IAActs

Le réveil brutal d'une DPO de startup : 550 000 € d'amendes CNIL et l'IA Act qui toque à la porte

Publié le 2026-04-25 | Mots-clés :

Le mail qui a tout déclenché

Nadia a ouvert le mail un mardi matin, café encore brûlant. Objet : « Bilan sanctions CNIL — veille interne ». Pièce jointe : un tableur de quatre lignes. Quatre décisions. Quatre sanctions liées à l'IA. Total : 550 000 euros d'amendes en moins de quatre mois.

Elle est DPO dans une fintech parisienne de 45 personnes. Un chatbot service client dopé au LLM. Un scoring crédit maison. Deux outils qui, d'après ce qu'elle venait de lire, la mettaient en plein dans le viseur de la CNIL.

Ce n'était pas de la paranoïa. C'était de l'arithmétique.

550 000 € : le coût de l'impréparation

Avant de continuer, posons les chiffres. Notre veille sur 234 textes réglementaires issus de 4 sources officielles (CNIL, EUR-Lex, Legifrance, CEPD) a permis d'isoler les quatre sanctions IA prononcées par la CNIL depuis décembre 2025.

Date Motif Montant Leçon-clé
Déc. 2025 Scoring crédit sans évaluation d'impact IA 100 000 € Pas de DPIA = sanction quasi automatique
Jan. 2026 Profilage discriminatoire en recrutement 250 000 € L'IA ne dispense pas du test de proportionnalité
Fév. 2026 Chatbot sans information sur l'usage d'IA 150 000 € Le RGPD exige la transparence algorithmique
Mars 2026 Reconnaissance faciale sans base légale 50 000 € Aucun consentement valide = nullité du traitement

250 000 € pour du profilage RH. Nadia a relu deux fois. Son propre outil de scoring crédit fonctionnait sur la même logique : des variables d'entrée opaques, pas de documentation sur les biais, une évaluation d'impact rédigée en 2023 et jamais mise à jour.

Le décret de mars 2026 que personne n'a vu passer

Pendant que Nadia digérait le tableur, un texte publié le 20 mars sur Legifrance achevait de redessiner le paysage. Le décret d'application de l'IA Act en France désigne officiellement l'autorité nationale de surveillance. Traduction concrète : la CNIL n'est plus seule. Un guichet dédié IA existe maintenant, et il a vocation à instruire des dossiers.

Ajoutez-y l'arrêté du 28 février 2026 sur les modalités de déclaration des systèmes d'IA à risque élevé — avec procédure d'enregistrement dans la base européenne — et vous obtenez un millefeuille réglementaire qui ne tolère plus l'à-peu-près.

Nadia a fait ce que font les bons DPO. Elle a pris son téléphone.

Le coup de fil au CTO (et la conversation qui fâche)

« On a un chatbot qui ne dit pas aux utilisateurs qu'il est piloté par une IA. Et notre scoring crédit n'a pas de DPIA à jour. »

Silence.

« Tu veux dire qu'on risque 150 000 € juste pour le chatbot ? »

En fait, c'est probablement pire. L'avis du CEPD publié le 15 février 2026 clarifie l'articulation entre IA Act et RGPD : les deux textes se cumulent. Un chatbot non conforme au RGPD (défaut de transparence) viole aussi l'IA Act (obligation d'information Article 52). Double exposition. Double sanction potentielle.

J'ai vu des DPO minimiser ce point. C'est une erreur grave. Le CEPD ne laisse aucune ambiguïté : le RGPD ne s'efface pas devant l'IA Act. Les deux s'empilent.

Ce que Nadia a changé en 72 heures

Trois jours. C'est le temps qu'il a fallu à son équipe pour colmater les failles les plus critiques. Pas la conformité totale — soyons réalistes — mais le minimum qui évite la catastrophe.

Le chatbot : ajout d'un bandeau « Ce service utilise un assistant IA. Vos échanges sont traités conformément à notre politique de confidentialité. » Ça paraît basique. La société sanctionnée à 150 000 € en février n'avait même pas ça.

Le scoring crédit : gel temporaire du traitement le temps de mettre à jour la DPIA. Décision douloureuse pour le business. Mais la CNIL a sanctionné exactement ce scénario pour 100 000 € en décembre 2025. Le calcul est vite fait.

La documentation : cartographie des modèles IA utilisés, avec versioning et traçabilité des données d'entraînement. La CNIL a d'ailleurs publié un outil dédié à la traçabilité des modèles IA en source ouverte — ils prennent le sujet au sérieux.

Parenthèse : j'ai une théorie sur pourquoi tant de startups ignorent la DPIA pour leurs outils IA. Ce n'est pas de la malveillance. C'est que le template standard de la CNIL ne couvre pas les spécificités des modèles génératifs. Vous vous retrouvez à remplir des cases pensées pour des traitements classiques, et rien ne colle. Du coup, on procrastine. Jusqu'au mail du mardi matin.

Le piège du « on verra plus tard »

J'entends souvent cet argument : « L'IA Act n'est pas encore pleinement applicable, on a le temps. »

Non.

Les lignes directrices sur les systèmes d'IA à risque élevé publiées par l'AI Office le 1er avril 2026 précisent les exigences de documentation. Le règlement délégué du 10 mars 2026 fixe les obligations pour les fournisseurs de modèles GPAI. Le calendrier s'accélère. Et la CNIL, elle, n'attend pas l'IA Act pour sanctionner — elle le fait déjà via le RGPD. Les 550 000 € d'amendes le prouvent.

Le cas France Travail est encore plus parlant : 5 millions d'euros de sanction en janvier 2026 pour une violation de données. Certes, pas directement liée à l'IA. Mais le signal est limpide : la CNIL a les moyens et la volonté de frapper fort.

Ce que cette histoire dit de la conformité IA en France

Nadia n'est pas un cas isolé. En discutant avec des DPO d'autres structures lors d'un meetup à Station F début avril, elle a réalisé que la majorité n'avait pas lu le décret du 20 mars. Certains ne savaient pas que le CEPD avait émis un avis sur l'articulation RGPD/IA Act.

Le problème n'est pas le manque de textes. C'est l'inverse. 234 documents réglementaires à suivre sur quatre sources distinctes — qui a le temps de tout lire ? Personne. D'où l'utilité d'une veille structurée, automatisée, qui trie et hiérarchise.

Le vrai risque en 2026, ce n'est pas l'IA Act en lui-même. C'est le RGPD appliqué à l'IA, par une CNIL qui a trouvé son angle d'attaque. Quatre sanctions en quatre mois. Une montée en puissance qui ne va pas ralentir.

Trois prises de position assumées

1. Les startups qui déploient des chatbots sans mention explicite d'IA méritent leur amende. L'article 13 du RGPD existe depuis 2018. Huit ans. Il n'y a plus d'excuse.

2. Le cumul RGPD + IA Act va créer des doublons de sanctions — et c'est une bonne chose. La pression réglementaire est le seul langage que comprennent les directions financières.

3. Les DPO doivent devenir des experts IA ou céder la place. Le métier a changé. Un DPO qui ne sait pas ce qu'est un modèle GPAI en avril 2026, c'est comme un comptable qui ne connaîtrait pas la TVA.

Pour vérifier rapidement où en est votre conformité, notre checklist gratuite IA Act + template DPA couvre les 12 points critiques soulevés par les sanctions CNIL récentes.

Voir aussi : notre bilan réglementation IA d'avril 2026 pour le détail des 202 textes surveillés, et l'étude de cas sur l'amende chatbot de 150 000 € pour une analyse approfondie de la décision CNIL.