La Commission nationale de l'informatique et des libertés (CNIL) a consolidé en 2026 un corpus de 13 fiches pratiques dédiées à l'intelligence artificielle. Ces documents traduisent le Règlement général sur la protection des données (RGPD) et le Règlement (UE) 2024/1689 sur l'intelligence artificielle (EU AI Act) en obligations opérationnelles pour les PME françaises. Cet article décrypte chaque fiche, identifie les obligations directement applicables et propose une méthode de mise en conformité priorisée.
L'essentiel en 30 secondes
- 13 fiches CNIL publiées en 2026 couvrent l'ensemble du RGPD appliqué à l'IA et l'articulation avec l'EU AI Act
- Obligations clés : transparence, analyse d'impact relative à la protection des données (AIPD), conformité des systèmes d'IA selon leur niveau de risque
- Sanctions cumulables : jusqu'à 4 % du chiffre d'affaires annuel mondial (RGPD) et jusqu'à 7 % (EU AI Act, Art. 99)
- ISO/IEC 42001:2023 recommandée comme cadre managérial pour structurer la mise en œuvre des exigences
- Ressources gratuites : guides, AIPD-types, outils d'auto-évaluation sur cnil.fr
1. Contexte des 13 fiches CNIL 2026
La CNIL publie depuis 2023 un programme d'accompagnement à l'IA. La version consolidée 2026 répond à un calendrier précis : l'entrée en application progressive du Règlement (UE) 2024/1689, dont les interdictions visées à l'Article 5 sont applicables depuis le 2 février 2025, et dont les obligations sur les systèmes à haut risque s'appliqueront à compter du 2 août 2026.
Les 13 fiches poursuivent trois objectifs lisibles. Elles clarifient l'articulation entre RGPD et EU AI Act lorsque les deux régimes s'appliquent simultanément. Elles fournissent aux responsables de traitement une lecture opérationnelle des obligations. Elles définissent enfin les contrôles que la CNIL conduira dans le cadre de sa mission de régulateur national de l'IA, désignée comme autorité notifiante au sens de l'Article 28 du Règlement.
Le public cible est explicite : PME et ETI utilisant des systèmes d'IA, qu'elles soient déployeurs au sens de l'Art. 3(4) ou fournisseurs au sens de l'Art. 3(3). Pour une analyse détaillée de l'impact général du règlement, consultez notre guide AI Act pour les PME françaises.
2. Les 13 fiches en bref : thèmes couverts
Le tableau ci-dessous synthétise les thèmes, le périmètre réglementaire principal et le public visé pour chacune des 13 fiches.
| N° | Thème de la fiche | Périmètre principal | Public PME concerné |
|---|---|---|---|
| 1 | Définitions et portée de l'IA sous RGPD | RGPD Art. 4, AI Act Art. 3 | Tous |
| 2 | Analyse d'impact (AIPD) pour systèmes d'IA | RGPD Art. 35 | DPO, IA Lead |
| 3 | Transparence et information des personnes | RGPD Art. 13-14, AI Act Art. 50 | Marketing, juridique |
| 4 | Droits des personnes concernées | RGPD Art. 15-22 | DPO, support |
| 5 | Classification des systèmes d'IA | AI Act Art. 5, 6, 50, 51 | Direction, conformité |
| 6 | Obligations des fournisseurs | AI Act Art. 16-22 | Éditeurs, intégrateurs |
| 7 | Conformité des systèmes en usage (déployeurs) | AI Act Art. 26-27 | Toutes PME utilisatrices |
| 8 | Sanctions et responsabilités | AI Act Art. 99, RGPD Art. 83 | Direction, juridique |
| 9 | Articulation ISO/IEC 42001:2023 ↔ RGPD-IA | Cadre managérial | RSSI, IA Lead |
| 10 | Mise en œuvre de la norme pour PME | ISO 42001 § 4-10 | Conformité |
| 11 | Audit et certification ISO 42001 | ISO 17021, schéma certification | Direction |
| 12 | Outils CNIL et guides pratiques | RGPD + AI Act | Tous |
| 13 | Veille réglementaire et alertes | Tous régimes | DPO, juridique |
Cette grille permet d'identifier rapidement quelles fiches mobiliser selon le rôle exercé par la PME. Un déployeur consultera prioritairement les fiches 3, 4, 5 et 7. Un fournisseur de système à haut risque mobilisera les fiches 5, 6 et 8 en priorité.
3. Obligations RGPD-IA : détails pratiques
Les quatre premières fiches traduisent les obligations RGPD applicables aux traitements impliquant de l'IA. Elles ne créent pas de droit nouveau : elles précisent comment les obligations existantes s'appliquent dans un contexte algorithmique.
Fiche 1 — Définitions et portée. Elle reprend la définition de « système d'IA » de l'Art. 3(1) du Règlement (UE) 2024/1689 et la croise avec la notion de traitement automatisé du RGPD. La fiche précise qu'un système d'IA est en quasi-systématiquement un traitement de données personnelles dès qu'il est entraîné, validé ou utilisé sur des données identifiantes ou identifiables. Le glossaire complet est disponible dans notre glossaire réglementaire.
Fiche 2 — AIPD pour systèmes d'IA. La CNIL impose l'analyse d'impact relative à la protection des données pour tout traitement présentant un risque élevé, conformément à l'Art. 35 du RGPD. Les systèmes d'IA à haut risque listés à l'Annexe III du Règlement (UE) 2024/1689 sont présumés justifier une AIPD. La fiche fournit une trame opérationnelle et précise l'articulation avec l'évaluation de conformité prévue à l'Art. 43 de l'AI Act.
Fiche 3 — Transparence. L'Art. 50 du Règlement (UE) 2024/1689 impose d'informer les personnes lorsqu'elles interagissent avec un système d'IA, lorsqu'un contenu est généré par IA (deepfakes, contenu synthétique), ou lorsqu'un système de reconnaissance des émotions est utilisé. Cette obligation se cumule avec l'information RGPD prévue aux Art. 13 et 14.
Fiche 4 — Droits des personnes. La CNIL rappelle que les personnes concernées conservent l'ensemble de leurs droits RGPD face à un système d'IA : accès, rectification, effacement, opposition, et le droit spécifique de l'Art. 22 de ne pas faire l'objet d'une décision exclusivement automatisée produisant des effets juridiques significatifs.
4. EU AI Act : impact sur les PME
Les fiches 5 à 8 portent spécifiquement sur le Règlement (UE) 2024/1689.
Fiche 5 — Classification. Le Règlement structure les systèmes d'IA en quatre catégories : pratiques interdites (Art. 5), systèmes à haut risque (Art. 6 et Annexe III), systèmes à risque limité soumis à transparence (Art. 50), et systèmes à risque minimal. La fiche fournit un arbre de décision pour qualifier un système. Les pratiques interdites incluent notamment le scoring social et certaines formes d'identification biométrique en temps réel dans l'espace public.
Fiche 6 — Obligations des fournisseurs. Un fournisseur (provider) est défini à l'Art. 3(3) comme la personne qui développe ou fait développer un système d'IA pour le mettre sur le marché sous son nom. Les obligations principales figurent aux Art. 16 à 22 : système de gestion de la qualité, documentation technique (Annexe IV), conservation des journaux, évaluation de conformité, marquage CE.
Fiche 7 — Conformité des déployeurs. La majorité des PME sont déployeurs au sens de l'Art. 3(4). L'Art. 26 impose à un déployeur de système à haut risque d'utiliser le système conformément à sa notice, d'assurer un contrôle humain (Art. 14), de surveiller le fonctionnement et de conserver les journaux pendant au moins six mois. L'Art. 27 ajoute, pour certains déployeurs publics ou organismes privés fournissant des services publics, l'obligation de réaliser une analyse d'impact sur les droits fondamentaux (FRIA).
Fiche 8 — Sanctions. L'Art. 99 prévoit trois plafonds d'amende. Les violations des pratiques interdites de l'Art. 5 peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Les autres manquements aux obligations applicables aux fournisseurs et déployeurs sont sanctionnés jusqu'à 15 millions d'euros ou 3 % du CA. La fourniture d'informations incorrectes aux autorités peut atteindre 7,5 millions d'euros ou 1 % du CA.
Auditer rapidement votre exposition AI Act
regulia propose un pack documentaire prêt à l'emploi : AIPD-type, registre des systèmes d'IA, politique de gouvernance ISO 42001 et procédures de contrôle humain. Conçu pour les PME françaises, livré en 48 heures.
Demander une démonstration5. Sanctions et risques pour les PME
Le risque sanctionnateur se cumule. Une même pratique non conforme peut déclencher une sanction RGPD prononcée par la CNIL au titre de l'Art. 83, et une sanction AI Act prononcée par l'autorité notifiante au titre de l'Art. 99. Pour un examen détaillé du barème et un calculateur d'exposition, consultez notre article dédié aux sanctions de l'EU AI Act pour les PME.
| Type de manquement | Régime applicable | Plafond | Autorité |
|---|---|---|---|
| Pratique interdite (Art. 5 AI Act) | AI Act Art. 99(3) | 35 M€ ou 7 % CA mondial | Autorité notifiante |
| Manquement obligations fournisseur/déployeur | AI Act Art. 99(4) | 15 M€ ou 3 % CA | Autorité notifiante |
| Information incorrecte aux autorités | AI Act Art. 99(5) | 7,5 M€ ou 1 % CA | Autorité notifiante |
| Manquement RGPD grave (Art. 5, 6, 9) | RGPD Art. 83(5) | 20 M€ ou 4 % CA | CNIL |
| Manquement RGPD secondaire | RGPD Art. 83(4) | 10 M€ ou 2 % CA | CNIL |
Au-delà du montant, la CNIL souligne dans la fiche 8 trois risques annexes. La responsabilité civile permet aux personnes lésées de demander réparation. La publicité de la sanction, presque systématique en cas de manquement grave, pèse sur la confiance des clients. L'obligation de notification de violation à l'autorité dans les 72 heures (Art. 33 RGPD) crée enfin une obligation procédurale stricte.
6. ISO 42001:2023 : complément aux fiches CNIL
Les fiches 9 à 11 introduisent la norme ISO/IEC 42001:2023, première norme internationale dédiée au management des systèmes d'IA.
Fiche 9 — Articulation ISO 42001 ↔ RGPD-IA. La norme propose un système de management de l'IA (AIMS) calqué sur la structure de haut niveau ISO. Elle ne se substitue pas aux obligations légales mais fournit le cadre organisationnel pour les satisfaire. La CNIL recommande son adoption comme preuve de diligence raisonnable. Pour une analyse détaillée de l'adoption de la norme par les PME, consultez notre guide ISO 42001 pour les PME.
Fiche 10 — Mise en œuvre PME. La norme s'organise autour de huit chapitres normatifs (4 à 10) reprenant la structure ISO commune : contexte, leadership, planification, support, opérations, évaluation, amélioration. L'Annexe A liste 38 mesures de contrôle qui répondent directement aux exigences des Art. 9 à 15 du Règlement (UE) 2024/1689 pour les systèmes à haut risque.
Fiche 11 — Audit et certification. La certification ISO/IEC 42001:2023 est délivrée par des organismes accrédités selon ISO/IEC 17021-1. Elle est valable trois ans avec audits de surveillance annuels. La CNIL précise que la certification ne dispense pas du marquage CE prévu à l'Art. 48 de l'AI Act lorsqu'il est applicable, mais facilite l'évaluation de conformité.
7. Outils et ressources CNIL
Fiche 12 — Guides et outils. La CNIL met à disposition gratuitement plusieurs ressources clés : un modèle d'AIPD adapté aux systèmes d'IA, une checklist de qualification des systèmes selon l'Annexe III, un outil d'auto-évaluation de conformité, et des webinaires sectoriels.
Fiche 13 — Veille réglementaire. La fiche centralise les sources d'actualisation : lignes directrices de l'AI Office européen, actes d'exécution de la Commission, jurisprudence du Comité européen de la protection des données (CEPD), recommandations sectorielles ACPR, ANSM, HAS selon le domaine.
| Ressource | Format | Public | Coût |
|---|---|---|---|
| AIPD modèle IA | Document type | DPO, IA Lead | Gratuit |
| Checklist Annexe III | Outil interactif | Direction | Gratuit |
| Auto-évaluation conformité | Questionnaire | Conformité | Gratuit |
| Webinaires sectoriels | Vidéo | Tous | Gratuit |
| Newsletter IA | Tous | Gratuit, sur inscription |
8. Recommandations pour les PME
Une PME peut structurer sa mise en conformité en six étapes priorisées.
- Cartographier les systèmes d'IA utilisés ou développés, en distinguant rôle de fournisseur et de déployeur pour chaque système. Cette cartographie alimente le registre des traitements RGPD (Art. 30) et le registre AI Act spécifique recommandé par la fiche 7.
- Qualifier chaque système selon les catégories de l'Art. 6 et de l'Annexe III du Règlement. Documenter la qualification, notamment pour les systèmes qualifiés non haut risque, est essentiel en cas de contrôle.
- Réaliser une AIPD pour tout système traitant des données personnelles et présentant un risque élevé. La fiche 2 fournit la trame ; la démarche doit être validée par le DPO.
- Former les équipes : développeurs, utilisateurs métier, encadrement. L'Art. 4 du Règlement (UE) 2024/1689 impose explicitement de garantir un niveau suffisant de connaissances en IA (AI literacy) chez les personnes exploitant les systèmes.
- Aligner la gouvernance sur ISO/IEC 42001:2023, sans nécessairement viser la certification immédiate. La structure normative facilite la production des preuves de conformité.
- Mettre en place une veille réglementaire active via les canaux de la fiche 13 et le service desk européen.
Les sanctions prévues à l'Art. 99 du Règlement et à l'Art. 83 du RGPD imposent une démarche documentée. La conformité n'est pas un état mais un processus continu.
Démarrer votre mise en conformité dès aujourd'hui
Le pack documentaire regulia couvre l'ensemble des exigences identifiées par la CNIL : registre des systèmes d'IA, AIPD prête à compléter, procédures de contrôle humain, politique ISO 42001. Audit initial offert.
Obtenir le pack documentaire9. FAQ
Q : Quelles sont les sanctions pour non-respect des fiches CNIL ?
Les fiches CNIL ne sont pas elles-mêmes contraignantes : elles explicitent des obligations issues du RGPD et du Règlement (UE) 2024/1689. Les sanctions sont prononcées au titre de ces textes. Les amendes peuvent atteindre 4 % du CA mondial annuel sous RGPD (Art. 83) et 7 % sous AI Act (Art. 99) pour les pratiques interdites. S'y ajoutent responsabilité civile, sanctions pénales individuelles dans certains cas, et obligation de notification aux autorités sous 72 heures.
Q : Comment les fiches CNIL se rapportent-elles à l'ISO 42001:2023 ?
Les fiches CNIL et l'ISO/IEC 42001:2023 sont complémentaires. Les fiches décrivent des obligations légales prescriptives. La norme fournit un cadre managérial structuré (système de management de l'IA) pour les satisfaire de manière auditable. La fiche 9 détaille cette synergie et confirme que l'adoption d'ISO 42001 facilite la démonstration de la conformité, sans s'y substituer.
Q : Quels outils la CNIL propose-t-elle pour les PME ?
La CNIL fournit gratuitement des guides pratiques, des modèles d'AIPD, des checklists de qualification, un outil d'auto-évaluation et des webinaires sectoriels. Ces ressources sont accessibles sur cnil.fr et détaillées dans la fiche 12. La newsletter IA de la CNIL est recommandée pour la veille.
Q : Dois-je modifier mes systèmes d'IA existants ?
Oui dès lors que vos systèmes traitent des données personnelles ou relèvent du champ d'application du Règlement (UE) 2024/1689. Les fiches CNIL identifient les points de vigilance : transparence (Art. 50), AIPD (Art. 35 RGPD), contrôle humain (Art. 14 AI Act), conservation des journaux (Art. 19). Une analyse de l'écart entre l'existant et les obligations est recommandée avant le 2 août 2026 pour les systèmes à haut risque.
Q : Où trouver les dernières mises à jour réglementaires ?
La fiche 13 centralise les canaux officiels. Sources prioritaires : le portail cnil.fr/fr/intelligence-artificielle, le service desk de la Commission européenne (ai-act-service-desk.ec.europa.eu), EUR-Lex pour les actes d'exécution, et la rubrique actualités de regulia pour les analyses sectorielles.
10. Sources officielles
- CNIL — Fiches pratiques IA 2026
- EUR-Lex — Règlement (UE) 2024/1689 (EU AI Act)
- AI Act Service Desk — Commission européenne
- CNIL — Réglementation RGPD
- CNIL — EU AI Act
- Liste consolidée des sources regulia
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.