35 M€ et 7 % du CA : la CNIL arme l’AI Act en France

Le 2 août 2026, l’ensemble du règlement européen sur l’intelligence artificielle entre pleinement en vigueur. En France, c’est la CNIL qui hérite du rôle d’autorité nationale compétente pour superviser l’application de l’AI Act. Le texte lui confie un arsenal inédit : des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial sur les pratiques interdites, et 15 millions ou 3 % du CA sur les autres manquements. Les premières procédures contradictoires sont attendues dès le second semestre, une fois les obligations pleinement opposables.

Ce que la CNIL peut désormais sanctionner au titre de l’AI Act

Le règlement européen 2024/1689 distingue trois niveaux d’infraction, avec trois plafonds d’amende. Le plus lourd vise les pratiques interdites (social scoring généralisé, reconnaissance émotionnelle au travail ou à l’école, catégorisation biométrique d’opinions politiques) : 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, le plus élevé des deux. Le niveau intermédiaire sanctionne la non-conformité des systèmes à haut risque : 15 millions ou 3 % du CA. Enfin, la fourniture d’informations fausses ou trompeuses aux autorités est plafonnée à 7,5 millions ou 1 % du CA.

Ces plafonds sont nettement supérieurs à ceux du RGPD (20 millions ou 4 % du CA). Le message de Bruxelles est clair : l’IA concentre des risques systémiques que la régulation ne peut pas aborder avec les mêmes outils que la protection des données. La CNIL a indiqué dès janvier 2026 que son approche resterait proportionnée, avec un accompagnement prioritaire des entreprises avant tout déclenchement de procédure. L’autorité publiera un baromètre trimestriel des situations observées, sur le modèle du dispositif d’accompagnement publié en 2025.

AI Act : les trois niveaux de risque à connaître

Le règlement structure les systèmes IA en quatre catégories. Les systèmes à risque inacceptable sont interdits depuis février 2025 : notation sociale, manipulation subliminale, exploitation de vulnérabilités, biométrie temps réel dans les espaces publics (hors exceptions strictement encadrées).

Les systèmes à haut risque, qui entrent pleinement dans le périmètre CNIL le 2 août 2026, couvrent les domaines à forts enjeux : accès à l’emploi, notation de crédit, admission scolaire, gestion des migrations, administration de la justice, infrastructures critiques. Pour chacun, l’éditeur doit produire une analyse d’impact, tenir un registre documenté, assurer la traçabilité des décisions et garantir une supervision humaine effective.

Les systèmes à risque limité (chatbots, générateurs de contenus, systèmes de reconnaissance émotionnelle non interdite) relèvent d’obligations de transparence : l’utilisateur doit savoir qu’il interagit avec une IA. La dernière catégorie, dite à risque minimal, couvre la majorité des applications courantes (filtres anti-spam, jeux vidéo, moteurs de recommandation simples) et n’est soumise qu’à un code de bonne conduite volontaire.

Qui est concerné en priorité : six secteurs sous pression

Si la CNIL communique sur une entrée en vigueur progressive, certains secteurs n’auront pas le luxe d’attendre. Le recrutement par IA arrive en tête des priorités. Les éditeurs de logiciels de tri de CV et d’entretiens vidéo automatisés doivent désormais justifier leurs critères d’évaluation, démontrer l’absence de biais discriminatoire et documenter les décisions. Les sept obligations pour le recrutement IA sont détaillées dans un précédent dossier.

Le scoring crédit suit immédiatement. Banques et organismes financiers utilisant des modèles de décision automatique — pour l’octroi d’un prêt, l’évaluation de solvabilité, la détection de fraude — entrent dans le périmètre haut risque. Les procédures de recours humain et la transparence des critères deviennent opposables.

Les autres secteurs exposés comprennent : l’éducation et la formation (admission, notation automatique), les infrastructures critiques (gestion réseau électrique, transports), la justice administrative (décisions assistées par IA), le contrôle des migrations et l’accès aux services publics essentiels. Pour chacun, la documentation exigible dépasse largement ce qu’imposait le RGPD.

Trois scénarios type de sanction CNIL

Anticiper l’action de la CNIL suppose de se projeter dans les cas concrets qu’elle pourrait traiter. Trois scénarios apparaissent plausibles dès fin 2026.

Scénario 1 — Éditeur de logiciel de recrutement non conforme. Une plateforme française de pré-tri de candidatures par IA, utilisée par plusieurs grands comptes, n’a pas produit d’analyse d’impact AI Act ni mis en place de recours humain documenté. La CNIL ouvre une procédure contradictoire après plainte d’un candidat. Dans ce cas, l’amende vise le fournisseur mais aussi potentiellement les entreprises utilisatrices, responsables du déploiement en contexte. L’exemple type : amende entre 2 et 5 millions d’euros sur le fournisseur, mise en demeure pour les clients.

Scénario 2 — Pratique interdite détectée chez un acteur éducatif. Un établissement ou une edtech met en place un système de reconnaissance émotionnelle sur les élèves — pratique explicitement bannie par le règlement. La CNIL peut prononcer une amende proche du plafond de 35 millions ou 7 % du CA, l’infraction appartenant à la catégorie la plus grave. Le précédent historique en matière de RGPD suggère que la CNIL préfère d’abord l’injonction de cessation, mais que la récidive ouvre la voie à des sanctions financières lourdes.

Scénario 3 — Fournisseur étranger sans représentant en UE. Un éditeur américain ou asiatique de LLM à usage général (GPAI) proposant son service en France sans déclaration ni représentant. La CNIL coordonne alors avec l’AI Office européen, qui reste compétent sur les modèles de fondation. Le blocage d’accès au marché est une option, avec des implications diplomatiques et commerciales importantes. C’est le scénario politiquement le plus sensible.

Ce que les DPO doivent faire avant le 2 août 2026

Les directions des données doivent engager plusieurs chantiers en parallèle. Le premier est le recensement exhaustif des systèmes IA déployés dans l’entreprise, internes comme externes. Chaque outil doit être classé selon les quatre niveaux de risque du règlement. Cette cartographie est la brique de base de tout le reste.

Le deuxième chantier est la documentation par système. Pour chaque système à haut risque, quatre pièces minimum sont exigibles : une analyse d’impact, le registre des données d’entraînement, la procédure de supervision humaine, la preuve des tests de biais et de robustesse. La CNIL a publié en février 2026 un modèle simplifié, accessible aux entreprises qui n’ont pas les ressources juridiques d’un grand compte.

Le troisième concerne la gouvernance interne. Les DPO doivent impliquer la direction juridique, les RSSI, les équipes métiers et la direction générale. Le comité éthique IA devient pratiquement obligatoire pour les structures de plus de 250 salariés utilisant des systèmes à haut risque. L’Usine Digitale a documenté les attentes précises de la CNIL sur ce volet.

Enfin, le volet formation. L’AI Act impose une littératie IA minimale au sein des équipes qui déploient ou utilisent les systèmes à haut risque. Les plans de formation internes doivent être opérationnels avant la fin de l’été, avec un suivi nominatif vérifiable en cas de contrôle.

Europe vs États-Unis : un écart réglementaire qui se creuse

La comparaison internationale éclaire le choix européen. Les États-Unis restent sur une approche sectorielle, sans loi fédérale équivalente. L’executive order de 2023 a été largement détricoté sous l’administration 2025, laissant les états fédérés avancer en ordre dispersé : la Californie pousse une loi SB 1047 bis, le Colorado dispose d’un AI Consumer Protection Act, le Texas prépare un cadre plus permissif. Le résultat est un paysage fragmenté qui complique la conformité transatlantique.

Le Royaume-Uni maintient un cadre principiel post-Brexit, sans texte équivalent à l’AI Act. La Chine impose des obligations sur les modèles génératifs (enregistrement obligatoire auprès de la Cyberspace Administration), mais selon une logique de contrôle politique davantage que de protection des utilisateurs. Le Canada et le Japon développent des approches intermédiaires.

Dans ce contexte, l’Europe se distingue par un texte unifié, opposable et sanctionné. Les entreprises qui déploient de l’IA à l’international devront adapter leur conformité par juridiction, avec un dénominateur commun : l’AI Act est souvent le cadre le plus strict, et traiter le marché européen en conformité simplifie le déploiement ailleurs. C’est l’effet Bruxelles appliqué à l’IA.

FAQ

Les PME sont-elles concernées par l’AI Act ? Oui, dès lors qu’elles déploient ou fournissent un système à haut risque. La CNIL a prévu des allégements documentaires pour les structures de moins de 50 salariés, mais les obligations de fond restent identiques.

Un SaaS américain utilisé en France tombe-t-il sous l’AI Act ? Oui, le règlement est extraterritorial. Tout système déployé sur le marché européen entre dans le périmètre, quelle que soit la nationalité du fournisseur. Les utilisateurs européens deviennent co-responsables en cas de non-conformité du fournisseur.

Peut-on utiliser ChatGPT en entreprise après le 2 août 2026 ? Oui, les LLM à usage général ne sont pas interdits. Mais leur utilisation en contexte haut risque (décision RH, crédit, santé) impose une conformité équivalente à celle d’un système développé en interne. L’éditeur (OpenAI) doit fournir la documentation technique nécessaire.

Articles similaires

IA Générale

IA souveraine japonaise : 6,3 Md$ pour un LLM sans les US

avril 23, 2026

IA Générale

Australie : 73 dossiers truqués à l’IA, la justice durcit

avril 23, 2026

IA Générale

Microsoft Purview × Copilot : le DPO bloque enfin les prompts à risque

avril 22, 2026