Réglementation IA en France : le bilan d'avril 2026

Quatre amendes. Neuf textes réglementaires. Zéro euro perçu au titre de l'IA Act.

Voilà le résumé brut de cinq mois de réglementation IA en France, de décembre 2025 à avril 2026. Les chiffres proviennent d'un croisement entre les décisions publiques CNIL, le Journal Officiel de l'UE, les avis du CEPD et Legifrance. Pas d'extrapolation ici — juste ce qui a été publié, signé, sanctionné.

Un collègue DPO m'a fait remarquer la semaine dernière que ses clients lui posent tous la même question : « On est soumis à l'IA Act ou au RGPD ? » Sa réponse : « Aux deux, mais un seul mord pour l'instant. » Les chiffres lui donnent raison.

Les 4 sanctions CNIL liées à l'IA depuis décembre 2025

Commençons par ce qui fait mal au portefeuille.

La CNIL a prononcé quatre sanctions explicitement liées à des systèmes d'intelligence artificielle entre décembre 2025 et mars 2026. Total cumulé : 550 000 €. Toutes fondées sur le RGPD — articles 5, 13, 22 et 35 principalement. Aucune ne cite l'IA Act comme base légale.

Quelques observations.

L'amende la plus lourde — 250 000 € contre Company Z — concerne le recrutement. Un algorithme de présélection de CV qui reproduisait des biais discriminatoires. Le cas a fait l'objet d'une analyse détaillée sur ce blog. La CNIL a considéré que l'absence d'intervention humaine significative dans le processus décisionnel violait l'article 22 du RGPD.

Company Y, sanctionnée de 150 000 €, exploitait un chatbot client sans jamais mentionner qu'une IA traitait les conversations. Pas de bandeau, pas de mention dans les CGU, rien. Un oubli de transparence qui coûte cher — et qui relève autant des obligations croisées IA Act et RGPD que du seul règlement sur les données personnelles.

La CNIL a aussi clôturé l'injonction prononcée à l'encontre de la société Kaspr le 6 mars 2026, et publié son bilan sanctions 2025 le 9 février. Sans oublier la sanction massive de 5 millions d'euros contre France Travail fin janvier — pas directement liée à l'IA, mais à une violation de données qui rappelle l'ampleur des montants que la CNIL peut mobiliser quand elle le veut.

9 textes réglementaires publiés en 5 mois

Le volet normatif a été dense. Très dense.

Entre décembre 2025 et avril 2026, neuf textes significatifs ont été publiés ou sont entrés en application. Trois au niveau européen, deux au niveau français via Legifrance, et quatre avis ou lignes directrices complémentaires.

Au niveau européen

1er avril 2026 — L'AI Office de la Commission européenne a publié ses lignes directrices sur les systèmes d'IA à risque élevé. Le texte précise les exigences de documentation technique et la méthodologie de classification. Pour les équipes produit qui développent des outils de scoring, de recrutement ou de diagnostic, c'est le document de référence à lire en priorité.

10 mars 2026 — Le règlement délégué sur les modèles d'IA à usage général (GPAI) fixe les obligations spécifiques pour les fournisseurs de modèles fondation. Transparence sur les données d'entraînement, évaluation des risques systémiques, notification aux autorités. Les acteurs comme Mistral AI ou les intégrateurs de GPT-4 en France sont directement concernés.

15 février 2026 — L'avis du CEPD sur l'articulation IA Act / RGPD clarifie un point qui posait problème depuis des mois : comment les deux textes s'appliquent simultanément quand un système d'IA traite des données personnelles. Réponse courte du CEPD : les deux s'appliquent, sans hiérarchie entre eux. Les obligations se cumulent.

Au niveau français

20 mars 2026 — Le décret d'application de l'IA Act en France désigne l'autorité nationale de surveillance. Sans surprise, la CNIL obtient un rôle central, en coordination avec d'autres régulateurs sectoriels. La question de la gouvernance multi-autorités reste un chantier ouvert.

28 février 2026 — L'arrêté sur les modalités de déclaration des systèmes d'IA à risque élevé définit les procédures d'enregistrement dans la base de données européenne. Les entreprises ont désormais un formulaire — mais la base elle-même n'est pas encore totalement opérationnelle. Paradoxe classique.

Au CEPD : une activité soutenue

Le CEPD a publié plusieurs documents structurants en parallèle : les Guidelines 1/2026 sur le traitement de données personnelles à des fins de recherche scientifique, l'Opinion conjointe EDPB-EDPS 4/2026 sur la proposition de Cybersecurity Act 2, et l'Opinion conjointe 3/2026 sur le Biotech Act européen. Le rapport annuel 2025 du CEPD, également sorti cette année, confirme que l'IA figure en tête des priorités d'enforcement pour 2026-2027.

Le paradoxe IA Act : un cadre sans dents (pour l'instant)

Un constat traverse ce bilan comme un fil rouge.

L'IA Act est entré en vigueur. Des lignes directrices sont publiées. Un décret français désigne l'autorité de surveillance. Et pourtant : zéro amende, zéro mise en demeure, zéro contrôle formel annoncé sous ce texte.

Ce n'est pas anormal, techniquement. Le calendrier d'application de l'IA Act est progressif : les interdictions absolues (scoring social, manipulation subliminale) sont applicables depuis février 2025, mais les obligations pour les systèmes à risque élevé ne seront pleinement exigibles qu'en août 2026. Le mécanisme d'enforcement européen n'est pas encore rodé. Les formulaires de déclaration existent, la base de données pas vraiment.

Résultat concret : c'est le RGPD qui fait le travail. Les quatre sanctions CNIL d'avril s'appuient toutes sur des articles du règlement de 2016, pas sur le texte de 2024. Pour un fondateur de startup IA ou un DPO en poste, la priorité réglementaire reste la même qu'il y a deux ans : conformité RGPD d'abord, IA Act ensuite. J'avais exploré cette asymétrie dans l'analyse du cas d'un fondateur de fintech sanctionné pour scoring crédit non conforme — la dynamique n'a pas changé.

Ce qu'il faut surveiller en mai-juin 2026

Trois échéances à garder à l'œil.

Première : les premières sanctions IA Act pourraient tomber dès l'été 2026 si l'autorité nationale de surveillance accélère ses travaux. Le décret de mars lui donne les moyens juridiques. Il manque encore les moyens humains et budgétaires — un détail qui n'en est pas un.

Deuxième : la CNIL a annoncé dans son bilan 2025 un programme de contrôles thématiques ciblant les chatbots d'entreprise et les systèmes de scoring automatisé. Les entreprises qui n'ont pas réalisé d'analyse d'impact (AIPD) sur leurs outils IA sont en première ligne.

Troisième : le CEPD prépare de nouvelles lignes directrices spécifiques à l'IA, attendues au T3 2026. Elles pourraient modifier la doctrine d'interprétation de la base légale « intérêt légitime » pour l'entraînement de modèles — un sujet brûlant pour toute entreprise qui fait du fine-tuning sur des données européennes.

Les chiffres à retenir

Difficile de résumer cinq mois de réglementation en quelques lignes. Essayons quand même.

550 000 € d'amendes CNIL liées à l'IA. Quatre entreprises sanctionnées. Neuf textes publiés entre l'UE et la France. Zéro sanction sous l'IA Act. Un avis CEPD qui confirme le cumul des obligations RGPD + IA Act. Et une autorité nationale de surveillance enfin désignée par décret, même si sa montée en puissance reste à observer.

Le mouvement est net : la France réglemente l'IA par le RGPD en attendant que l'IA Act devienne opérationnel. Les entreprises qui attendent août 2026 pour s'y mettre prennent un risque — la CNIL, elle, n'attend pas.

Pour évaluer votre niveau de conformité actuel, notre checklist gratuite IA Act + template DPA couvre les 12 points de contrôle prioritaires identifiés dans les sanctions CNIL de ce trimestre.