Declic Media

AI Act : la FAQ officielle de la CNIL date de juillet 2024

6 min de lecture
Alexandre Noto
Article

À 100 jours de l'échéance haut risque, le seul mode d'emploi français officiel sur l'AI Act a 21 mois. Lecture critique d'un texte devenu pièce d'archive.

La newsletter IA gratuite
AI Act : la FAQ officielle de la CNIL date de juillet 2024

Une FAQ qui n'a pas vieilli, elle s'est figée

Le 12 juillet 2024, la CNIL publie sur son site une page intitulée "Entrée en vigueur du règlement européen sur l'IA : les premières questions-réponses de la CNIL". Format classique : une dizaine de questions, des réponses brèves, un ton institutionnel mesuré.

Vingt et un mois plus tard, ce document n'a pas bougé. Aucune mise à jour publique, aucun erratum, aucune annonce de version 2. C'est encore lui qui apparaît en premier résultat quand un DPO ou un dirigeant cherche "CNIL AI Act" sur Google.

Le problème, c'est que le contexte a changé sur quatre dimensions majeures depuis. La CNIL a été officiellement désignée autorité de tutelle française par un amendement gouvernemental déposé le 12 février 2026. Elle a publié des recommandations sur l'intérêt légitime comme base légale pour l'IA en juin 2025. Le texte européen lui-même est en train d'être renégocié via le Digital Omnibus. Et le 17 février 2026, le Sénat a validé un dispositif d'application français qui implique une quinzaine d'autorités sectorielles.

À 102 jours de l'application des dispositions haut risque, c'est ce document de juillet 2024 qui sert de référence officielle. Il mérite une lecture critique.

Ce que la FAQ dit, prudemment

Dans sa version actuelle, la FAQ pose les fondamentaux. Quatre niveaux de risque : inacceptable, haut risque, transparence spécifique, minimal. Un calendrier en quatre étapes : interdictions au 2 février 2025, modèles à usage général au 2 août 2025, dispositions complètes au 2 août 2026, systèmes de l'annexe I au 2 août 2027.

Sur l'articulation avec le RGPD, le texte est limpide : "Le RIA est très clair sur ce point : il ne remplace pas les exigences du RGPD." La complémentarité est posée. Une analyse d'impact RGPD est "présumée requise" pour les systèmes IA à haut risque. La documentation RIA peut "se nourrir" des analyses d'impact existantes.

Sur le rôle de la CNIL, c'est plus prudent. "La CNIL prévoit de s'appuyer sur ces exigences pour guider et accompagner les acteurs." Le conditionnel est partout. La CNIL "considère", la CNIL "participe activement à l'élaboration" de normes harmonisées. Aucune affirmation directe sur sa compétence officielle, parce qu'elle n'était pas encore désignée.

C'est cohérent avec la date. En juillet 2024, le texte européen vient juste d'entrer en vigueur. Aucune autorité française n'a été nommée. Le ministère du Numérique hésite entre plusieurs schémas. La CNIL fait ce qu'elle peut : poser les bases, prendre date, ne pas se survendre.

Trois silences qui pèsent à J-100

Le premier silence est sur la désignation. La FAQ écrit qu'"il appartient à chaque État membre d'organiser la structure de gouvernance" dans le délai d'un an, soit avant août 2025. Cette échéance européenne a été manquée.

La France a finalement déposé son amendement le 12 février 2026, six mois en retard. Le Sénat l'a validé cinq jours plus tard. L'Assemblée nationale doit encore se prononcer.

Trois autorités étaient en compétition pour ce mandat : la CNIL, l'ARCOM, et un tandem DGCCRF + DGE porté par Bercy. Le Conseil d'État a rejeté la proposition initiale du gouvernement en pointant un risque de violation du principe non bis in idem, c'est-à-dire la double sanction d'un même acteur par plusieurs autorités. La FAQ de juillet 2024 n'évoque aucun de ces débats. Elle ne pouvait pas, et elle n'a pas été mise à jour pour le faire après.

Le deuxième silence est sur les sanctions. La FAQ rappelle l'existence du barème européen mais ne décrit aucune procédure CNIL. Pourtant, le texte adopté au Sénat lui donne explicitement le pouvoir d'infliger des amendes jusqu'à 35 millions d'euros pour les pratiques interdites, ou 15 millions pour les manquements haut risque. Comment une plainte sera traitée, qui peut la déposer, dans quels délais, contre qui : on ne sait pas. La doctrine se construira sur les premières affaires.

Le troisième silence est sur le calendrier des livrables. La FAQ promet que "les travaux ont vocation à apporter davantage de clarification". Le programme de travail 2026 publié par la CNIL annonce des recommandations sectorielles santé, éducation, travail.

Aucune date de publication ferme. La consultation publique sur l'IA en santé s'est terminée le 16 avril 2026. Le programme précise lui-même qu'il est "donné à titre indicatif et pourra évoluer".

Pour les entreprises haut risque, la traduction est simple : il n'y aura probablement pas de guide sectoriel français disponible avant l'échéance du 2 août.

Le cas concret du RH français à J-100

Une entreprise française mid-market qui utilise un outil de scoring IA pour le recrutement entre dans la catégorie haut risque par défaut, via l'annexe III. Elle veut se mettre en conformité aujourd'hui. Que trouve-t-elle dans le corpus officiel français ?

La FAQ CNIL de juillet 2024, qui pose les principes mais ne donne aucun cas pratique. Les recommandations CNIL sur l'intérêt légitime publiées le 19 juin 2025, alignées sur l'avis du CEPD de décembre 2024, qui couvrent l'entraînement des modèles mais pas le déploiement opérationnel. Un programme de travail 2026 qui annonce des recommandations sur l'IA au travail, sans date.

Pour le reste, elle doit reconstituer son guide à partir de sources européennes : les lignes directrices du Bureau de l'IA à Bruxelles, les avis du CEPD, les normes harmonisées CEN/CENELEC encore en cours de rédaction, les premiers retours d'expérience d'autres autorités nationales (Italie, Espagne, Allemagne en avance sur la France).

C'est faisable pour un grand groupe avec une équipe juridique dédiée. C'est extrêmement difficile pour une PME ou une ETI qui découvre le sujet.

La CNIL n'est pas en faute, mais le décalage est réel

Il faut être honnête sur les contraintes de la CNIL. Elle n'est pas restée inactive. Elle a publié des recommandations sur l'intérêt légitime, lancé des consultations sectorielles, contribué aux travaux européens du CEPD. Le retard documentaire est partagé avec la plupart des autres autorités nationales européennes. Et elle a hérité d'un mandat AI Act qui s'ajoute au RGPD sans visibilité claire sur les ressources humaines associées, point soulevé publiquement par les analystes DPO français.

Les questions ouvertes ne sont pas ses zones de confort. Elles sont les zones où le texte européen lui-même reste flou, où les normes harmonisées sont en attente, où le Digital Omnibus pourrait tout réécrire d'ici la fin de l'année. La CNIL ne peut pas publier un guide ferme sur un cadre mouvant.

Mais le décalage existe quand même. Pour une entreprise française qui doit décider en avril 2026 si tel outil de scoring CV est conforme ou pas, l'absence de mode d'emploi officiel est un coût opérationnel direct. Elle paye ce vide en heures de juriste, en sous-traitance à des cabinets, en risque résiduel non chiffré.

La FAQ de juillet 2024 n'est pas un document trompeur. Elle est devenue un document d'archive. Le mode d'emploi français de l'AI Act, lui, n'existe pas encore.

Sujets abordés :

RéglementationFranceDécryptage

Questions fréquentes

Quand l'AI Act devient-il pleinement applicable en France ?
Les dispositions complètes de l'AI Act entrent en application le 2 août 2026. Les interdictions sont effectives depuis février 2025, les obligations sur les modèles à usage général depuis août 2025.
Quelle autorité française est compétente pour l'AI Act ?
La CNIL a été désignée autorité de tutelle française par un amendement gouvernemental du 12 février 2026, validé par le Sénat cinq jours plus tard. L'Assemblée nationale doit encore se prononcer.
L'AI Act remplace-t-il le RGPD ?
Non. La CNIL le rappelle clairement : le règlement IA ne remplace pas le RGPD. Les deux textes sont complémentaires. Une analyse d'impact RGPD reste présumée requise pour les systèmes IA à haut risque.
Quelles sanctions en cas de non-conformité AI Act ?
Le barème européen prévoit jusqu'à 35 millions d'euros pour les pratiques interdites et 15 millions pour les manquements haut risque. La procédure CNIL n'est pas encore documentée publiquement.
Existe-t-il un guide CNIL pour les systèmes IA haut risque ?
Non. La FAQ CNIL de juillet 2024 pose les principes mais ne donne aucun cas pratique. Le programme de travail 2026 annonce des recommandations sectorielles santé, éducation, travail, sans date ferme de publication.
La newsletter IA gratuite

Articles reliés

L'UE démantèle en douce les règles qu'elle a mis 5 ans à construire
28 avr. 2026
5 min

L'UE démantèle en douce les règles qu'elle a mis 5 ans à construire

Le Digital Omnibus repousse les obligations de l'AI Act jusqu'en 2028 et exempte définitivement les systèmes déjà déployés. Tout ça sous couvert de simplification.

RéglementationDécryptage
Lire l'article
Premier avocat suspendu à vie aux US pour ses citations IA. La France suit la même pente.
24 avr. 2026
6 min

Premier avocat suspendu à vie aux US pour ses citations IA. La France suit la même pente.

Un avocat de l'Omaha vient d'être suspendu indéfiniment pour avoir déposé une mémoire d'appel truffée de jurisprudence inventée par ChatGPT. La France suit la même courbe avec 12 mois de retard.

RéglementationDécryptage
Lire l'article
IA et droits d'auteur : le Sénat renverse la charge de la preuve
13 avr. 2026
5 min

IA et droits d'auteur : le Sénat renverse la charge de la preuve

Le Sénat a voté à l'unanimité une loi qui oblige les entreprises d'IA à prouver qu'elles n'ont pas utilisé de contenus protégés. Un renversement de logique que le droit d'auteur classique n'avait pas réussi.

RéglementationDécryptage
Lire l'article