Non, les amendes CNIL sur l'IA ne sont pas trop sévères — elles sont ridiculement basses
Non, les amendes CNIL sur l'IA ne sont pas trop sévères — elles sont ridiculement basses
Tout le monde autour de moi — juristes, DPO, fondateurs — répète la même chose : « La CNIL tape trop fort sur l'IA. » Les conférences compliance, les groupes LinkedIn, les éditos dans la presse tech française. Même tonalité, mêmes arguments : on brime l'innovation, on effraie les investisseurs, la France va se faire dépasser par les Américains et les Chinois.
J'ai regardé les chiffres. Vraiment.
Le constat est à l'opposé exact de ce discours ambiant.
550 000 €. C'est le montant total des sanctions CNIL liées à l'intelligence artificielle entre décembre 2025 et mars 2026. Quatre amendes, cinq mois, un marché français de l'IA évalué à plusieurs milliards d'euros.
Ça ne fait peur à personne.
Quatre sanctions, un signal bien trop faible
Reprenons le détail. La CNIL a sanctionné quatre entreprises sur cette période, toutes pour des manquements documentés au RGPD appliqué à des systèmes IA. Pas pour de l'expérimentation hasardeuse ou de l'innovation trop rapide — pour des défauts basiques de conformité.
| Entreprise | Montant | Motif | Date |
|---|---|---|---|
| Company W | 100 000 € | Scoring crédit sans évaluation d'impact IA | Déc. 2025 |
| Company Z | 250 000 € | Profilage discriminatoire en recrutement | Jan. 2026 |
| Company Y | 150 000 € | Chatbot sans transparence sur l'usage d'IA | Fév. 2026 |
| Company X | 50 000 € | Reconnaissance faciale sans base légale | Mars 2026 |
La plus grosse amende de la série : 250 000 €. Pour un algorithme de recrutement qui discriminait activement des candidats. Autrement dit, une entreprise a déployé un outil qui triait des êtres humains sur des critères biaisés — et la facture s'est élevée à 250 000 euros.
Pour remettre en perspective : Meta a payé 1,2 milliard d'euros d'amende RGPD en 2023. Amazon, 746 millions en 2021. Même à l'échelle strictement française, la CNIL a infligé 150 millions à un seul acteur en 2022 pour des manquements liés aux cookies.
On parle ici de montants 600 fois inférieurs. Le mot « sévère » n'a rien à faire dans cette conversation.
Le vrai scandale, c'est l'impunité de fait
La bonne question n'est pas « pourquoi la CNIL sanctionne-t-elle l'IA ? ». C'est « pourquoi sanctionne-t-elle si peu, si bas ? ».
Posons les plafonds côte à côte. Le RGPD prévoit des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé. L'IA Act, dont les premières dispositions sont entrées en vigueur, va encore plus loin : 35 millions d'euros ou 7 % du CA mondial pour les violations les plus graves.
En théorie, l'arsenal existe. En pratique, la CNIL n'approche jamais ces plafonds sur les dossiers IA. L'amende moyenne des quatre décisions : 137 500 €. Rapporté au chiffre d'affaires probable des entreprises sanctionnées — même modestes —, on tourne vraisemblablement sous la barre des 0,5 % de leur CA annuel.
Un DPO m'a raconté il y a quelques semaines que sa direction avait « provisionné 200 000 euros de risque CNIL » pour l'année entière. Comme on provisionne un budget de fournitures de bureau. Pas comme on anticipe une menace sérieuse. Au vu des montants réels, je peine à leur donner tort.
Quand le coût de la sanction est inférieur au coût de la conformité, la sanction ne sanctionne rien du tout. Elle autorise.
L'IA Act change-t-il la donne ? Zéro sanction à ce jour
Beaucoup de commentateurs misent sur l'IA Act pour muscler l'arsenal. Le texte est ambitieux, personne ne le conteste. Le Décret d'application du 20 mars 2026 a officiellement désigné l'autorité nationale de surveillance en France. Les Lignes directrices de l'AI Office, publiées au 1er avril, détaillent la classification des systèmes à risque élevé. Et le Règlement délégué du 10 mars encadre spécifiquement les modèles d'IA à usage général (GPAI).
Sur le papier, tout avance.
Sauf que le compteur de sanctions IA Act reste bloqué à zéro. Pas une seule amende prononcée sous ce régime depuis son entrée en vigueur partielle. Les moyens d'investigation ne sont pas déployés. La coordination entre la CNIL et la nouvelle autorité IA reste floue — le CEPD a publié un avis spécifique en février 2026 pour tenter de clarifier l'articulation entre les deux règlements, preuve que même les instances européennes tâtonnent.
Résultat paradoxal : la France se retrouve avec un cadre juridique parmi les plus structurés au monde, et une capacité de sanction parmi les plus faibles rapportée au nombre de systèmes IA effectivement déployés sur son territoire.
À qui profite le discours de la « CNIL trop dure » ?
Je vais être direct. Aux grands groupes. Pas aux startups, pas aux PME.
Prenez une startup qui déploie un chatbot IA soumis aux obligations RGPD. Elle lit les articles alarmistes, s'inquiète, investit 20 000 ou 30 000 € en conformité préventive. C'est considérable pour une boîte de dix personnes. Mais c'est la réaction rationnelle quand on ne peut pas absorber une amende imprévue.
Un grand groupe, lui, provisionne. 200 000 €, 500 000 € — la sanction maximale observée dans le domaine IA est tellement basse que le calcul coûts-bénéfices est vite fait. Le risque financier de non-conformité reste inférieur au coût d'une mise en conformité complète. Pur raisonnement économique, pas de méchanceté là-dedans — juste des tableurs.
Les amendes faibles protègent les acteurs qui ont les moyens de payer, et pénalisent ceux qui se conforment par précaution parce qu'ils ne pourraient pas encaisser le coup. C'est un transfert de charge réglementaire déguisé. Personne n'en parle, tout le monde préfère le storytelling de la startup écrasée par la bureaucratie.
« Oui mais la CNIL n'a pas les moyens… »
Objection recevable. Le budget annuel de la CNIL tourne autour de 25 millions d'euros, pour environ 280 agents. C'est ce budget qui couvre la protection des données de 68 millions de Français, le suivi du RGPD, et maintenant la montée en charge sur l'IA.
C'est sous-dimensionné, oui. Mais ce constat n'est pas un argument pour se réjouir de la situation — c'est un argument pour exiger davantage de moyens.
Regardez ailleurs. Le Royaume-Uni a doté l'ICO d'un budget de 76 millions de livres. L'Irlande, petite île qui héberge les sièges européens de Meta, Google et Apple, finance sa DPC à plus de 30 millions d'euros annuels. Et la France, première économie du continent, celle qui pousse le plus fort sur l'IA Act au Conseil européen ? 25 millions pour tout faire.
Quand on vote des textes ambitieux sans financer leur application, on fabrique du théâtre réglementaire. Des lois-vitrines. C'est exactement ce qu'on observe aujourd'hui.
Petite digression, mais elle compte : j'ai parcouru les 59 documents publiés par le CEPD sur son portail — guidelines, opinions, recommandations sur l'IA, les transferts de données, le profilage automatisé. La production normative européenne est massive. Sauf qu'une guideline sans contrôle effectif, c'est une suggestion polie. Pas une règle.
Ce qui va changer au second semestre 2026
Voici ce que les données de tendance suggèrent. La CNIL va augmenter les montants. Pas par conviction, mais par nécessité politique. Le Décret de mars crée une pression institutionnelle — l'autorité nationale existe, elle doit justifier son existence. L'AI Office européen observe ce que font les États membres. La France ne pourra pas rester le pays qui vote l'IA Act et qui sanctionne à 50 000 €.
| Indicateur | S1 2026 (constaté) | H2 2026 (projection) |
|---|---|---|
| Sanctions CNIL liées à l'IA | 4 | 8 à 15 |
| Montant cumulé | 550 000 € | 1,5 à 4 M€ |
| Amende moyenne | 137 500 € | 200 000 – 400 000 € |
| Sanctions sous régime IA Act | 0 | 1 à 3 (probablement symboliques) |
Ces projections suivent la courbe d'accélération observée au T1 2026 : 9 événements réglementaires en 120 jours, soit un nouveau texte ou une décision tous les 13 jours en moyenne. Le rythme ne va pas ralentir. Au contraire.
Le moment de se préparer, c'est maintenant. Pas quand les amendes auront doublé et que votre concurrent aura déjà son AIPD en poche.
Trop sévère ou pas assez ? La vraie réponse
Je mesure la tension dans mon propre raisonnement. D'un côté, je dis que les amendes sont trop faibles pour dissuader. De l'autre, je sais que 100 000 € peuvent couler une jeune entreprise. Ces deux réalités coexistent, et c'est justement le problème.
Un bon système de sanctions remplit deux fonctions. Dissuader les comportements graves chez les acteurs puissants. Protéger ceux qui investissent sincèrement dans la conformité en leur garantissant que les tricheurs ne s'en tirent pas à bon compte. Le système français, aujourd'hui, ne fait ni l'un ni l'autre correctement.
Les grands groupes ne tremblent pas. Les startups surréagissent. Et entre les deux, le débat public reste bloqué sur un faux problème — « la CNIL freine l'innovation » — pendant que le vrai sujet dort dans les provisions comptables.
La prochaine fois que quelqu'un vous sert cette phrase, demandez-lui un chiffre. Un seul. 550 000 €, quatre sanctions, cinq mois. C'est tout ce qu'il y a à montrer.
Trouvez-moi un frein dans ces chiffres-là.
Pour savoir où se situe votre système IA face aux obligations actuelles, notre checklist conformité IA Act + template DPA est en accès libre.
Sur le même sujet : le comparatif détaillé IA Act vs RGPD pour les chatbots et notre anatomie chiffrée de l'accélération réglementaire au T1 2026.