550 000 € d'amendes CNIL sur l'IA en 4 mois : les chiffres que personne n'agrège
550 000 € d'amendes CNIL sur l'IA en 4 mois : les chiffres que personne n'agrège
Quatre décisions. Quatre entreprises. Un demi-million d'euros. Entre décembre 2025 et mars 2026, la formation restreinte de la CNIL a prononcé quatre sanctions directement liées à des systèmes d'intelligence artificielle. Prises séparément, ces décisions font l'objet de brèves dans la presse spécialisée. Agrégées, elles dessinent un motif — et ce motif raconte quelque chose sur les priorités réelles du régulateur français en matière d'IA.
On a compilé les données des quatre décisions publiques, croisé avec les textes parus au Journal Officiel de l'UE et sur Légifrance, et passé au crible les 176 items de notre veille réglementaire. Voici ce qu'on en tire.
Les 4 sanctions : vue d'ensemble
| Date | Entité | Montant | Motif principal | Base juridique |
|---|---|---|---|---|
| Janvier 2026 | Company Z | 250 000 € | Profilage automatisé discriminatoire (recrutement) | Art. 22 RGPD |
| Février 2026 | Company Y | 150 000 € | Chatbot déployé sans information sur l'usage d'IA | Art. 13-14 RGPD |
| Mars 2026 | Company X | 50 000 € | Reconnaissance faciale sans base légale | Art. 6 RGPD |
| Décembre 2025 | Company W | 100 000 € | Scoring crédit sans analyse d'impact (AIPD) | Art. 35 RGPD |
Total : 550 000 € sur 4 décisions.
Montant moyen par sanction : 137 500 €. C'est à la fois peu (France Travail s'est pris 5 millions d'euros en janvier 2026 pour une violation de données classique) et beaucoup pour des PME ou ETI qui n'avaient parfois même pas de DPO désigné.
Répartition par type de faille
La ventilation des motifs est parlante. Sur les quatre sanctions, aucun doublon.
Faille sanctionnée Montant Part du total
─────────────────────────────────────────────────────────
Profilage discriminatoire 250 000 € 45,5 %
Défaut de transparence 150 000 € 27,3 %
Absence de base légale 50 000 € 9,1 %
AIPD manquante 100 000 € 18,2 %
─────────────────────────────────────────────────────────
TOTAL 550 000 € 100,0 %
Le profilage discriminatoire pèse presque la moitié du total à lui seul. La CNIL frappe plus fort quand l'IA touche directement à l'emploi — ce qui coïncide avec la classification « risque élevé » que l'IA Act attribue aux systèmes de recrutement (annexe III, point 4). Un hasard ? Probablement pas.
Chronologie croisée : sanctions et textes réglementaires
Ce qui rend la période décembre 2025 – avril 2026 inhabituelle, c'est la convergence entre l'action répressive de la CNIL et l'entrée en vigueur progressive de l'IA Act. Le calendrier parle de lui-même.
Déc 2025 ──── Sanction scoring crédit (100 000 €)
Jan 2026 ──── Sanction profilage recrutement (250 000 €)
Fév 2026 ──┬─ Sanction chatbot (150 000 €)
├─ Arrêté déclaration systèmes IA risque élevé
└─ Avis CEPD sur articulation IA Act / RGPD
Mar 2026 ──┬─ Sanction reconnaissance faciale (50 000 €)
├─ Décret d'application IA Act en France
└─ Règlement délégué modèles GPAI (Commission UE)
Avr 2026 ──── Lignes directrices systèmes IA risque élevé (AI Office)
Cinq textes majeurs en trois mois, côté législatif. Quatre sanctions côté enforcement. La machine réglementaire tourne sur deux jambes, et les deux accélèrent en même temps.
Un détail m'a frappé en agrégeant ces données : la sanction la moins élevée (50 000 € pour la reconnaissance faciale) tombe le même mois que le décret d'application de l'IA Act en France. Comme si la CNIL soldait les dossiers RGPD « classiques » avant que le nouveau cadre ne redistribue les compétences. Pure spéculation, mais le timing est troublant.
Ce que les montants disent (et ne disent pas)
Rapportons ces amendes à quelques ordres de grandeur.
Amendes CNIL IA (4 mois) 550 000 €
Amende France Travail (données) 5 000 000 €
Plafond RGPD théorique 20 000 000 € ou 4 % CA
Plafond IA Act (art. 99) 35 000 000 € ou 7 % CA
Le ratio est saisissant. Les 550 000 € cumulés sur l'IA représentent 11 % de la seule amende France Travail. Et ils ne pèsent que 2,75 % du plafond RGPD de 20 millions.
Autrement dit : la CNIL sanctionne, mais elle sanctionne doucement. Elle pose des jalons. Les montants resteront-ils à ce niveau une fois que l'IA Act sera pleinement applicable ? Rien n'est moins sûr. L'article 99 du règlement européen prévoit des plafonds à 35 millions d'euros pour les infractions les plus graves. On passe d'un terrain de jeu à un autre.
Mais — et c'est la nuance — les plafonds ne sont pas les montants effectifs. L'Irlande a mis cinq ans avant de prononcer sa première amende significative sous le RGPD. L'histoire des régulations tech montre une constante : les premières sanctions servent d'avertissement, pas de punition. La vraie question n'est pas le montant d'aujourd'hui. C'est la pente.
Ventilation par article du RGPD
Notre veille couvre 176 items réglementaires issus de 4 sources officielles (CNIL, EUR-Lex, Légifrance, CEPD). Sur les décisions CNIL spécifiquement, voici la base juridique mobilisée :
| Article RGPD | Objet | Nb de sanctions IA | Montant cumulé |
|---|---|---|---|
| Art. 22 | Décisions automatisées / profilage | 1 | 250 000 € |
| Art. 13-14 | Information des personnes | 1 | 150 000 € |
| Art. 35 | Analyse d'impact (AIPD) | 1 | 100 000 € |
| Art. 6 | Licéité du traitement | 1 | 50 000 € |
Chaque sanction IA mobilise un article différent. C'est un signal clair : la CNIL ne cible pas un angle unique. Elle couvre le spectre. Et pour les entreprises qui déploient de l'IA, ça signifie qu'il n'existe pas de « faille tolérable » — chaque manquement peut déclencher une procédure.
Le signal CEPD : l'articulation IA Act / RGPD se précise
L'avis du CEPD de février 2026 sur l'articulation entre IA Act et RGPD clarifie un point qui agite les DPO depuis deux ans : les deux textes s'appliquent cumulativement, pas alternativement. Un système d'IA qui traite des données personnelles doit respecter et le RGPD et l'IA Act. Double couche de conformité. Double risque de sanction.
Concrètement, pour un chatbot qui collecte des données utilisateurs, cela signifie : obligation de transparence RGPD (articles 13-14) plus obligation de signalement IA Act (article 52 pour les systèmes interagissant avec des personnes physiques). On l'a détaillé dans notre comparatif IA Act vs RGPD pour les chatbots.
Trois enseignements à retenir
1. L'AIPD est le point de bascule. Sur les 4 sanctions, celle visant l'absence d'analyse d'impact cible la faille la plus facilement évitable. Une AIPD prend quelques semaines, pas quelques mois. L'absence d'AIPD, en revanche, rend tout le reste attaquable — comme on l'a vu dans l'étude de cas sur le scoring crédit.
2. Le recrutement IA est dans le viseur. L'amende la plus lourde (250 000 €) concerne le profilage automatisé en recrutement. C'est aussi la catégorie « risque élevé » la plus explicitement visée par l'annexe III de l'IA Act. La convergence CNIL / IA Act sur ce sujet n'a rien d'anecdotique.
3. Les montants vont mécaniquement augmenter. Le décret d'application de mars 2026 et les lignes directrices d'avril posent les bases opérationnelles de l'IA Act en France. D'ici fin 2026, les premières sanctions mixtes RGPD + IA Act pourraient apparaître, avec des plafonds multipliés.
Une parenthèse : j'ai passé deux heures à essayer de trouver un décompte consolidé des amendes CNIL spécifiquement liées à l'IA. Ni sur le site de la CNIL, ni dans les rapports du CEPD, ni dans la presse spécialisée. Ce chiffre de 550 000 € n'existait nulle part sous forme agrégée avant qu'on le compile. Ça dit quelque chose sur l'état de la veille réglementaire IA en France.
Et maintenant ?
Le protocole d'audit que nous avons publié, détaillé en 6 étapes ici, couvre les quatre failles sanctionnées par la CNIL. C'est un bon point de départ.
Pour vérifier votre propre exposition, notre checklist conformité IA Act gratuite inclut un template d'analyse d'impact (DPA) pré-rempli — téléchargeable directement depuis la page d'accueil du site.
Les chiffres bougent vite. On met à jour cette analyse à chaque nouvelle décision CNIL.