Conformité IA

CNIL et IA

La CNIL et l'Intelligence Artificielle — recommandations, contrôles, sanctions.

La CNIL est l'autorité française de protection des données et l'une des autorités compétentes pour l'AI Act sur le territoire français. Depuis 2023, elle publie guides et fiches sur l'IA — déclaration, base légale, données d'entraînement, transparence. Programme de contrôle annuel intégrant les systèmes IA. Sanctions jusqu'à 4 % du CA mondial. Articulation avec RGPD et IA et la gouvernance IA.
Rôle

Le rôle de la CNIL sur l'intelligence artificielle

La Commission nationale de l'informatique et des libertés (CNIL) est l'autorité administrative indépendante française chargée de la protection des données personnelles. Depuis 2022, elle s'est positionnée comme un acteur central de la régulation de l'intelligence artificielle en France, dans le périmètre où l'IA traite des données personnelles — soit la grande majorité des cas d'usage en entreprise.

Son rôle sur l'IA se structure autour de quatre missions :

  • Doctrine. Publication de recommandations et de guides pratiques sur les usages IA traitant des données personnelles : génération de contenu, scoring, recrutement, surveillance, recherche.
  • Contrôle. Programme annuel de contrôles incluant des thématiques IA depuis 2023 : usage de ChatGPT en entreprise, systèmes de scoring, vidéosurveillance augmentée, biométrie.
  • Sanction. Pouvoir de sanction administrative en cas de violation du RGPD par un système IA, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel.
  • Co-pilotage de l'AI Act en France. Pressentie comme autorité nationale compétente pour le volet « droits et données » du règlement européen sur l'IA, en articulation avec d'autres autorités sectorielles.
Doctrine

Quatre familles de recommandations publiées par la CNIL

Constitution des bases d'entraînement

Guide publié à partir d'octobre 2023, complété en 2024-2025. Couvre le choix des données, la base légale (intérêt légitime, consentement), la gestion des données sensibles, l'anonymisation et la pseudonymisation, la conservation, le partage entre acteurs.

Information des personnes

Recommandations sur les formats d'information adaptés au caractère technique des systèmes IA. Quelles mentions intégrer dans les politiques de confidentialité, comment expliquer le fonctionnement d'un système IA sans divulguer ses secrets d'affaires.

Droits des personnes

Modalités d'exercice des droits d'accès, de rectification, d'effacement sur les modèles entraînés. Question complexe du machine unlearning. Articulation avec le secret des affaires et la propriété intellectuelle.

Outils d'IA générative en entreprise

Recommandations spécifiques sur ChatGPT, Claude, Gemini, Mistral en usage professionnel : encadrement du shadow AI, choix des versions Enterprise, contractualisation, charte interne d'usage.

Programme de contrôle

Les thématiques IA contrôlées par la CNIL

La CNIL publie chaque année son programme de contrôle thématique. Les thématiques IA reviennent régulièrement depuis 2023 :

  • Systèmes de recrutement automatisé : analyse de CV, scoring de candidats, entretien vidéo augmenté par IA. Vérification de la conformité à l'article 22 RGPD et à l'AI Act (haut risque).
  • Vidéosurveillance augmentée : caméras avec reconnaissance faciale, analyse comportementale, détection automatique. Contrôle du respect de la base légale et de la proportionnalité.
  • Outils d'IA générative en entreprise : usage de ChatGPT et équivalents sur données personnelles, encadrement du shadow AI, contractualisation des versions Enterprise.
  • Systèmes de scoring : scoring crédit, scoring marketing, scoring fraude. Articulation avec l'article 22 (décisions automatisées).
  • Bases d'entraînement : utilisation de données publiques pour entraîner des modèles, conditions de cette utilisation.
Préparer un contrôle

Cinq pièces à pouvoir produire en cas de contrôle CNIL sur l'IA

  1. Registre des traitements RGPD à jour, mentionnant explicitement les systèmes IA traitant des données personnelles, leur base légale, leurs finalités.
  2. AIPD (analyses d'impact) pour les systèmes à risque élevé, dûment réalisées et signées par le DPO.
  3. Politique IA et charte collaborateurs opposables, datées, diffusées en interne (voir Politique IA et Charte IA).
  4. Contrats fournisseurs IA : contrats Enterprise pour les LLM, clauses de non-réutilisation des données, instruments de transfert hors UE (DPF, CCT).
  5. Preuves d'information des personnes : mentions dans les politiques de confidentialité, signalisation des chatbots, information des candidats sur les systèmes de pré-tri.
Sanctions notifiées

Doctrine de sanction de la CNIL sur l'IA

Au 16 mai 2026, la CNIL a prononcé plusieurs sanctions touchant à des systèmes IA, généralement sur le fondement du RGPD plutôt que de l'AI Act (dont les sanctions ne sont pas encore pleinement applicables). Les principaux motifs récurrents :

  • Absence de base légale appropriée pour un traitement automatisé impliquant un système IA, notamment en matière de scoring.
  • Information insuffisante des personnes sur l'usage d'IA dans le traitement de leurs données.
  • Absence d'AIPD pour des traitements à risque élevé impliquant un système IA.
  • Non-respect du droit d'opposition sur des traitements fondés sur l'intérêt légitime.
  • Sécurité insuffisante permettant la fuite de données traitées par un système IA.

Les montants des sanctions varient de quelques milliers d'euros (PME) à plusieurs millions d'euros pour les grandes entreprises. La doctrine récente intègre une circonstance aggravante spécifique pour les manquements liés à l'IA, en raison du caractère structurant et durable du sujet.

Parlons de votre projet

Un appel stratégique pour cadrer votre démarche IA.

Échangez avec un dirigeant Expert IA pour structurer votre projet d'intelligence artificielle — diagnostic du contexte, identification des cas d'usage prioritaires, cadrage de la démarche.

Demander un appel stratégique