La transparence IA ne protège personne — pourquoi 73 % des amendes CNIL sanctionnent autre chose
La transparence IA ne protège personne
J'ai passé trois heures, la semaine dernière, dans un webinaire organisé par un cabinet parisien spécialisé compliance. Thème : « Mettre votre chatbot en conformité RGPD + IA Act ». Slides impeccables, intervenant rodé. Son message central tenait en une phrase : « Affichez clairement que c'est une IA, informez sur les données collectées, et vous êtes couverts. »
Applaudissements dans le chat Zoom. Questions enthousiastes sur la taille de la police du bandeau de transparence. Personne — personne — n'a demandé : couverts de quoi, exactement ?
Cette scène résume un problème structurel de l'écosystème conformité IA français en ce printemps 2026. La transparence est devenue l'alpha et l'oméga de la compliance. Les cabinets la packagent en offres clés en main. Les DPO la documentent consciencieusement. Les startups l'affichent en pop-up dès la première interaction utilisateur. Tout le monde dort tranquille.
Les données, elles, ne dorment pas.
Le mirage du 550 000 €
Depuis décembre 2025, la CNIL a prononcé 4 sanctions liées à l'intelligence artificielle, pour un total cumulé de 550 000 €. Ce chiffre circule dans tous les décks de vente des cabinets compliance. Il sert tantôt à effrayer (« attention, la CNIL sévit sur l'IA ! »), tantôt à minimiser (« seulement 550 000 €, c'est dérisoire comparé aux amendes RGPD classiques »). Rarement à analyser.
Alors analysons.
| Sanction | Montant | Motif | Type de manquement |
|---|---|---|---|
| Reconnaissance faciale (mars 2026) | 50 000 € | Défaut de base légale pour traitement IA | Fondement juridique |
| Chatbot opaque (fév. 2026) | 150 000 € | Absence d'information sur l'usage d'IA | Transparence |
| Recrutement discriminatoire (janv. 2026) | 250 000 € | Profilage automatisé discriminatoire | Dommage substantiel |
| Scoring crédit sans AIPD (déc. 2025) | 100 000 € | Absence d'évaluation d'impact IA | Gouvernance |
Un seul cas relève directement d'un défaut de transparence. Un seul, sur quatre. Les 150 000 € du chatbot qui n'informait pas ses utilisateurs qu'ils parlaient à une machine.
Les trois autres sanctions — 400 000 €, soit 73 % du total — punissent des manquements sans rapport avec le fait de dire ou non « ceci est une IA ». Base légale absente pour de la reconnaissance faciale. Discrimination algorithmique dans un processus de recrutement. Absence d'analyse d'impact pour un scoring crédit.
Le ratio est limpide. 27 % transparence. 73 % substance.
Pourquoi la transparence se vend si bien
La réponse est désagréable mais simple : la transparence est un produit emballable.
Un bandeau « Ce chatbot utilise l'intelligence artificielle » se déploie en une heure de développement front-end. Une fiche de transparence correcte, rédigée avec un bon template, prend une journée. Le client voit un livrable concret. Le prestataire envoie une facture. L'audit est « passé ». Champagne.
Comparez avec ce qu'exige réellement une analyse d'impact sur la protection des données pour un système IA. Cartographie des flux de données d'entraînement et d'inférence. Évaluation de la nécessité et de la proportionnalité du traitement. Consultation des personnes concernées ou de leurs représentants. Mesures de réduction des risques identifiés. Suivi documenté dans le temps.
Ou comparez avec un audit de biais d'un modèle de scoring. Test sur des sous-populations statistiquement significatives. Analyse différentielle des faux positifs par catégorie protégée. Documentation des choix d'architecture et d'entraînement.
Ce sont des chantiers de plusieurs semaines, techniquement exigeants, difficilement résumables en un slide. Ils ne se vendent pas en webinaire d'une heure.
La transparence, elle, est spectaculaire. Visible. Rassurante. C'est le genre de conformité qu'on montre en comité de direction.
Sauf qu'on ne met pas un airbag en vitrine.
Les 250 000 € que personne ne veut voir
La plus grosse amende IA de 2026 mérite qu'on s'y attarde plus longtemps que d'habitude.
250 000 € pour un profilage automatisé discriminatoire dans un processus de recrutement. L'entreprise sanctionnée avait déployé un système de présélection des candidatures alimenté par un modèle entraîné sur les embauches des cinq années précédentes. Approche classique. Le problème, tout aussi classique : le modèle reproduisait — et amplifiait — les biais historiques de recrutement, défavorisant systématiquement certains profils sur la base de critères corrélés à l'origine ethnique et au genre.
Le détail qui change tout : l'interface candidat affichait une mention IA parfaitement conforme. Le système expliquait, en bon français, qu'un algorithme participait à l'évaluation des candidatures et que le candidat pouvait demander une intervention humaine. Techniquement, l'obligation de transparence de l'article 14 du RGPD était remplie.
Ça n'a pas empêché la sanction. Ni son montant — le plus élevé des quatre. Parce que le vrai problème n'était pas ce que les candidats savaient, mais ce que l'algorithme leur faisait.
Le budget conformité avait financé la transparence. Pas l'audit algorithmique. Le paradoxe est cruel et il se répète, d'entreprise en entreprise, sous des formes différentes.
Comme le détaille notre analyse du double régime IA Act / RGPD, la superposition des deux textes crée un maillage d'obligations qui déborde largement du périmètre déclaratif. Les traiter comme de simples extensions des mentions légales revient à ignorer leur architecture.
L'IA Act confirme cette hiérarchie
Le règlement (UE) 2024/1689 — l'IA Act — classe les chatbots conversationnels dans la catégorie « risque limité ». Concrètement, l'article 50 impose une obligation de transparence : l'utilisateur doit savoir qu'il interagit avec une IA. Point final, côté chatbot. Pas d'évaluation de conformité par un organisme notifié. Pas d'audit externe. Pas d'inscription dans la base européenne.
Pour les systèmes dits « à risque élevé » — recrutement, scoring, accès au crédit, notation dans l'éducation — le texte est d'une autre trempe. Système de gestion des risques documenté. Jeux de données d'entraînement évalués pour leurs biais. Traçabilité technique de bout en bout. Surveillance humaine effective et pas seulement théorique. Déclaration dans la base européenne, conformément à l'arrêté du 28 février 2026 qui en précise les modalités pratiques.
Les lignes directrices de l'AI Office européen, publiées le 1er avril 2026, enfoncent le clou : la documentation technique doit démontrer la maîtrise des risques, pas simplement informer l'utilisateur de leur existence.
Et du côté français, le signal est cohérent. Le projet PANAME de la CNIL, lancé en 2026, développe un outil d'audit RGPD ciblant les modèles d'IA eux-mêmes — leurs données d'entraînement, leurs comportements, leurs sorties — et non les interfaces utilisateur. Le régulateur regarde en profondeur. L'industrie regarde en surface.
Sur les 136 textes réglementaires que nous suivons — 64 décisions CNIL, 55 avis EDPB, 8 textes EUR-Lex, 9 textes Legifrance — aucun ne traite la transparence comme une fin en soi. C'est systématiquement un moyen au service d'un objectif plus large : rendre le profilage contestable, garantir une intervention humaine, permettre l'exercice réel des droits.
Le DPO, seul dans la tempête
Parenthèse, mais elle pèse.
J'observe depuis deux ans le même schéma dans les entreprises françaises de taille intermédiaire : le DPO hérite du dossier IA Act par défaut. Non par compétence. Par élimination — personne d'autre ne veut s'en charger, et la direction considère que « c'est de la donnée, c'est son sujet ».
Le problème est fondamental. L'IA Act n'est pas un texte de protection des données personnelles. C'est un texte de sécurité et de qualité produit. L'appliquer sérieusement requiert des compétences en machine learning, en test de biais algorithmiques, en ingénierie de la qualité des données d'entraînement. Le DPO moyen n'a pas ces compétences. Ce n'est pas un reproche — c'est un constat sur la réalité de la formation juridique en France, qui n'intègre pas encore ces dimensions techniques.
Le décret d'application de l'IA Act en France, publié en mars 2026 (Legifrance), désigne d'ailleurs une autorité nationale de surveillance distincte de la CNIL. Le législateur français reconnaît la séparation des compétences. Les organigrammes d'entreprise, eux, restent figés.
Conséquence prévisible : le DPO fait ce qu'il sait faire. Des mentions. Des registres. De la transparence documentée. Les audits de biais, les évaluations de robustesse, la documentation technique des systèmes à risque élevé ? Ça attendra.
Ça attendra la prochaine sanction à six chiffres.
Trois risques qui pèsent davantage
Si l'industrie conformité détournait le regard des pop-ups et des bandeaux, voici ce qu'elle verrait.
Le profilage non évalué. L'article 22 du RGPD, combiné aux exigences de l'IA Act sur les systèmes à risque élevé, crée une obligation d'évaluation d'impact pour tout traitement automatisé produisant des effets juridiques ou significatifs sur les personnes. Le scoring crédit sanctionné à 100 000 € en décembre 2025 ne manquait pas d'une fiche de transparence. Il manquait d'une AIPD.
La discrimination algorithmique non testée. Les 250 000 € de janvier 2026 ne sont probablement qu'un hors-d'œuvre. L'article 10 de l'IA Act impose des exigences strictes sur les jeux de données d'entraînement des systèmes à risque élevé, avec une attention spécifique aux biais statistiques et à leur propagation. Toute entreprise qui met en production un modèle de recrutement, de notation ou d'assurance sans audit de biais ne prend pas un risque — elle programme une sanction.
L'absence de documentation technique. L'arrêté du 28 février 2026 fixe les modalités de déclaration et d'enregistrement des systèmes IA à risque élevé dans la base européenne. Les entreprises concernées disposent en théorie de quelques mois pour se mettre en conformité avant l'échéance du 2 août 2026. En pratique, construire un dossier technique complet sur un système IA existant ne s'improvise pas en quelques semaines.
La nuance qu'on me doit
Est-ce que la transparence ne sert à rien ? Non. Ce serait aller trop loin, et ce n'est pas ma thèse.
Le chatbot sanctionné à 150 000 € méritait son amende. Ne pas informer un utilisateur qu'il interagit avec une machine est une forme de tromperie, quelle que soit la nature du traitement derrière. L'obligation de transparence posée par l'article 50 de l'IA Act est légitime. Et notre guide pour rédiger une fiche de transparence chatbot conserve toute sa pertinence pour les entreprises déployant des interfaces conversationnelles.
Ce que je conteste, c'est l'ordre des priorités dans l'allocation des ressources conformité.
Quand la majorité du budget IA compliance finance la transparence alors que 73 % des amendes sanctionnent des manquements substantiels — profilage, discrimination, absence d'AIPD —, il y a un défaut d'alignement entre la dépense et le risque. Ce défaut n'est pas accidentel. Il est entretenu par une industrie du conseil qui vend de la visibilité plutôt que de la rigueur, et par des décideurs qui préfèrent les livrables rassurants aux diagnostics inconfortables.
Les entreprises qui déploient des systèmes de scoring, de recrutement ou de profilage devraient inverser la pyramide. AIPD d'abord. Audit de biais ensuite. Documentation technique en continu. Et la transparence — oui, la transparence — comme couche finale d'un dispositif qui tient debout. Pas comme mur porteur d'une conformité en carton.
Le cas du fondateur SaaS sanctionné pour son chatbot illustre ce piège avec une clarté brutale : la question n'est jamais « avez-vous prévenu l'utilisateur ? ». La question est : que fait votre IA, et avez-vous vérifié qu'elle ne nuit pas ?
Pour ceux qui veulent commencer par le bon bout, notre checklist conformité IA Act + template DPA est en accès libre.