96 avis du CEPD, 4 sanctions CNIL : et si l'inflation normative IA ne protégeait personne ?
140 textes réglementaires dans notre base de données. Quatre sanctions prononcées. 550 000 euros au total.
Relisez ces chiffres. Trente-cinq documents réglementaires publiés, en moyenne, pour chaque amende infligée. Si vous êtes DPO, responsable conformité ou fondateur d'une startup qui intègre de l'IA, cette proportion devrait vous interroger autant qu'elle m'interroge.
Le mois dernier, j'ai tenté un exercice simple : imprimer l'ensemble des textes pertinents pour la conformité IA d'une PME française en avril 2026. Avis du CEPD, lignes directrices de l'AI Office, décrets Legifrance, décisions CNIL, recommandations diverses. J'ai arrêté de compter à la page 340. La ramette de papier n'a pas suffi. Et pourtant, côté sanctions réelles, quatre décisions. Quatre.
La question mérite d'être posée frontalement : cette avalanche normative sert-elle la protection des citoyens, ou crée-t-elle un brouillard réglementaire qui profite surtout à ceux qui ont les moyens de s'y retrouver ?
Le dataset : cartographie de 140 textes réglementaires IA en France
Notre veille agrège quatre sources officielles — CNIL, CEPD/EDPB, Legifrance, EUR-Lex. Le dernier scraping date du 24 avril 2026. Voici la répartition brute :
| Source | Nombre de documents | Type principal | Force juridique |
|---|---|---|---|
| CNIL (décisions publiques) | 64 | Décisions, guides, recommandations | Contraignante (sanctions) |
| CEPD / EDPB | 59 | Avis, lignes directrices, recommandations | Consultative |
| Legifrance | 9 | Lois, décrets, arrêtés | Contraignante |
| EUR-Lex (Journal Officiel UE) | 8 | Règlements, directives | Contraignante |
| Total | 140 | — | — |
Le déséquilibre saute aux yeux. Le CEPD, à lui seul, produit 42 % du corpus — sans disposer d'aucun pouvoir de sanction directe. La CNIL représente 46 % des documents, mais seule une fraction infime concerne des sanctions effectivement prononcées : quatre décisions sur soixante-quatre documents publics. Le reste ? Des fiches pratiques, des recommandations, des rappels de doctrine. Utiles, certes. Mais pas coercitifs.
Côté textes à valeur contraignante, le bilan français est maigre. Neuf textes publiés sur Legifrance en lien avec l'IA depuis début 2025, dont le décret d'application de l'IA Act en France (mars 2026), l'arrêté sur les modalités de déclaration des systèmes à risque élevé (28 février 2026), et la loi SREN de mai 2024 qui posait les premiers jalons. Huit textes européens structurants, de l'IA Act originel au Data Governance Act en passant par la directive responsabilité IA de novembre 2024.
L'édifice normatif est massif. Sa traduction en actes concrets l'est beaucoup moins.
Quatre sanctions, 550 000 € : le détail qui dérange
Regardons ces quatre décisions de près. Le diable, ici, se cache dans les montants — et dans la base juridique.
| Date | Entité | Montant | Motif | Base juridique |
|---|---|---|---|---|
| 05/12/2025 | Company W | 100 000 € | Scoring crédit sans évaluation d'impact IA | RGPD |
| 20/01/2026 | Company Z | 250 000 € | Profilage discriminatoire — recrutement | RGPD |
| 10/02/2026 | Company Y | 150 000 € | Chatbot sans information claire sur l'usage d'IA | RGPD |
| 15/03/2026 | Company X | 50 000 € | Reconnaissance faciale sans base légale | RGPD |
| Total | — | 550 000 € | — | 100 % RGPD |
Le fait massif : zéro euro de sanctions au titre de l'IA Act. Pas un centime. Le règlement européen sur l'intelligence artificielle, en application progressive depuis août 2024, n'a généré aucune amende en France. L'intégralité des sanctions repose sur le RGPD — un texte adopté en 2016, dix ans avant les premières poursuites liées à l'IA.
Le ratio est cruel. 550 000 € répartis sur quatre entreprises, c'est une amende moyenne de 137 500 €. Pour une ETI ou une scale-up bien financée, c'est un poste budgétaire mineur — moins que le budget communication annuel, souvent absorbable sur un seul trimestre. Le signal dissuasif est faible. L'analyse que nous avions publiée sur le montant réel des amendes CNIL en matière d'IA détaillait cette mécanique : le risque réputationnel pèse davantage que le risque financier.
Et depuis mars 2026 ? Rien. Pas de nouvelle sanction. Le rythme mensuel qu'on pouvait espérer ne s'est pas matérialisé. Le silence, dans ce contexte, n'est pas rassurant — il est symptomatique.
Le paradoxe CEPD : 59 documents, zéro morsure
Le Comité Européen de la Protection des Données est une machine à produire. Parmi les 59 documents référencés dans notre veille depuis mi-2024, on trouve de tout :
| Type de document CEPD | Nombre estimé | Impact opérationnel direct |
|---|---|---|
| Lignes directrices (Guidelines) | ~25 | Interprétation du droit, non contraignant |
| Avis et opinions | ~15 | Consultatif pour institutions UE |
| Recommandations aux autorités nationales | ~12 | Suggestions, pas d'obligation |
| Rapports annuels, courriers, bilans | ~7 | Institutionnel / informatif |
| Total | 59 | 0 sanction directe possible |
Les Guidelines 1/2026 sur le traitement des données personnelles à des fins de recherche scientifique ? Publiées en consultation publique. Le rapport annuel EDPB 2025 ? Disponible depuis mars. L'avis sur l'articulation entre IA Act et RGPD, rendu le 15 février 2026 par le CEPD ? Documenté dans notre base EUR-Lex.
Tout cela existe. Tout cela nourrit les slides de conférences, les formations professionnelles, les newsletters juridiques. Tout cela est lu, analysé, commenté par des centaines de spécialistes à travers l'Europe.
Mais rien de tout cela ne mord.
Le CEPD ne sanctionne pas. Il éclaire, guide, recommande. La distinction est fondamentale, et pourtant régulièrement escamotée dans le débat public. Quand un article de presse annonce que « l'Europe renforce son cadre IA avec de nouvelles lignes directrices du CEPD », le lecteur imagine une contrainte nouvelle. C'est faux. C'est une interprétation de plus d'une contrainte qui existait déjà.
Est-ce un problème en soi ? Pas forcément. Une institution qui clarifie le droit remplit un rôle légitime. Mais quand la production documentaire devient une fin en soi — quand le volume de textes interpréttatifs dépasse de loin la capacité de contrôle des autorités qui doivent les appliquer —, on bascule dans un autre registre. Un théâtre normatif où l'apparence de régulation se substitue à la régulation elle-même.
Petite digression. J'ai assisté à une conférence sur la conformité IA à Paris en mars dernier. Un intervenant, avocat dans un cabinet spécialisé données personnelles, a résumé la situation avec une formule que je n'ai pas oubliée : « On a les textes d'un État de droit numérique, et les moyens d'enforcement d'une association de quartier. » Rires dans la salle. Jaunes, surtout.
L'angle mort des chatbots : 150 000 € pour un cas unique, des millions d'autres dans la nature
Le cas Company Y concentre une contradiction spectaculaire. 150 000 € d'amende pour un chatbot déployé sans information claire sur l'usage d'IA. C'est la seule sanction CNIL spécifiquement liée aux obligations de transparence des chatbots en France depuis l'entrée en vigueur des textes pertinents.
Une. Seule.
Combien de chatbots IA opèrent sur des sites français à cette date ? Difficile d'obtenir un chiffre précis, mais les ordres de grandeur sont connus. Le marché français de l'IA conversationnelle dépassait les 500 millions d'euros en 2025 selon les estimations sectorielles. Des milliers d'entreprises — e-commerce, support client, RH, banque, santé, assurance — déploient des chatbots s'appuyant sur des modèles de langage, souvent via des API tierces. Les niveaux de transparence vont du raisonnable au totalement opaque.
Le RGPD impose des obligations nettes : informer l'utilisateur qu'il interagit avec un système automatisé, préciser les données collectées, garantir un droit d'opposition. L'IA Act, depuis février 2025, y ajoute l'obligation de transparence pour tout système d'IA interagissant avec des personnes physiques (article 52). Notre comparatif détaillé IA Act vs RGPD pour les chatbots recense l'ensemble de ces exigences croisées.
Le constat chiffré est brutal :
| Indicateur | Valeur |
|---|---|
| Sanctions CNIL liées aux chatbots IA (2025-2026) | 1 |
| Montant total amendes chatbot | 150 000 € |
| Textes réglementaires applicables aux chatbots IA | 12+ |
| Chatbots IA actifs estimés en France | Dizaines de milliers |
| Taux de contrôle effectif estimé | < 0,01 % |
Douze textes applicables au minimum. Des dizaines de milliers de chatbots actifs. Un taux de contrôle virtuellement nul. L'arsenal juridique est en place. La capacité d'exécution ne suit pas.
La conformité par la complexité est une impasse
Mettons-nous une seconde dans la peau d'un DPO de PME française. Avril 2026. Son entreprise utilise un outil de scoring client basé sur du machine learning, un chatbot de support intégrant un LLM, et un moteur de recommandation produit. Trois systèmes IA distincts, trois profils de risque réglementaire. Que doit-il lire pour atteindre la conformité ?
| Catégorie réglementaire | Textes à consulter | Estimation pages |
|---|---|---|
| Règlements EU (IA Act, RGPD, Data Act, DSA) | 4 | ~600 |
| Décrets et arrêtés français (dont décret IA Act 2026) | 3+ | ~80 |
| Avis et guidelines CEPD pertinents | 8-10 | ~300 |
| Guides et recommandations CNIL | 5-8 | ~150 |
| Lignes directrices AI Office | 2-3 | ~120 |
| Total estimé | 22-28 textes | ~1 250 pages |
Mille deux cent cinquante pages. Pour une PME de 50 salariés dont le DPO est souvent à temps partiel — quand le poste existe. Le classement des obligations RGPD pour les chatbots que nous avions établi tente de démêler cette jungle, mais la matière première reste écrasante.
Le paradoxe est structurel : chaque nouveau texte, chaque guideline, chaque avis part d'une intention légitime — clarifier, préciser, harmoniser. L'intention est bonne. Le résultat cumulé est inverse. L'empilement noie. Il décourage. Et il crée un avantage structurel massif pour les grandes entreprises capables de mobiliser des équipes juridiques dédiées, au détriment des PME et startups qui composent 99 % du tissu économique français.
Je dois nuancer mon propre propos, parce que la réalité n'est pas binaire. Certains textes sont réellement utiles. L'avis du CEPD du 15 février 2026 sur l'articulation IA Act-RGPD a débloqué des questions qui paralysaient des projets d'IA dans la santé et la banque. Les lignes directrices de l'AI Office sur les systèmes à haut risque, publiées le 1er avril 2026, offrent un premier cadre opérationnel pour la classification — c'est mieux que le flou qui régnait avant. Tout n'est pas inutile, loin de là.
Mais le curseur a franchi un seuil. Quand un professionnel spécialisé peine à rester à jour, le système ne fonctionne plus pour ceux qu'il est censé aider.
Ce qui fonctionne réellement : le signal, pas le volume
Si 140 textes ne créent pas la conformité par leur simple existence, qu'est-ce qui produit des effets mesurables ?
Les quatre sanctions CNIL, aussi modestes soient-elles en montant, ont déclenché plus d'actions concrètes que des dizaines de guidelines. L'amende de 250 000 € contre Company Z pour profilage discriminatoire dans le recrutement a provoqué une vague d'audits internes dans le secteur RH tech français. Pas à cause du montant — 250 000 € est faible pour une entreprise de taille intermédiaire — mais parce que la publicité de la décision a rendu le risque réputationnel palpable. Le nom circule. Les clients posent des questions. Les investisseurs s'inquiètent.
C'est le mécanisme réel de la dissuasion en 2026 : pas le quantum de l'amende, mais la visibilité de la sanction.
Le RGPD fonctionne comme socle d'enforcement parce qu'il est ancien, compris, et adossé à une autorité — la CNIL — qui a vingt ans de pratique du contrôle. L'IA Act n'a pas cet ancrage. Le décret de mars 2026 désigne une autorité nationale de surveillance, mais cette autorité n'a prononcé aucune décision et ses moyens restent à préciser. Le texte existe. L'institution qui le porte, pas encore.
Trois pistes méritent d'être posées avec franchise.
Réduire plutôt qu'empiler. Chaque nouveau texte devrait s'accompagner d'un audit de redondance avec l'existant. Les guides CNIL et les guidelines CEPD se chevauchent fréquemment sur des sujets identiques — le consentement algorithmique, la transparence, l'évaluation d'impact. Un corpus unifié et maintenu serait infiniment plus utile que des empilements successifs.
Multiplier les contrôles, pas les pages. Les budgets de l'AI Office européen et des autorités nationales doivent croître proportionnellement au nombre de systèmes IA déployés, pas au nombre de textes publiés. L'indicateur de performance pertinent serait le nombre de contrôles réalisés par trimestre, pas le nombre de pages produites.
Donner des outils plutôt que de la doctrine. La conformité ne peut pas reposer sur la lecture individuelle de 1 250 pages. Des instruments pratiques — checklists, auto-évaluations, templates de Data Processing Agreement — doivent être accessibles sans coût prohibitif. C'est ce qui a motivé la création de notre checklist conformité IA Act et template DPA : transformer la doctrine en actions vérifiables.
L'enjeu n'est pas un 141ᵉ texte
L'argument dominant dans le débat public français tient en une phrase : « il faut plus de régulation pour encadrer l'IA ». Les chiffres racontent une histoire plus ambiguë. La régulation existe. Elle est abondante — 140 textes, et le rythme de production ne faiblit pas. Le problème n'est pas le manque de règles.
Le problème est le gouffre entre ce qui est écrit et ce qui est appliqué.
Quatre sanctions en cinq mois sur un marché de dizaines de milliers de systèmes IA. Un taux de contrôle quasi nul pour les chatbots. Zéro amende sous l'IA Act. Et en face, un flux ininterrompu de nouveaux textes que les professionnels eux-mêmes peinent à absorber.
Si la France veut protéger ses citoyens face aux dérives de l'intelligence artificielle, la réponse n'est probablement pas un 141ᵉ texte. Elle est dans l'exécution crédible des 140 qui existent déjà.
Facile à écrire. Autrement plus difficile à faire.