L'année 2026 marque un tournant pour la conformité IA en France. Le Règlement (UE) 2024/1689 (AI Act) atteint une échéance majeure le 2 août 2026, et la CNIL affine sa doctrine sur l'intelligence artificielle. Pour les DPO de PME, comprendre les décisions et la position du régulateur devient une priorité opérationnelle.
L'essentiel en 30 secondes
- L'AI Act franchit une étape clé le 2 août 2026 : la majorité des obligations, dont celles applicables aux systèmes à haut risque de l'Annexe III, deviennent contraignantes.
- La CNIL publie sa doctrine IA via ses fiches pratiques et ses décisions de sanction, consultables sur cnil.fr.
- Les amendes se cumulent sur deux régimes : RGPD (Art. 83, jusqu'à 20 M€ ou 4 % du CA mondial) et AI Act (Art. 99, jusqu'à 35 M€ ou 7 %).
- Nombre de décisions CNIL rendues sur l'IA en 2026 :
[à vérifier — à renseigner depuis cnil.fr]. - Références légales structurantes : AI Act (Art. 50 transparence, Art. 26-27 déployeurs, Art. 99 sanctions), RGPD (Art. 22, Art. 35).
1. Contexte législatif 2026 : AI Act et RGPD en synergie
L'AI Act et le RGPD ne se remplacent pas. Ils se superposent. Un système d'IA qui traite des données personnelles relève des deux textes en même temps.
Le calendrier d'application est échelonné. Les pratiques interdites de l'Article 5 s'appliquent depuis le 2 février 2025. Les obligations sur les modèles d'usage général (GPAI) s'appliquent depuis le 2 août 2025. La date charnière de 2026 est le 2 août 2026 : les règles pour la plupart des systèmes à haut risque listés à l'Annexe III entrent en vigueur.
Pour un DPO, cette synergie crée trois obligations concrètes. D'abord, cartographier les systèmes d'IA qui traitent des données personnelles. Ensuite, produire une documentation technique conforme. Enfin, articuler l'analyse d'impact RGPD (Art. 35) avec l'analyse d'impact sur les droits fondamentaux prévue à l'Article 27 de l'AI Act pour certains déployeurs.
| Texte | Rôle principal | Articles clés pour DPO |
|---|---|---|
| RGPD | Protection des données personnelles | Art. 22 (décision automatisée), Art. 35 (AIPD), Art. 83 (sanctions) |
| AI Act (Règl. 2024/1689) | Sécurité et droits fondamentaux des systèmes d'IA | Art. 6 + Annexe III (haut risque), Art. 26-27 (déployeurs), Art. 50 (transparence), Art. 99 (sanctions) |
La transparence des systèmes d'IA relève de l'Article 50 du Règlement (UE) 2024/1689. Il impose d'informer les personnes lorsqu'elles interagissent avec une IA ou face à des contenus générés ou manipulés (« deepfakes »). Pour un rappel des définitions, consultez notre glossaire.
2. Principales décisions CNIL 2026 : lecture de la doctrine
La CNIL exprime sa doctrine IA par deux canaux : ses fiches pratiques dédiées à l'IA et ses décisions de la formation restreinte. Les décisions individuelles de 2026 doivent être vérifiées directement à la source avant toute citation.
Les axes de contrôle observés dans la doctrine récente portent sur trois points récurrents :
- La base légale du traitement quand l'IA repose sur des données massives collectées par moissonnage.
- La transparence effective envers les personnes concernées (Art. 50 AI Act, Art. 13-14 RGPD).
- La documentation technique permettant de démontrer la conformité (Art. 11 AI Act, Art. 35 RGPD).
Décisions individuelles 2026 (numéros de délibération, montants, profils d'entreprises) :
[à vérifier — renseigner depuis les délibérations publiées sur cnil.fr avant publication].
Nous ne reproduisons pas ici de cas précis non sourcé. Toute décision citée dans la version publiée devra référencer le numéro de délibération CNIL et sa date. Ce principe protège la crédibilité de l'analyse et évite de diffuser une jurisprudence erronée.
Structurez votre conformité IA sans attendre la prochaine sanction
Notre pack documentaire complet fournit registre des systèmes d'IA, modèles d'AIPD et grille d'audit alignés sur l'AI Act et le RGPD.
Découvrir le pack complet3. Sanctions et amendes 2026 : les deux régimes applicables
Une PME non conforme s'expose à deux régimes de sanction distincts, qui peuvent se cumuler selon le manquement.
Le régime RGPD est fixé par l'Article 83. Le plafond haut atteint 20 M€ ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Il s'applique notamment aux violations des principes de traitement et des droits des personnes.
Le régime AI Act est fixé par l'Article 99. Il distingue plusieurs niveaux.
| Manquement AI Act | Plafond | Base |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99 |
| Non-respect des autres obligations | 15 M€ ou 3 % du CA mondial | Art. 99 |
| Informations inexactes aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99 |
Pour les PME et jeunes entreprises, l'Article 99 précise que c'est le montant le plus faible entre le pourcentage et la somme fixe qui s'applique. C'est une nuance protectrice souvent ignorée.
Sanctions CNIL prononcées en 2026 sur des dossiers IA (nombre, montants cumulés, répartition) :
[à vérifier — renseigner depuis cnil.fr].
Pour une analyse détaillée du calcul des amendes, consultez notre article dédié aux sanctions et amendes pour les PME.
4. Obligations pour les DPO en 2026 : ce que dit réellement le droit
Le rôle du DPO évolue avec l'IA, mais les obligations doivent être décrites avec exactitude. Ni l'AI Act ni le RGPD ne fixent de « seuil de 50 salariés » déclenchant un audit obligatoire, ni de « formation de 40 heures ». Ces seuils circulent parfois mais ne figurent dans aucun texte.
Les obligations réellement fondées sont les suivantes :
- Analyse d'impact (Art. 35 RGPD) : obligatoire quand le traitement présente un risque élevé, ce qui est fréquent pour l'IA à grande échelle ou le profilage.
- Analyse d'impact sur les droits fondamentaux (Art. 27 AI Act) : requise pour certains déployeurs de systèmes à haut risque, notamment les organismes publics et certains acteurs privés.
- Documentation technique (Art. 11 et Annexe IV AI Act) : à la charge du fournisseur, mais le déployeur doit vérifier sa disponibilité.
- Surveillance humaine (Art. 14 AI Act) et enregistrement des événements (Art. 12) pour les systèmes à haut risque.
La tenue d'un registre interne des systèmes d'IA n'est pas imposée nommément par l'AI Act, mais elle constitue une bonne pratique pour démontrer la conformité. Elle prolonge naturellement le registre des traitements de l'Article 30 RGPD.
5. Critères de conformité des systèmes d'IA
L'AI Act définit des exigences précises pour les systèmes à haut risque. Un DPO doit les connaître pour dialoguer avec les équipes techniques.
| Exigence | Article AI Act | Ce que le DPO vérifie |
|---|---|---|
| Gestion des risques | Art. 9 | Existence d'un processus itératif documenté |
| Gouvernance des données | Art. 10 | Qualité et représentativité des jeux de données |
| Documentation technique | Art. 11 | Dossier conforme à l'Annexe IV |
| Traçabilité | Art. 12 | Journaux d'événements activés |
| Transparence | Art. 13 + Art. 50 | Notice d'utilisation et information des personnes |
| Surveillance humaine | Art. 14 | Capacité d'intervention humaine effective |
| Exactitude et robustesse | Art. 15 | Tests de performance et de cybersécurité |
Un système opaque, sans documentation ni surveillance humaine, expose la PME à un double risque : sanction AI Act (Art. 99) et sanction RGPD si des données personnelles sont en jeu (Art. 22 sur les décisions automatisées).
6. Les défis majeurs pour les DPO en 2026
Trois difficultés structurelles ressortent des retours de terrain.
Premièrement, les systèmes d'IA open source. Leur intégration facilite l'innovation mais complique la traçabilité de la chaîne de responsabilité entre fournisseur et déployeur.
Deuxièmement, le manque de ressources pour l'audit technique. Beaucoup de PME n'ont pas d'expertise interne en évaluation de modèles. Le DPO doit alors s'appuyer sur des prestataires ou des outils d'auto-évaluation.
Troisièmement, la vitesse d'évolution réglementaire. Entre les actes d'exécution de la Commission, les lignes directrices de l'AI Office et les fiches CNIL, la veille devient un travail à part entière. Notre hub actualité 2026 centralise ce suivi.
7. Outils et ressources pour la conformité
Plusieurs ressources officielles aident les DPO de PME à structurer leur démarche.
- Les fiches pratiques IA de la CNIL couvrent la base légale, la constitution des jeux de données et l'information des personnes. Elles sont disponibles sur cnil.fr.
- Le service desk européen de l'AI Act (ai-act-service-desk.ec.europa.eu) fournit une assistance officielle sur l'interprétation du règlement.
- Les normes ISO/IEC 42001:2023 (système de management de l'IA) et ISO/IEC 23894:2023 (gestion des risques IA) offrent un cadre organisationnel reconnu.
Ces ressources ne remplacent pas une démarche documentaire structurée. Elles en constituent le socle. Pour une vue d'ensemble adaptée aux PME françaises, consultez notre pilier AI Act pour les PME françaises.
Auditez vos systèmes d'IA avec un cadre prêt à l'emploi
Grille d'audit, registre IA et modèles d'analyse d'impact conformes à l'AI Act : gagnez des semaines de préparation avant l'échéance du 2 août 2026.
Obtenir le pack complet8. Bonnes pratiques pour les DPO en 2026
Quatre actions concrètes structurent une démarche solide.
- Tenir un registre des systèmes d'IA, en extension du registre des traitements (Art. 30 RGPD).
- Articuler systématiquement l'AIPD (Art. 35 RGPD) et l'analyse des droits fondamentaux (Art. 27 AI Act) quand les deux s'appliquent.
- Former les équipes techniques aux exigences de documentation et de surveillance humaine, sans se fier à un quota d'heures imaginaire.
- Collaborer avec des experts en IA pour l'audit des modèles complexes ou open source.
Ces pratiques transforment la conformité en processus continu, pas en formalité ponctuelle.
FAQ
Quelles sont les principales obligations des DPO en 2026 concernant l'IA ?
Le DPO cartographie les systèmes d'IA traitant des données personnelles, conduit les analyses d'impact requises (Art. 35 RGPD, et Art. 27 AI Act pour certains déployeurs) et vérifie la documentation technique (Art. 11 AI Act). Il n'existe pas de seuil légal de 50 salariés déclenchant un audit obligatoire : l'obligation dépend du niveau de risque du traitement et de la classification du système. La tenue d'un registre des systèmes d'IA reste une bonne pratique recommandée.
Quelles sanctions peuvent encourir les PME non conformes en 2026 ?
Deux régimes s'appliquent. Le RGPD prévoit jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial (Art. 83). L'AI Act prévoit jusqu'à 35 M€ ou 7 % pour les pratiques interdites, et 15 M€ ou 3 % pour les autres manquements (Art. 99). Pour les PME, le montant le plus faible s'applique. Les sanctions CNIL spécifiques prononcées en 2026 sont à vérifier sur cnil.fr.
Où trouver des ressources pour comprendre l'AI Act en tant que PME ?
La CNIL publie un ensemble de fiches pratiques IA sur cnil.fr. Le service desk européen (ai-act-service-desk.ec.europa.eu) offre une assistance officielle. Nous recommandons aussi notre article dédié à l'AI Act pour les PME françaises.
Quels sont les risques juridiques majeurs pour les DPO en 2026 ?
Les risques principaux sont les sanctions cumulées RGPD et AI Act, les recours de personnes concernées contre des systèmes opaques ou discriminatoires (Art. 22 RGPD), et les manquements à la documentation technique. La transparence des algorithmes (Art. 50 AI Act) constitue un point de contrôle sensible.
Comment suivre l'évolution des décisions CNIL sur l'IA ?
La CNIL publie ses délibérations sur cnil.fr. Suivez également notre hub actualité 2026 et le service desk européen de l'AI Act. Pour les termes techniques, consultez notre glossaire.
Sources officielles
- CNIL — fiches pratiques et délibérations : https://cnil.fr
- EUR-Lex — Règlement (UE) 2024/1689 (version officielle) : https://eur-lex.europa.eu
- AI Act — texte consolidé : https://artificialintelligenceact.eu
- Commission européenne — AI Act Service Desk : https://ai-act-service-desk.ec.europa.eu
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.