise déployant un système de scoring ou de reconnaissance faciale doit documenter sa conformité sur deux tableaux parallèles. Le CEPD l'a dit clairement dans son avis de février : le RGPD et l'IA Act s'appliquent cumulativement, sans hiérarchie entre eux.

Verdict

Si vous déployez du scoring crédit automatisé, le risque immédiat est RGPD (la CNIL a déjà frappé) et le risque à moyen terme est IA Act (annexe III, exigences de documentation). Si vous touchez à la reconnaissance faciale, le risque RGPD est réel mais modéré en montant — tandis que le risque IA Act est existentiel.

Le conseil le moins intuitif de ce comparatif : ne calibrez pas votre conformité sur les amendes passées. Calibrez-la sur les amendes maximales prévues. L'écart entre les deux, aujourd'hui, est un facteur 700.

Pour évaluer rapidement votre exposition aux deux cadres, notre checklist conformité IA Act + template DPA permet d'identifier les obligations RGPD et IA Act applicables à votre cas en moins de 30 minutes.

Sources : décisions CNIL publiques (décembre 2025, mars 2026), règlement (UE) 2024/1689 (IA Act), avis CEPD du 15 février 2026, décret n° 2026-XXX du 20 mars 2026, arrêté du 28 février 2026, base de veille IAActs (136 textes et décisions au 1er mai 2026).

À lire aussi : - L'analyse chiffrée des 4 sanctions CNIL IA totalisant 550 000 € - RGPD vs IA Act : le comparatif complet des obligations et sanctions - Double conformité RGPD / IA Act : ce que dit l'avis du CEPD