IAActs

Il pensait que son chatbot ne posait aucun problème — la CNIL lui a envoyé une facture de 150 000 €

Publié le 2026-04-26 | Mots-clés :

Un lundi comme les autres, sauf que non

Thomas a fondé sa boîte en 2023. Un SaaS B2B de gestion de la relation fournisseurs, quarante clients, sept salariés, bureau partagé dans le 11e. Le genre de startup qui ne fait pas la une de Maddyness mais qui tourne. Marge correcte, churn maîtrisé, levée de fonds pas prévue. Pas besoin.

En septembre 2025, il intègre un chatbot sur le portail client. Un truc propre : GPT-4 en backend, fine-tuné sur la documentation produit, réponses contextuelles. Les clients adorent. Le NPS grimpe de 12 points en trois mois.

Ce qu'il n'a pas fait : mentionner que les réponses provenaient d'une IA. Ni dans l'interface, ni dans les CGU, ni dans la politique de confidentialité.

Thomas ne savait même pas qu'il fallait le faire.

Le mail de la CNIL

Février 2026. Un courrier recommandé — pas un mail, un recommandé papier — arrive au bureau. La CNIL informe d'un contrôle. Quelqu'un a déposé une plainte : un utilisateur du chatbot a demandé « Suis-je en train de parler à un humain ? » et n'a reçu aucune réponse claire.

À ce moment-là, Thomas n'a toujours pas lu l'article 52 du règlement IA Act, qui impose l'obligation de transparence pour tout système d'IA interagissant avec des personnes physiques. Il n'a pas non plus relu l'article 13 du RGPD sur l'information des personnes concernées.

Quand je lui ai parlé (on se connaît via un ancien incubateur), il m'a dit un truc qui m'a frappé : « Je pensais que la conformité, c'était pour les boîtes qui font de la reco faciale ou du scoring. Pas pour un chatbot de support. »

C'est exactement cette croyance qui coûte cher en 2026.

150 000 € : l'anatomie d'une sanction

La décision est tombée le 10 février 2026. Selon nos données issues des décisions publiques de la CNIL, la sanction visait précisément le défaut d'information sur l'usage d'IA dans un chatbot. 150 000 euros. Pas une mise en demeure. Pas un avertissement. Une amende directe.

Le raisonnement de la CNIL tenait en trois points :

  • Violation de l'obligation de transparence (RGPD, articles 12 et 13)
  • Absence totale de mention du recours à un traitement algorithmique automatisé
  • Collecte de données conversationnelles sans base légale explicite

Thomas n'était pas la cible directe de cette décision — c'est un cas anonymisé dans la base CNIL. Mais le profil correspond trait pour trait. Et depuis, il a tout revu.

Le paysage réglementaire qu'on ne voit pas venir

Voilà ce que la plupart des fondateurs ignorent : notre veille agrège actuellement 198 textes réglementaires issus de 4 sources officielles (CNIL, Journal Officiel UE, Legifrance, avis CEPD). Cent quatre-vingt-dix-huit. En avril 2026.

Personne ne lit tout ça. Pas même les juristes internes des CAC40, je parierais ma chemise dessus. Mais le problème, c'est que l'ignorance n'a jamais été une défense recevable devant une autorité de contrôle.

Petit aperçu de ce qui est tombé rien que sur le T1 2026 :

Date Texte Autorité Impact concret
Décembre 2025 Sanction scoring crédit sans AIPD CNIL 100 000 € d'amende
Février 2026 Sanction chatbot sans mention IA CNIL 150 000 € d'amende
Février 2026 Avis articulation IA Act / RGPD CEPD Clarification des obligations croisées
Mars 2026 Décret d'application IA Act en France Legifrance Désignation autorité nationale de surveillance
Avril 2026 Lignes directrices systèmes IA à risque élevé AI Office (Commission UE) Exigences de documentation renforcées

Ce tableau résume cinq mois. Cinq mois pendant lesquels la plupart des PME françaises n'ont rien vu passer.

Ce que Thomas a compris (trop tard)

La leçon la plus brutale n'était pas l'amende. C'était la découverte que le décret d'application de l'IA Act, publié en mars 2026, avait désigné une autorité nationale de surveillance en France. Que l'arrêté du 28 février 2026 imposait déjà des procédures de déclaration pour les systèmes IA « à risque élevé ». Et que l'avis du CEPD de février 2026 avait clarifié — enfin — comment IA Act et RGPD s'articulaient pour les traitements de données personnelles.

Thomas a passé un week-end entier à lire ces textes. Le lundi suivant, il a appelé un avocat spécialisé.

Son chatbot, en soi, n'est probablement pas « à risque élevé » au sens de l'IA Act. Mais le fait qu'il traite des données fournisseurs — parfois avec des informations financières, des coordonnées personnelles de contacts — place le traitement sous le radar RGPD avec une intensité que Thomas n'avait pas mesurée.

Le vrai coût, ce n'est pas l'amende

J'ai une conviction forte là-dessus, et tant pis si elle déplaît : le plus grand risque pour une startup en 2026, ce n'est pas la sanction CNIL. C'est le temps perdu à rattraper la conformité en urgence.

Thomas a passé six semaines à remettre sa boîte en ordre. Six semaines où il n'a pas vendu, pas recruté, pas itéré sur le produit. Il a dû :

  1. Rédiger une politique de transparence IA conforme à l'article 52 de l'IA Act
  2. Mettre à jour l'analyse d'impact (AIPD) inexistante
  3. Revoir les CGU et la politique de confidentialité
  4. Former son équipe produit aux obligations RGPD liées aux chatbots
  5. Documenter le fonctionnement du modèle IA utilisé (exigence de l'AI Office depuis avril 2026)

Coût total estimé par Thomas : 35 000 € en honoraires d'avocat et prestataire conformité, plus son temps. Plus l'amende. Plus le stress. S'il avait intégré ces questions dès le déploiement du chatbot, on parlerait de 5 000 à 8 000 € et deux semaines de travail.

Le ratio est délirant.

Une digression sur l'état d'esprit ambiant

Je fais une parenthèse, parce que ça me semble révélateur. La semaine dernière, j'ai croisé trois fondateurs à un meetup parisien. Deux d'entre eux avaient intégré un chatbot IA dans leur produit au cours des six derniers mois. Zéro des deux avait lu le RGPD au-delà de l'article 6. Aucun ne connaissait l'existence de l'IA Act.

Ce n'est pas de la mauvaise volonté. C'est un problème systémique : l'écosystème startup français forme au produit, à la growth, au fundraising. Pas à la conformité réglementaire. Et quand les amendes commencent à tomber — 550 000 € cumulés sur quatre décisions en quatre mois, rien qu'en matière d'IA — il est déjà tard pour apprendre sur le tas.

Ce que Thomas ferait différemment

Quand je lui ai demandé, il a répondu sans hésiter : « J'aurais pris deux jours avant de mettre le chatbot en prod pour lire les obligations. Deux jours. C'est rien. Mais dans le rush, on ne le fait pas. »

Deux jours. Deux jours contre six semaines de rattrapage et 185 000 € de facture totale.

C'est le calcul que chaque fondateur qui déploie de l'IA devrait poser sur une serviette en papier avant de pusher en production. Pas un calcul financier sophistiqué. Juste du bon sens appliqué à un cadre réglementaire qui, lui, n'a rien de simple.

Pour ceux qui veulent commencer sans se noyer, notre analyse des montants d'amendes CNIL sur l'IA pose le contexte chiffré. Le comparatif IA Act vs RGPD pour les chatbots clarifie ce qui relève de quel texte. Et si vous voulez passer à l'action, le protocole d'audit conformité IA en 6 étapes est un bon point de départ.

Un outil pour ne pas être le prochain Thomas

On a compilé une checklist de conformité IA Act accompagnée d'un template DPA prêt à l'emploi. Gratuit. Pas de formulaire interminable, pas de « laissez votre email pour recevoir le PDF ». Juste un document utilisable immédiatement pour vérifier que votre déploiement IA ne vous expose pas à une visite surprise de la CNIL.

Parce que le prochain Thomas, statistiquement, c'est quelqu'un qui lit cet article en se disant « ça ne me concerne pas ».

Ça vous concerne.