Conformité IA-RGPD : CNIL guide les PME en 2026

Q: Quelles sont les sanctions pour une PME non conforme en 2026 ?

Les sanctions varient selon le risque : jusqu'à 4% du chiffre d'affaires européen pour des violations RGPD, et jusqu'à 7% pour des violations de l'AI Act. La CNIL peut également imposer des sanctions administratives, des amendes, et des mesures correctives. Les sanctions sont proportionnelles à la gravité de la violation et aux efforts déployés pour se conformer.

Q: Comment les PME peuvent-elles vérifier leur conformité ?

La CNIL propose un guide pratique et une checklist téléchargeable. Les PME doivent réaliser un inventaire de leurs systèmes d'IA, évaluer les risques avec le guide, et mettre en place des mesures correctives. Un audit interne ou externe est recommandé pour les systèmes à haut risque. Le service d'assistance dédié de la CNIL est également disponible pour les PME.

Q: Quels sont les systèmes d'IA concernés par ces lignes directrices ?

Tous les systèmes d'IA traitant des données personnelles sont concernés, quelle que soit leur taille. Cela inclut les chatbots, les algorithmes de recommandation, les systèmes de surveillance, et les outils de prise de décision automatisée. Les systèmes à haut risque (ex : embauche, santé, sécurité) sont soumis à des obligations supplémentaires.

Q: Quelle est la date clé pour la mise en conformité ?

L'AI Act entre en vigueur le 2 mai 2026 pour les PME. Cependant, il est recommandé de commencer la mise en conformité dès maintenant pour éviter des sanctions. Les PME ont généralement 18 mois pour s'adapter aux nouvelles obligations après la publication des lignes directrices.

L'essentiel en 30 secondes

La CNIL publie 3 principes clés pour l'IA-RGPD : transparence, minimisation des données, et contrôle humain

Sanctions jusqu'à 4 % du CA européen pour non-conformité RGPD, jusqu'à 7 % pour l'AI Act

Obligation de documentation et d'audit pour les systèmes à haut risque

Ressources gratuites de la CNIL : guide, checklists et service d'assistance dédié aux PME

Date clé : 2 mai 2026 pour l'entrée en vigueur de l'AI Act pour les PME

Le 2 mai 2026 marque un tournant pour les PME françaises qui utilisent l'intelligence artificielle. L'AI Act entre en vigueur pour les systèmes à haut risque, et la CNIL publie ses lignes directrices opérationnelles sur l'articulation entre IA et RGPD. Pour les dirigeants de PME, cela signifie une chose concrète : si vos systèmes d'IA traitent des données personnelles, vous avez maintenant deux textes à respecter simultanément, avec deux séries d'amendes potentielles cumulables. Ce guide explique comment mettre en place les mesures essentielles sans repartir de zéro.

1. Contexte juridique : EU AI Act et RGPD en 2026

Deux textes européens encadrent désormais l'utilisation de l'IA dans les entreprises françaises. Ils opèrent sur des périmètres distincts mais se recoupent largement pour les PME qui utilisent des systèmes d'IA traitant des données personnelles.

Le Règlement (UE) 2024/1689 (AI Act) entre progressivement en vigueur depuis août 2024. Pour les PME, les obligations les plus substantielles concernant les systèmes à haut risque s'appliquent à partir du 2 août 2026. Ce texte classifie les systèmes d'IA selon leur niveau de risque et impose des obligations proportionnées : documentation technique, supervision humaine, évaluation de conformité, enregistrement dans une base de données européenne pour certains systèmes.

Le Règlement (UE) 2016/679 (RGPD) s'applique depuis 2018. Ses obligations de base sont connues des PME : registre des activités de traitement, base légale pour chaque traitement, information des personnes, gestion des droits. En 2026, la CNIL précise comment ces obligations s'appliquent spécifiquement aux systèmes d'IA, notamment pour les traitements automatisés et les décisions individuelles algorithmiques.

La CNIL joue un double rôle. Elle est à la fois l'autorité de contrôle du RGPD en France et l'une des autorités nationales compétentes pour l'application de l'AI Act dans le domaine des données personnelles. Ses lignes directrices publiées en 2026 font autorité pour les entreprises françaises et précisent comment mettre en conformité un système d'IA avec les deux textes en même temps.

La convergence entre les deux régimes est une opportunité : une démarche de conformité bien structurée couvre simultanément les obligations RGPD et AI Act, évitant la duplication des efforts. Notre guide général AI Act pour PME détaille les exigences par type de système et par taille d'entreprise.

2. Les 3 principes clés de la CNIL pour les PME

La CNIL structure ses recommandations autour de trois principes opérationnels, directement applicables par les PME sans expertise juridique avancée.

Principe 1 — Transparence sur l'utilisation de l'IA

Les personnes concernées par les traitements automatisés doivent être informées qu'un système d'IA traite leurs données et, le cas échéant, prend des décisions les affectant. Cette obligation de transparence est posée à l'Article 13(2)(f) du RGPD pour la collecte directe et à l'Article 22 pour les décisions entièrement automatisées.

Concrètement : si votre site e-commerce utilise un algorithme de recommandation personnalisée, vos mentions d'information doivent le préciser. Si votre outil RH présélectionne automatiquement les candidatures, les candidats doivent en être informés et disposer d'un droit à l'explication. Si votre chatbot de service client est alimenté par une IA générative, vos clients doivent le savoir.

La CNIL recommande une formulation claire dans les politiques de confidentialité, distincte du reste du texte pour être facilement identifiable. Le terme "intelligence artificielle" doit figurer explicitement — pas seulement "traitement automatisé".

Principe 2 — Minimisation des données personnelles

L'Article 5(1)(c) du RGPD impose que les données personnelles soient "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées". Ce principe de minimisation s'applique avec une acuité particulière aux systèmes d'IA, dont la performance tend à s'améliorer avec la quantité de données disponibles.

La CNIL pose une règle simple : la performance d'un modèle ne justifie pas à elle seule l'utilisation de données superflues. Avant d'entraîner ou de déployer un système d'IA, listez précisément les données personnelles utilisées et demandez-vous si chacune d'elles est strictement nécessaire à la finalité déclarée. Supprimez les variables non indispensables, même si elles améliorent marginalement les résultats.

Pour les PME utilisant des modèles d'IA développés par des tiers (SaaS, APIs), la minimisation s'applique aux données que vous transmettez à ces systèmes. Vérifiez les conditions contractuelles de vos fournisseurs et assurez-vous qu'ils n'utilisent pas vos données pour entraîner leurs propres modèles.

Principe 3 — Contrôle humain sur les décisions automatisées

L'Article 22 du RGPD interdit les décisions entièrement automatisées produisant des effets juridiques significatifs sur une personne, sauf exceptions limitées (consentement explicite, nécessité contractuelle, autorisation légale). La CNIL recommande, au-delà de cette obligation minimale, d'intégrer un contrôle humain effectif dans tous les processus décisionnels alimentés par l'IA.

"Effectif" est le mot clé. Un bouton de validation que l'employé clique systématiquement sans lire la recommandation ne constitue pas un contrôle humain au sens de la CNIL. Le contrôle est effectif lorsque l'opérateur humain comprend la recommandation de l'IA, dispose des informations lui permettant de la remettre en question, et exerce réellement cette capacité de remise en question dans un pourcentage significatif de cas.

L'Article 14 du Règlement (UE) 2024/1689 renforce cette exigence pour les systèmes d'IA à haut risque en imposant des mesures techniques et organisationnelles garantissant la supervision humaine. Les deux textes convergent ici vers la même exigence opérationnelle.

3. Risques et sanctions pour les PME non conformes

Le cadre de sanction 2026 cumule deux régimes distincts. La direction financière d'une PME doit comprendre que les amendes RGPD et AI Act ne se substituent pas l'une à l'autre : elles s'additionnent.

Infraction	Texte	Amende maximale
Violation des principes fondamentaux RGPD (art. 5, 6, 7, 9)	RGPD art. 83(5)	20 M€ ou 4 % du CA mondial
Décision automatisée sans base légale	RGPD art. 83(4)	10 M€ ou 2 % du CA mondial
Système d'IA interdit	AI Act art. 83(1)	35 M€ ou 7 % du CA mondial
Système à haut risque sans conformité	AI Act art. 83(3)	15 M€ ou 3 % du CA mondial
Informations inexactes aux autorités	AI Act art. 83(4)	7,5 M€ ou 1 % du CA mondial

Pour une PME réalisant 5 millions d'euros de chiffre d'affaires annuel, une violation grave combinant RGPD et AI Act peut générer des amendes atteignant 550 000 euros — soit 11 % du CA. Ce montant exclut les frais de mise en conformité imposée, les coûts de communication de crise et les pertes commerciales liées à la publication de la sanction.

La perte de confiance client est souvent l'impact le plus durable. La CNIL publie systématiquement les décisions de sanction sur son site, avec le nom de l'entreprise concernée. Pour les PME dont la réputation est un actif commercial essentiel, cet effet de publicité est parfois plus coûteux que l'amende elle-même.

Consultez notre page dédiée aux sanctions AI Act pour les scénarios de calcul adaptés à différentes tailles de PME.

4. Obligations spécifiques pour les systèmes à haut risque

Les systèmes d'IA à haut risque sont soumis à un régime de conformité plus exigeant que les autres. L'AI Act définit ces obligations aux Articles 9 à 17 du Règlement (UE) 2024/1689.

Documentation technique obligatoire. L'Article 11 impose une documentation technique complète pour chaque système à haut risque : description générale du système, ses composantes et son fonctionnement, les données d'entraînement et de test utilisées, les métriques de performance et leurs limites, les mesures de supervision humaine mises en place, et les risques prévisibles identifiés. Cette documentation doit être conservée pendant 10 ans après le retrait du système du marché.

Audit interne ou externe. L'Article 9 impose un système de gestion des risques couvrant l'ensemble du cycle de vie du système. Pour les PME, cet audit peut être réalisé en interne par un responsable AIMS formé, ou externalisé à un prestataire accrédité. La CNIL recommande un audit externe pour les systèmes affectant directement des décisions individuelles (recrutement, crédit, accès aux soins).

Mesures de sécurité renforcées. L'Article 15 exige que les systèmes à haut risque soient robustes, précis et sécurisés. Concrètement : le système doit fonctionner de manière prévisible dans les conditions d'utilisation prévues, résister aux perturbations et aux attaques intentionnelles, et maintenir des performances stables dans le temps. La documentation de ces performances doit être accessible aux autorités sur demande.

Pour les systèmes à haut risque déployés avant le 2 août 2026, un délai de mise en conformité est accordé jusqu'au 31 décembre 2026. Utilisez cette fenêtre pour compléter votre documentation et réaliser votre premier audit. Les sources officielles de Regulia compilent les ressources disponibles pour vous aider dans cette démarche.

5. Outils et ressources de la CNIL pour les PME

La CNIL met à disposition plusieurs ressources directement utilisables par les PME, sans expertise juridique préalable requise.

Le guide pratique IA-RGPD. Disponible en téléchargement gratuit sur cnil.fr, ce guide couvre l'ensemble des obligations RGPD applicables aux systèmes d'IA. Il est organisé par type de système (systèmes de recommandation, de prise de décision automatisée, d'analyse comportementale) et propose des modèles de clauses pour les contrats avec les fournisseurs d'IA.

La checklist de conformité. La CNIL propose une checklist en 25 points permettant d'évaluer rapidement l'état de conformité d'un système d'IA vis-à-vis du RGPD. Cette checklist est adaptée aux systèmes les plus courants dans les PME : chatbots, algorithmes de recommandation, outils de scoring, systèmes de surveillance. Elle est téléchargeable sans inscription.

Le service d'assistance dédié. La CNIL a mis en place un service d'assistance spécifique pour les PME, distinct de ses activités de contrôle. Ce service répond aux questions de conformité dans un délai de 10 jours ouvrés. Il est accessible par formulaire sur le site de la CNIL. Solliciter ce service de manière proactive et en conserver la trace constitue un élément de démonstration de bonne foi en cas de contrôle ultérieur.

Évaluez votre conformité IA-RGPD en 20 minutes

Regulia vous propose un diagnostic gratuit de votre situation : identification de vos systèmes d'IA, classification par niveau de risque et liste des actions prioritaires à engager avant le 31 décembre 2026.

Demander mon diagnostic

6. Étape par étape pour la mise en conformité

Une démarche structurée en quatre étapes permet de couvrir simultanément les obligations RGPD et AI Act, sans travail en double.

Étape 1 — Inventaire des systèmes d'IA

Listez tous les systèmes d'IA utilisés dans votre entreprise, qu'ils soient développés en interne ou achetés à des tiers. Pour chaque système, identifiez : sa finalité déclarée, les données personnelles qu'il traite, les décisions ou recommandations qu'il produit, et les personnes physiques qu'il affecte. Cette liste alimente simultanément votre registre AIMS ISO 42001 et votre registre des activités de traitement RGPD. Pour les outils non déclarés, consultez notre guide Shadow IA.

Étape 2 — Évaluation des risques avec le guide CNIL

Pour chaque système identifié, appliquez la grille d'évaluation des risques de la CNIL. Cette grille croise le niveau de risque AI Act (haut, limité, minimal) avec les critères RGPD (volume de données, catégories de données, impact sur les personnes). Elle produit une liste priorisée d'actions à engager, avec les obligations réglementaires spécifiques à chaque système.

Étape 3 — Mise en place des mesures correctives

Pour chaque système nécessitant une action, mettez en place les mesures identifiées à l'étape 2 : mise à jour des mentions d'information, instauration d'un contrôle humain effectif, rédaction de la FRIA pour les systèmes à haut risque, vérification des contrats fournisseurs, formation des équipes concernées. Documentez chaque mesure avec sa date de mise en place et le responsable désigné.

Étape 4 — Audit et documentation

Réalisez un audit de conformité de l'ensemble de votre démarche. Vérifiez la cohérence entre le registre AIMS, le registre RGPD, les FRIA et les contrats fournisseurs. Produisez un rapport d'audit documentant l'état de conformité de chaque système et les éventuels écarts restants avec leur plan de correction. Ce rapport constitue votre preuve de démarche active de conformité.

7. Les pièges à éviter pour les PME

Trois erreurs reviennent systématiquement dans les contrôles de la CNIL portant sur des systèmes d'IA.

Piège 1 — Ignorer les systèmes d'IA "non automatiques". De nombreuses PME pensent que les obligations ne s'appliquent qu'aux systèmes prenant des décisions entièrement automatiques. C'est faux. L'Article 4(1) du Règlement (UE) 2024/1689 définit un système d'IA comme tout système inférant des prédictions, recommandations ou décisions influençant des environnements réels. Un système qui suggère des actions sans les exécuter automatiquement est un système d'IA au sens de l'AI Act. S'il traite des données personnelles, le RGPD s'applique. Consultez notre glossaire pour la définition complète.

Piège 2 — Ne pas impliquer le DPO dans le processus. Le délégué à la protection des données est le référent naturel pour la conformité IA-RGPD. Son implication dès la phase de sélection des outils d'IA est obligatoire pour les entreprises tenues d'en désigner un (Article 37 RGPD). Dans les PME sans DPO dédié, le responsable de la protection des données doit néanmoins être impliqué dans les décisions d'adoption de nouveaux systèmes d'IA.

Piège 3 — Utiliser des modèles d'IA sans vérifier les données d'entraînement. Lorsqu'un fournisseur vous vend un modèle d'IA, vous devenez responsable de l'utilisation que vous en faites, y compris si ce modèle produit des décisions biaisées. Demandez systématiquement à vos fournisseurs la documentation sur les données d'entraînement utilisées (Article 10 du Règlement (UE) 2024/1689 pour les systèmes à haut risque), les tests d'équité réalisés, et les biais identifiés. Refusez tout fournisseur incapable de produire cette documentation.

8. L'avenir : évolutions prévues en 2027

Le cadre réglementaire continue d'évoluer au-delà de 2026. Trois évolutions majeures sont prévues pour 2027 et au-delà.

Renforcement des sanctions pour les violations répétées. La Commission européenne prévoit des mécanismes d'aggravation des sanctions pour les entreprises ayant déjà fait l'objet de contrôles sans mise en conformité effective. Les PME ayant reçu une mise en demeure sans y répondre substantiellement s'exposent à des majorations significatives lors des contrôles suivants.

Obligation de formation pour les équipes techniques. Les révisions prévues de l'AI Act incluent des exigences de formation obligatoire pour les personnels développant ou déployant des systèmes d'IA à haut risque. Ces exigences s'appuient sur les travaux de l'ENISA (Agence de l'UE pour la cybersécurité) sur les compétences minimales requises.

Intégration dans les contrats fournisseurs. La Commission prévoit des clauses contractuelles types pour les relations entre développeurs et déployeurs d'IA, analogues aux clauses contractuelles types existantes pour les transferts de données personnelles sous le RGPD. Ces clauses types deviendront une référence contractuelle incontournable pour les PME qui achètent des solutions d'IA à des tiers.

Restez informé des évolutions sur notre page de sources officielles et via le service desk européen.

FAQ

Quelles sont les sanctions pour une PME non conforme en 2026 ?

Les sanctions varient selon le texte violé et la gravité de l'infraction. Le RGPD prévoit des amendes jusqu'à 20 millions d'euros ou 4 % du CA mondial pour les violations les plus graves (Article 83(5)). L'AI Act prévoit des amendes jusqu'à 35 millions d'euros ou 7 % du CA mondial pour l'utilisation de systèmes interdits (Article 83(1)). Ces sanctions sont prononcées par la CNIL pour les violations RGPD et par l'autorité nationale compétente IA pour les violations AI Act. Elles peuvent se cumuler pour un même incident. Consultez notre page sanctions pour les calculs détaillés.

Comment les PME peuvent-elles vérifier leur conformité ?

La CNIL propose une checklist gratuite en 25 points sur son site officiel. Les PME doivent réaliser un inventaire de leurs systèmes d'IA, évaluer les risques avec le guide CNIL, et mettre en place les mesures correctives identifiées. Un audit interne documenté est recommandé, et un audit externe est requis pour les systèmes à haut risque affectant directement des décisions individuelles. Le service d'assistance dédié de la CNIL est disponible pour les questions spécifiques.

Quels sont les systèmes d'IA concernés par ces lignes directrices ?

Tous les systèmes d'IA traitant des données personnelles de personnes physiques situées sur le territoire de l'UE. Cela inclut les chatbots de service client, les algorithmes de recommandation, les systèmes de surveillance vidéo analytique, les outils de présélection RH, les logiciels de scoring commercial, et tout outil de prise de décision assistée par l'IA. Les systèmes à haut risque au sens de l'Annexe III du Règlement (UE) 2024/1689 sont soumis à des obligations supplémentaires, notamment la FRIA.

Quelle est la date clé pour la mise en conformité ?

Le 2 août 2026 est la date d'entrée en vigueur des obligations AI Act pour les systèmes à haut risque. Les PME ayant des systèmes à haut risque déjà en exploitation avant cette date disposent d'un délai jusqu'au 31 décembre 2026 pour compléter leur mise en conformité. Il est impératif de commencer immédiatement pour tenir ce calendrier. Consultez le service desk européen pour établir un plan de conformité priorisé.

Où trouver les ressources de la CNIL sur ce sujet ?

La CNIL met à disposition gratuitement un guide pratique, des checklists par type de système d'IA, et un service d'assistance dédié aux PME sur cnil.fr. Le service desk européen propose des ressources complémentaires sur l'AI Act. Notre glossaire compile les définitions clés des deux textes en langage accessible aux non-juristes.

Besoin d'un plan de conformité IA-RGPD sur mesure ?

Regulia rédige votre plan de mise en conformité IA-RGPD en 10 jours : inventaire des systèmes, évaluation des risques, liste des actions prioritaires et calendrier de déploiement adapté à vos ressources.

Demander mon plan de conformité

Sources officielles

Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique.