Qui contrôle l'IA Act en France ? CNIL, sanctions et ce qui se passe vraiment en cas de manquement

Introduction

Un règlement sans gendarme reste un vœu pieux. Pour l'IA Act, la France a tranché début 2026 : c'est la CNIL qui devient l'autorité pivot de la régulation de l'IA, épaulée par une constellation de régulateurs sectoriels. Autrement dit : l'autorité que vous connaissez déjà pour le RGPD étend son champ à vos usages d'intelligence artificielle.

Qui contrôle quoi, que risquez-vous réellement, et à quoi ressemblera un contrôle ? Réponses concrètes, sans catastrophisme, mais sans angélisme non plus.

Cet article fait partie de notre série IA Act pour les PME.

La gouvernance française : la CNIL en chef d'orchestre

Par une modification de la loi Informatique et Libertés adoptée en février 2026, la CNIL a été désignée autorité nationale de surveillance pour l'IA Act. Elle peut contrôler et sanctionner les pratiques interdites et auditer la transparence des systèmes à haut risque. Un choix logique : IA et données personnelles sont presque toujours imbriquées, et la CNIL contrôle déjà vos traitements RGPD.

Autour d'elle, chaque régulateur garde son secteur : la DGCCRF pour les pratiques commerciales, l'ACPR pour la banque et l'assurance, l'ARCOM pour les contenus audiovisuels, la HAS et l'ANSM pour la santé. La DGE (Direction générale des entreprises) coordonne l'ensemble et représente la France au Comité européen de l'IA, avec l'appui technique de l'ANSSI et du PEReN.

Ce que cela signifie pour vous : votre interlocuteur de contrôle le plus probable est la CNIL, et un contrôle RGPD peut désormais s'étendre naturellement à vos usages IA, et réciproquement.

Le barème des sanctions, sans dramatisation

Trois étages de sanctions administratives :

Jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites de l'article 5 (notation sociale, reconnaissance d'émotions au travail… voir notre article dédié).

Jusqu'à 15 M€ ou 3 % du CA mondial pour les autres manquements : obligations haut risque, transparence de l'article 50.

Jusqu'à 7,5 M€ ou 1 % du CA mondial pour la fourniture d'informations inexactes aux autorités.

Pour les PME, le règlement prévoit explicitement que s'applique le montant le plus faible entre le pourcentage et la somme forfaitaire, l'inverse des grandes entreprises. Les sanctions restent dissuasives, mais l'esprit du texte n'est pas d'écraser les petites structures : la proportionnalité, la gravité, la coopération et les mesures correctives prises sont prises en compte.

À quoi ressemblera un contrôle (et ce qui vous protège)

Si l'on se fie à la pratique CNIL sur le RGPD (meilleur indicateur disponible), les contrôles IA Act suivront trois canaux : les plaintes (un candidat écarté, un salarié surveillé, un client trompé par un chatbot), les signalements et l'actualité (un incident médiatisé), et les campagnes thématiques annuelles (la CNIL a déjà annoncé faire de l'IA une priorité de contrôle pour 2026).

Lors d'un contrôle, trois questions reviendront systématiquement :

« Quels systèmes d'IA utilisez-vous ? » Votre inventaire des usages est votre première ligne de défense. Ne pas savoir répondre est le pire des signaux.

« Comment vos équipes sont-elles formées ? » Registre des formations, attestations : la littératie IA (article 4) est l'obligation la plus facile à contrôler.

« Pouvez-vous le démontrer ? » Réponses écrites de vos fournisseurs, classification documentée de vos outils, mentions de transparence en place. La diligence documentée fait toute la différence entre « manquement sanctionné » et « mise en demeure avec délai de correction ».

Car c'est la réalité du terrain : pour une PME de bonne foi, la première étape d'un contrôle est rarement l'amende : c'est la mise en demeure. Le vrai risque est de ne rien pouvoir montrer du tout.

Le risque dont personne ne parle : vos clients

Avant même la CNIL, c'est votre marché qui vous contrôlera. Les grands donneurs d'ordre intègrent déjà la conformité IA Act dans leurs appels d'offres et questionnaires fournisseurs, comme ils l'ont fait pour le RGPD à partir de 2018. Une PME sous-traitante incapable de documenter ses usages d'IA perdra des marchés bien avant de recevoir un courrier de la CNIL.

À l'inverse, une conformité propre et documentée devient un argument commercial différenciant, particulièrement dans les secteurs réglementés et auprès des ETI.

Ce qu'il faut retenir

En France, la CNIL est votre interlocuteur principal pour l'IA Act, avec un barème de sanctions dissuasif mais proportionné pour les PME. Le scénario réaliste n'est pas l'amende surprise : c'est la plainte d'un candidat ou d'un client, le contrôle qui s'ensuit, et la question fatidique : « pouvez-vous le démontrer ? ».

Inventaire, formation documentée, réponses écrites des fournisseurs, mentions de transparence : quatre dossiers qui transforment un contrôle redouté en formalité. Demain, dernier article de la série : le plan d'action complet en 10 étapes pour y arriver, sans cabinet d'avocats.

Et si vous préférez être accompagné, c'est le cœur de nos missions hIAppy Vision.