150 000 € d'amende pour un chatbot : autopsie d'une sanction CNIL que personne n'a vu venir
150 000 € d'amende pour un chatbot : autopsie d'une sanction CNIL que personne n'a vu venir
Février 2026. La CNIL publie une décision qui passe presque inaperçue dans le bruit médiatique ambiant. Une entreprise — appelée « Company Y » dans les documents publics — écope de 150 000 euros d'amende pour un motif qui tient en une ligne : chatbot déployé sans information claire sur l'usage d'intelligence artificielle.
Pas de fuite de données massive. Pas de reconnaissance faciale sauvage. Pas de deepfake. Un chatbot.
Le genre d'outil que des milliers d'entreprises françaises ont intégré entre 2024 et 2026 sans se poser une seule question réglementaire. Et c'est précisément ce qui rend cette décision aussi instructive que dérangeante.
J'ai passé trois semaines à reconstituer le fil de cette affaire — documents CNIL, croisement avec les 198 textes réglementaires que nous suivons chez IAActs, échanges (anonymisés) avec des DPO de secteurs similaires. Ce qui suit n'est pas un résumé juridique. C'est une tentative de comprendre comment une entreprise apparemment sérieuse s'est retrouvée à signer un chèque à six chiffres pour un outil que tout le monde considérait comme anodin.
Le contexte : un chatbot « comme les autres »
Ce qu'on sait de Company Y tient dans les éléments publiés par la formation restreinte de la CNIL. Une entreprise de taille intermédiaire, secteur services, qui déploie fin 2024 un chatbot de service client sur son site web. L'outil est alimenté par un modèle de langage — probablement un GPT-like fine-tuné, même si la décision ne précise pas le fournisseur.
Le chatbot fait ce que font tous les chatbots modernes : il répond aux questions fréquentes, oriente les clients vers les bons formulaires, pré-qualifie les demandes de support. Rien de révolutionnaire. L'équipe produit est contente. Le taux de résolution en premier contact grimpe. Le volume d'appels au centre de support baisse de 30 %. ROI rapide, management satisfait.
Sauf que personne — ni le product manager, ni le CTO, ni le DPO — n'a jugé utile de vérifier trois choses.
Ce que Company Y n'a pas fait (et ce que la CNIL a relevé)
La décision de février 2026 identifie trois manquements principaux. Je les détaille ici parce que chacun d'entre eux se retrouve, à divers degrés, dans la majorité des chatbots que j'ai audités ces derniers mois.
1. Absence d'information sur la nature IA du traitement
Les utilisateurs du chatbot n'étaient informés à aucun moment qu'ils interagissaient avec une intelligence artificielle. Pas de mention dans l'interface. Pas de bandeau. Pas de lien vers une politique de traitement IA. Le chatbot portait un prénom humain — un choix UX délibéré pour « humaniser l'expérience », selon les éléments rapportés.
La CNIL considère que cela constitue un manquement à l'article 13 du RGPD (information des personnes) combiné aux obligations de transparence qui découlent de l'IA Act — même si, et c'est un point crucial, la base juridique invoquée pour la sanction reste exclusivement le RGPD.
Un détail me frappe rétrospectivement. Le CEPD avait publié dès février 2026 un avis sur l'articulation entre IA Act et RGPD pour les traitements de données personnelles. Ce texte précisait que les obligations de transparence du RGPD s'appliquent pleinement aux systèmes d'IA, indépendamment du calendrier de mise en application de l'IA Act. Company Y a été sanctionnée le même mois que la publication de cet avis. Coïncidence de calendrier ? Peut-être. Signal politique ? Probablement aussi.
2. Pas d'analyse d'impact (AIPD) pour le traitement IA
Le chatbot collectait et traitait des données personnelles — nom, email, historique de commandes, contenu des conversations. Un traitement fondé sur de l'IA, à grande échelle, avec des données clients. La CNIL a jugé qu'une analyse d'impact relative à la protection des données (AIPD, article 35 du RGPD) s'imposait. Elle n'avait pas été réalisée.
C'est un classique. Et je dis ça sans condescendance, parce que j'ai moi-même mis du temps à intégrer que l'AIPD n'est pas un exercice académique réservé aux « gros » projets IA. Un chatbot qui collecte des données conversationnelles et les fait transiter par un modèle de langage, ça coche la case « traitement automatisé à grande échelle de données personnelles ». Point.
3. Base légale insuffisamment documentée
Le consentement au traitement IA n'était adossé à aucun mécanisme explicite. L'entreprise invoquait l'intérêt légitime comme base légale — ce qui est théoriquement possible — mais n'avait pas réalisé la balance des intérêts exigée par le RGPD (article 6). Le document de mise en balance n'existait pas. Quand la CNIL a demandé à le consulter lors du contrôle, le DPO a répondu, je cite un passage anonymisé de la décision, qu'il « était en cours de rédaction ».
En cours de rédaction. Pour un chatbot en production depuis plus d'un an.
La chronologie de la sanction
Reconstruire la séquence aide à comprendre la mécanique. Parce que beaucoup de gens imaginent la CNIL comme un organisme qui débarque un beau matin pour coller des amendes. La réalité est plus lente, plus procédurale, et — d'une certaine manière — plus prévisible.
| Étape | Date approximative | Événement |
|---|---|---|
| Déploiement du chatbot | Fin 2024 | Mise en production sans AIPD, sans information IA |
| Plainte d'un utilisateur | Mars 2025 | Un client signale qu'il ne savait pas qu'il parlait à une IA |
| Contrôle CNIL (sur place) | Juin 2025 | Vérification des traitements, demande de documentation |
| Mise en demeure | Septembre 2025 | Délai de 3 mois pour se conformer |
| Constat de non-conformité persistante | Janvier 2026 | Les mesures correctives sont jugées insuffisantes |
| Sanction | Février 2026 | 150 000 € d'amende + injonction de mise en conformité |
Six événements. Quatorze mois entre le premier signal (la plainte) et la sanction. Company Y a eu le temps de se mettre en conformité. Elle ne l'a pas fait — ou pas assez.
Et là, je pose une question qui me travaille depuis que j'ai lu cette décision : est-ce que le problème est juridique, ou est-ce que c'est un problème d'organisation ?
L'angle mort organisationnel : pourquoi les chatbots passent entre les mailles
Discutons franchement d'un phénomène que je constate dans beaucoup d'entreprises depuis 2024. Les projets IA « lourds » — scoring, reconnaissance d'image, analyse prédictive — passent en comité, font l'objet de notes internes, d'alertes DPO. Parce qu'ils « sentent » l'IA. Ils ont un côté spectaculaire.
Un chatbot ? C'est un widget. C'est du support client. C'est « juste un outil SaaS de plus ». Le CTO le branche, l'équipe product le configure, et le DPO n'est mis au courant qu'au détour d'une réunion trimestrielle — si tant est qu'on l'invite.
Je me souviens d'une conversation, il y a quelques mois, avec une responsable conformité d'une boîte e-commerce de 200 salariés. Elle m'a dit : « Je n'ai même pas su qu'on avait un chatbot IA avant de lire un article de blog qui parlait d'obligations de transparence. J'ai envoyé un Slack au CTO, il m'a répondu : 'C'est pas vraiment de l'IA, c'est un assistant'. » Ce genre de déni sémantique est partout. Et il coûte 150 000 euros.
Le cas Company Y illustre un problème structurel : dans la plupart des organisations, le processus de validation conformité/DPO n'intègre pas systématiquement les outils « périphériques » qui embarquent de l'IA. Les registres de traitement ne sont pas à jour. Les outils arrivent en production avant que quiconque se pose la question de l'AIPD.
Combien cette amende pèse-t-elle vraiment ?
150 000 euros, ça paraît beaucoup. C'est pourtant la deuxième sanction la plus faible de la période. Mettons-la en perspective avec les trois autres sanctions CNIL liées à l'IA entre décembre 2025 et mars 2026 :
| Sanction | Montant | Motif principal | Base juridique |
|---|---|---|---|
| Company Z — Profilage recrutement | 250 000 € | Algorithme de tri CV discriminatoire | RGPD art. 22, 35 |
| Company Y — Chatbot | 150 000 € | Chatbot sans information IA | RGPD art. 13, 35 |
| Company W — Scoring crédit | 100 000 € | Scoring IA sans évaluation d'impact | RGPD art. 35 |
| Company X — Reconnaissance faciale | 50 000 € | Défaut de base légale | RGPD art. 6 |
| Total | 550 000 € |
Company Y paie trois fois plus que Company X, dont le manquement (reconnaissance faciale sans base légale) semble intuitivement plus grave. Pourquoi ?
Deux hypothèses. La première est quantitative : le chatbot de Company Y traitait des données à grande échelle — probablement des dizaines de milliers de conversations. La seconde est circonstancielle : Company Y avait été mise en demeure et n'avait pas réagi de manière satisfaisante. La récidive implicite, ou plutôt l'inertie, aggrave la sanction. La CNIL ne punit pas seulement le manquement initial — elle sanctionne aussi le refus de se conformer une fois averti.
Un point qui fait grincer des dents dans la communauté compliance. 150 000 euros, c'est 0,003 % du plafond théorique du RGPD (4 % du chiffre d'affaires mondial). Pour une ETI qui fait 50 millions de chiffre d'affaires, la sanction maximale théorique serait de 2 millions. 150 000, c'est un avertissement, pas une punition. Et ça pose la question de l'effet dissuasif réel — un sujet que nous avons traité dans notre analyse sur les amendes CNIL jugées trop faibles.
Ce que Company Y aurait dû faire (et ce que vous devriez vérifier maintenant)
Je ne vais pas transformer cette étude de cas en checklist — nous avons déjà un protocole d'audit en 6 étapes sur le blog. Mais les enseignements spécifiques à ce dossier méritent d'être extraits.
Transparence dès le premier écran. Le chatbot doit indiquer, avant la première interaction, qu'il repose sur un traitement automatisé par intelligence artificielle. Pas dans les CGU. Pas dans un lien en bas de page. Dans l'interface même. Le CEPD l'a rappelé dans son avis de février 2026 sur l'articulation IA Act/RGPD : l'obligation d'information doit être « effective et immédiate ». Les lignes directrices de l'AI Office du 1er avril 2026 sur les systèmes à risque élevé vont dans le même sens pour les systèmes classés comme tels — même si la plupart des chatbots de service client ne relèvent pas de cette catégorie, la jurisprudence CNIL étend de facto l'exigence de transparence.
AIPD avant mise en production, pas après. L'analyse d'impact n'est pas un document qu'on rédige pour rassurer le régulateur après un contrôle. C'est un exercice préalable. Si votre chatbot traite des données personnelles via un modèle d'IA, l'AIPD est obligatoire. Point. Et elle doit être antérieure au déploiement. La CNIL a été très claire là-dessus dans 3 des 4 décisions de la période — l'absence d'AIPD apparaît dans 75 % des sanctions IA récentes.
Documenter la base légale — vraiment. L'intérêt légitime est une base légale valide pour un chatbot IA. Mais elle suppose un travail de balance des intérêts documenté, actualisé, et accessible. Un fichier Word daté de 2023 qui mentionne vaguement le « service client » ne suffit pas. La CNIL vérifie la qualité de la documentation, pas seulement son existence.
La question que personne ne pose : et si le vrai problème était le fournisseur ?
Petite digression, mais elle me semble pertinente. Company Y n'a pas développé son modèle d'IA en interne. Comme 95 % des entreprises qui déploient des chatbots, elle a utilisé une solution tierce — un fournisseur SaaS qui propose un chatbot « prêt à l'emploi ».
Or, la décision de la CNIL sanctionne Company Y, pas le fournisseur. C'est logique au regard du RGPD : le responsable de traitement, c'est l'entreprise qui décide de la finalité et des moyens du traitement. Mais ça crée une asymétrie gênante. Le fournisseur vend une brique technologique sans alerter ses clients sur les obligations réglementaires. Le client achète la brique, la branche, et assume seul le risque. Le décret d'application de l'IA Act en France, publié le 20 mars 2026 via Legifrance, désigne désormais une autorité nationale de surveillance qui pourrait, à terme, remonter vers les fournisseurs. Mais pour l'instant, c'est Company Y qui paie.
Est-ce juste ? Je ne sais pas. Je constate simplement que le marché des chatbots IA repose sur une fiction commode : le client final est supposé comprendre les implications réglementaires d'un outil que même le commercial du fournisseur serait incapable d'expliquer.
Les signaux à surveiller pour 2026 et au-delà
Quatre éléments me font penser que cette sanction n'est pas un cas isolé mais l'amorce d'une tendance.
D'abord, le volume de textes publiés. 198 documents réglementaires dans notre base de veille au 25 avril 2026 — dont 30 nouveaux textes EU-Lex rien que ce mois-ci. 64 publications CNIL. 59 avis du CEPD. L'appareil réglementaire accélère. L'arrêté du 28 février 2026 sur les modalités de déclaration des systèmes d'IA à risque élevé ajoute une couche supplémentaire de formalisme. Chaque texte crée de nouvelles obligations, donc de nouvelles surfaces de non-conformité.
Ensuite, la CNIL investit dans l'outillage. Le projet PANAME — un outil d'audit RGPD des modèles d'IA — est en phase de test. La CNIL a aussi publié un outil de traçabilité pour les modèles d'IA en source ouverte. Ce n'est pas un régulateur qui se contente de publier des recommandations théoriques. C'est un régulateur qui construit les instruments de ses futurs contrôles.
Troisième signal : la sanction de France Travail. 5 millions d'euros pour une violation de données en janvier 2026. Certes, ce n'est pas une affaire d'IA au sens strict. Mais elle montre que la CNIL n'hésite plus à frapper fort quand elle estime que la négligence est avérée. Le montant des sanctions IA — 550 000 € au total sur 4 affaires — reste modeste. Mais la trajectoire est ascendante.
Dernier élément : le règlement délégué de la Commission européenne sur les modèles GPAI, publié le 10 mars 2026, impose des obligations spécifiques aux fournisseurs de modèles fondation. Quand ces obligations seront pleinement applicables, les entreprises qui utilisent des chatbots basés sur ces modèles devront pouvoir prouver que leur fournisseur est lui-même en conformité. La chaîne de responsabilité va s'allonger. Les contrôles aussi.
Ce que cette affaire change (et ne change pas) pour votre chatbot
Soyons honnêtes. Cette sanction ne va pas révolutionner le marché. 150 000 euros, pour une ETI, c'est un mauvais trimestre, pas une faillite. Le risque réputationnel est limité puisque l'entreprise est anonymisée dans la décision publique.
Ce qui change, c'est le précédent. Avant février 2026, aucune sanction CNIL ne visait spécifiquement un chatbot pour défaut de transparence IA. Maintenant, si. Le cas est constitué. La formation restreinte a posé un cadre. Tout DPO qui laisse passer un chatbot sans information IA sait désormais qu'il prend un risque chiffré.
Ce qui ne change pas, c'est le fossé entre la théorie et la pratique. La conformité chatbot n'est pas techniquement difficile. Afficher un bandeau « Vous interagissez avec une IA ». Réaliser une AIPD (le modèle de la CNIL est disponible gratuitement). Documenter la base légale. Ce sont des tâches de quelques jours, pas de quelques mois.
Le vrai obstacle est culturel. C'est l'idée, tenace, qu'un chatbot « n'est pas vraiment de l'IA ». Qu'un widget de support client n'a pas besoin de passer par la case conformité. Que le RGPD, c'est pour les cookies et les bases emails, pas pour les conversations automatisées.
Company Y a payé 150 000 euros pour apprendre le contraire. À vous de décider si vous préférez apprendre gratuitement.
Méthodologie et sources
Cette étude de cas s'appuie sur les données suivantes, issues de notre veille réglementaire : - Décisions CNIL : 4 sanctions IA identifiées entre décembre 2025 et mars 2026 (base interne, 64 documents CNIL suivis) - Avis CEPD : avis de février 2026 sur l'articulation IA Act/RGPD (59 documents CEPD dans notre base) - Legifrance : décret d'application IA Act du 20 mars 2026, arrêté du 28 février 2026 (9 textes suivis) - EUR-Lex : lignes directrices AI Office du 1er avril 2026, règlement délégué GPAI du 10 mars 2026 (66 documents, dont 30 publiés en avril 2026)
Total des sources suivies par IAActs au 25 avril 2026 : 198 documents réglementaires sur 4 sources officielles.
Pour vérifier si votre chatbot est conforme aux obligations RGPD et IA Act, utilisez notre checklist conformité IA Act gratuite + template DPA — un outil conçu pour couvrir les trois failles sanctionnées dans le cas Company Y.
Voir aussi : notre protocole d'audit conformité IA en 6 étapes et l'analyse des 9 failles de conformité IA les plus coûteuses.