Accueil · Analyses · Sanctions AI Act et contrôles CNIL
Sanctions · Risques

Sanctions AI Act : les contrôles CNIL démarrent à l'automne 2026.

Publié le 5 avril 2026 · Lecture · 7 minutes · Par Audaria

La CNIL a annoncé une intensification de ses contrôles à partir de l'automne 2026, en priorité sur les systèmes RH alimentés par l'intelligence artificielle. Au-delà des amendes pouvant atteindre 7 % du chiffre d'affaires mondial, le risque réel pour une PME se situe ailleurs : interdiction d'exploitation, perte de contrats publics, atteinte à la réputation. Cartographie des zones d'exposition et des premières mesures défensives.

Trois autorités, un terrain de contrôle partagé

L'application de l'AI Act en France ne repose pas sur un seul gendarme mais sur un dispositif coordonné. Trois autorités nationales se partagent les missions de surveillance et de sanction, chacune sur un périmètre spécifique.

La CNIL : l'autorité chef de file en pratique

La Commission Nationale de l'Informatique et des Libertés est devenue, par capillarité avec ses missions RGPD, l'autorité de référence pour les systèmes d'IA touchant aux droits fondamentaux. Recrutement, évaluation des salariés, scoring client, surveillance : tous ces usages tombent dans son périmètre direct. La CNIL dispose déjà d'une expérience opérationnelle des contrôles sur place et à distance, et de pouvoirs de sanction structurés.

La DGCCRF : protection du consommateur

La Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes intervient sur les usages de l'IA affectant les relations commerciales B2C : tarification dynamique, recommandation, scoring client à des fins de souscription. Son rôle est complémentaire de celui de la CNIL et ne se confond pas avec lui.

L'Arcom : contenus générés par IA

L'Autorité de Régulation de la Communication Audiovisuelle et Numérique surveille les obligations de transparence sur les contenus générés ou modifiés par IA (deepfakes, contenus synthétiques, chatbots accessibles au public). Sa compétence se limite aux espaces médiatiques et aux plateformes en ligne.

Pour une PME française, c'est principalement la CNIL qui constitue le risque opérationnel concret. Et c'est elle qui a annoncé le calendrier de montée en puissance le plus précis.

Le calendrier des contrôles CNIL : ce qui est annoncé

La CNIL a publié des orientations claires sur la séquence des contrôles. Pour les PME, voici les jalons à intégrer dans une réflexion défensive.

Cette gradation est typique de la pratique CNIL : la première année d'un nouveau régime sert à éduquer le marché, la deuxième à frapper les exemples. Cela laisse une fenêtre stratégique pour les PME qui agissent maintenant.

Le barème des sanctions : trois niveaux, un effet dissuasif réel

Le règlement prévoit un barème explicite, gradué selon la gravité du manquement.

Type de manquement Plafond Exemples
Pratiques interdites (Article 5) 35 M€ ou 7 % du CA mondial Notation sociale, manipulation, exploitation de vulnérabilités
Manquements sur les systèmes à haut risque 15 M€ ou 3 % du CA mondial Absence d'inventaire, défaut de supervision humaine, conservation des logs déficiente
Informations incorrectes ou trompeuses 7,5 M€ ou 1,5 % du CA mondial Documentation falsifiée, refus de coopération avec les autorités

Pour les PME, le règlement prévoit des plafonds proportionnés : la sanction est plafonnée au montant le plus bas entre le pourcentage du CA et le montant fixe. Cette disposition vise à éviter qu'une PME soit liquidée par une amende disproportionnée. En pratique, pour une PME réalisant un CA de 5 M€, l'amende maximale théorique sur un manquement haut risque tombe à environ 150 000 €.

Pourquoi l'amende n'est pas le vrai risque

Concentrer la communication sur le pourcentage du chiffre d'affaires est tentant — c'est spectaculaire. Mais pour une PME, le risque économique réel se situe sur trois autres plans, souvent sous-estimés.

1. L'interdiction d'exploitation du système

Au-delà de l'amende, la CNIL et les autres autorités peuvent ordonner la mise en conformité, voire l'arrêt immédiat du système non conforme. Pour une PME dont l'outil RH automatisé est central dans le process de recrutement, ou dont le scoring client conditionne la mise sur le marché d'un produit, c'est la paralysie opérationnelle. L'effet économique d'un arrêt imposé pendant trois mois peut excéder très largement celui de l'amende.

2. L'exclusion des marchés publics

Depuis 2024, les acheteurs publics intègrent progressivement des clauses de conformité numérique dans leurs cahiers des charges. La conformité AI Act devient, à mesure que la deadline de 2026 approche, un critère implicite ou explicite. Une PME en infraction signalée se retrouve de facto exclue des appels d'offres pendant plusieurs années — un coût d'opportunité considérable.

3. L'effet sur la chaîne contractuelle B2B

Les grandes entreprises et ETI exigent désormais de leurs sous-traitants des engagements de conformité. Une PME sanctionnée publiquement par la CNIL voit ses contrats existants menacés de résiliation pour faute, et perd l'accès à de nouveaux marchés B2B. Sur un sujet aussi médiatisé que l'AI Act, l'effet contagion contractuel est direct.

Le risque réputationnel digital. Les décisions CNIL sont publiées sur son site et largement relayées dans la presse spécialisée. Pour une PME B2B, voir son nom apparaître dans une décision de sanction est une catastrophe SEO durable : la mention reste indexée par Google pendant des années et apparaît à chaque recherche du nom de l'entreprise. Le coût réputationnel se mesure en années de communication corrective.

Les quatre zones d'exposition à neutraliser en priorité

Toutes les utilisations d'IA dans une PME ne portent pas le même niveau de risque. Voici les usages les plus susceptibles de déclencher un contrôle CNIL et où concentrer l'effort défensif.

Zone 1 — Tri et scoring de candidatures

Les outils de recrutement alimentés par l'IA sont la cible prioritaire affichée par la CNIL. Toute PME utilisant un ATS (Applicant Tracking System) avec composante IA, un outil de scoring CV, ou un assistant de présélection automatisé doit s'assurer de plusieurs points : transparence vis-à-vis des candidats, supervision humaine effective, absence de biais discriminatoires démontrables, possibilité de recours pour le candidat.

Zone 2 — Évaluation de performance des salariés

Les systèmes d'évaluation continue, de scoring de productivité ou de détection des comportements à risque touchent directement aux droits fondamentaux des salariés. Le recours à de tels outils sans information des représentants du personnel et sans cadre de supervision est un cas typique de manquement caractérisé.

Zone 3 — Scoring client et tarification dynamique

Tout système prenant ou influençant une décision sur l'accès d'une personne à un service (crédit, assurance, abonnement) est concerné. Les pratiques de tarification individualisée appuyées sur de l'IA tombent sous une vigilance renforcée, particulièrement quand elles peuvent produire un effet discriminatoire.

Zone 4 — Chatbots et assistants automatisés

L'obligation de transparence est simple à mettre en œuvre mais facile à oublier : tout interlocuteur d'un système d'IA doit en être clairement informé. La mention « Vous discutez avec un assistant automatisé » ou équivalent est désormais incontournable. Son absence est un manquement aisé à constater lors d'un contrôle.

Les sept réflexes défensifs avant l'automne 2026

Au-delà de la mise en conformité technique de fond, certains gestes simples réduisent significativement l'exposition d'une PME aux contrôles.

  1. Constituer le registre AI Act : un document unique qui recense tous les systèmes d'IA utilisés, leur niveau de risque, leur fournisseur. C'est la première chose qu'une autorité demandera.
  2. Documenter la supervision humaine : décrire par écrit qui supervise quoi, à quelle fréquence, selon quels critères de validation.
  3. Mettre à jour les annonces de recrutement et les pages carrières pour y mentionner explicitement l'usage éventuel d'IA dans le processus.
  4. Insérer les mentions de transparence sur les chatbots, formulaires automatisés, contenus générés par IA.
  5. Sensibiliser le management et les équipes opérationnelles concernées (RH, marketing, IT) sur les obligations applicables.
  6. Auditer les contrats fournisseurs pour vérifier les engagements de conformité AI Act des éditeurs SaaS utilisés.
  7. Tracer les preuves de bonne foi : conserver les échanges, les documents intermédiaires, les versions successives. En cas de contrôle, c'est ce qui distingue une PME négligente d'une PME en démarche active.

Ce qu'il faut retenir. Les contrôles CNIL démarrent à l'automne 2026. Le risque pour une PME ne se limite pas à l'amende : interdiction d'exploitation, exclusion des marchés publics, dommage réputationnel durable. Les quatre zones d'exposition prioritaires sont identifiables, et les mesures défensives sont accessibles à toute PME structurée. La fenêtre d'action utile se referme rapidement : en juin 2026, il sera trop tard pour engager une démarche sereine.

La conformité AI Act ne se limite pas à éviter les sanctions : elle est aussi un argument commercial vis-à-vis des clients B2B et un levier de différenciation. Notre analyse des obligations AI Act pour les PME détaille les actions à conduire concrètement avant le 2 août 2026.

Sources et références

Évaluez votre exposition aux contrôles CNIL

Un échange initial avec Audaria permet d'identifier précisément les zones d'exposition de votre PME et de prioriser les mesures défensives à conduire avant les premiers contrôles.

Demander un diagnostic →
— Pour aller plus loin —

Articles associés

AI Act · PME

Obligations AI Act pour les PME : que faire avant le 2 août 2026 ?

Classification des risques, registres, transparence : ce qu'il faut faire avant la deadline pour être en conformité.
Data Act · Contrats

Data Act : ce que change le règlement pour vos contrats fournisseurs cloud

Depuis septembre 2025, le Data Act impose de nouvelles règles de portabilité des données. Les clauses à renégocier en priorité.