Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & Droit 30 avril 2026 8 min de lecture

CNIL et intelligence artificielle : recommandations 2026 et obligations pour les entreprises

Depuis 2023, la CNIL publie des fiches pratiques, des recommandations et des lignes directrices sur l'utilisation de l'IA dans les organisations. Ces textes ne sont pas que des guides — ils annoncent les priorités de contrôle de l'autorité. En 2026, les entreprises qui ignorent les recommandations CNIL sur l'IA s'exposent à des mises en demeure et des sanctions. Voici l'essentiel à retenir.

Ce qu'il faut retenir

  • La CNIL a publié un corpus de recommandations IA depuis 2023, couvrant la formation des modèles, l'IA générative et les usages RH
  • Toute IA traitant des données personnelles doit avoir une base légale clairement identifiée
  • L'AIPD (analyse d'impact) est obligatoire pour les IA à fort risque, notamment en RH, santé et scoring
  • La CNIL annonce des contrôles ciblés sur l'IA en 2026 — préparation documentaire indispensable

Panorama des textes CNIL sur l'IA (2023-2026)

La CNIL a adopté une approche progressive et pédagogique sur l'IA. Les textes clés à connaître :

  • Janvier 2023 : Plan IA de la CNIL — annonce des priorités : accompagner les acteurs, contrôler les usages à risque, contribuer à la réglementation EU AI Act
  • Juin 2023 : Recommandations sur les bases légales pour les systèmes d'IA (apprentissage automatique)
  • Octobre 2023 : Enquête sur ChatGPT et décision de coopération avec les autorités européennes
  • 2024 : Lignes directrices sur l'IA générative — comment les entreprises peuvent utiliser des LLM dans le respect du RGPD
  • 2025-2026 : Application de l'EU AI Act en coordination avec les autorités nationales des États membres

Bases légales : quelle base pour quel usage IA ?

Tout traitement de données personnelles par un système d'IA requiert une base légale au sens de l'article 6 du RGPD. La CNIL a précisé comment les appliquer aux contextes IA :

Usage IABase légale recommandéeConditions
Formation d'un modèle sur données clientsIntérêt légitime (art. 6.1.f)Test de mise en balance requis, droit d'opposition
IA de recrutement / scoring RHConsentement ou nécessité contractuelleDroits renforcés, AIPD obligatoire
Chatbot service clientIntérêt légitime ou contratInformation préalable obligatoire
IA de surveillance des salariésObligation légale ou intérêt légitimeEncadrement strict, consultation CSE
IA médicale (données de santé)Intérêt public ou consentement expliciteDonnées catégorie spéciale — règles art. 9 RGPD

La CNIL insiste sur un point souvent négligé : la base légale doit être choisie avant le déploiement, pas justifiée après coup. Un changement de base légale en cours de traitement est généralement impossible.

AIPD : quand est-elle obligatoire pour une IA ?

L'Analyse d'Impact relative à la Protection des Données (AIPD, ou DPIA) est obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits des personnes. La CNIL a publié une liste des traitements nécessitant systématiquement une AIPD :

  • Décisions automatisées produisant des effets juridiques (refus de crédit, licenciement automatisé)
  • Traitement à grande échelle de données sensibles (santé, origine ethnique, opinions politiques)
  • Surveillance systématique à grande échelle (monitoring des salariés, vidéosurveillance avec IA)
  • Profilage d'individus permettant de prendre des décisions à leur égard
  • Traitement de données de personnes vulnérables (mineurs, patients)

Pour tout système d'IA en entreprise, la règle pratique : si l'IA prend ou influence des décisions sur des personnes, ou traite des données sensibles à grande échelle, une AIPD est nécessaire.

Droits des personnes face à une IA

Le RGPD maintient tous les droits des personnes même quand leurs données sont traitées par une IA. La CNIL rappelle les obligations spécifiques :

  • Droit à l'information : les personnes dont les données sont utilisées pour former ou alimenter un modèle IA doivent être informées
  • Droit d'opposition : si la base légale est l'intérêt légitime, les personnes peuvent s'opposer — et le responsable de traitement doit pouvoir traiter cet opt-out
  • Droit à ne pas faire l'objet d'une décision exclusivement automatisée (article 22 RGPD) : si une IA prend seule des décisions avec des effets significatifs, les personnes peuvent demander une intervention humaine
  • Droit à l'explication : les décisions automatisées doivent pouvoir être expliquées de façon compréhensible

Le cas des modèles généraux pré-entraînés

Si vous utilisez ChatGPT, Copilot ou tout LLM tiers avec des données personnelles de vos clients ou employés, la CNIL considère que vous êtes responsable du traitement — pas le fournisseur du LLM. La conformité RGPD est votre responsabilité, pas celle d'OpenAI ou Microsoft.

IA générative : les positions de la CNIL

La CNIL a pris des positions claires sur l'IA générative :

Sur l'entraînement des modèles : les données personnelles utilisées pour entraîner un LLM doivent avoir une base légale valide. La CNIL a interrogé OpenAI sur les données d'entraînement de ChatGPT en 2023.

Sur l'usage en entreprise : avant de déployer un outil d'IA générative, l'entreprise doit vérifier que le fournisseur signe un contrat de sous-traitance (DPA), que les données ne seront pas utilisées pour entraîner les modèles, et que les transferts hors UE respectent le RGPD.

Sur les hallucinations : les entreprises doivent informer les utilisateurs que les contenus générés peuvent être inexacts, surtout quand ces contenus concernent des personnes réelles.

Focus CNIL sur l'IA et les ressources humaines

Le domaine RH est l'un des plus scrutés par la CNIL. Les systèmes IA de recrutement, d'évaluation des performances, de gestion des absences ou de surveillance des salariés font l'objet d'une attention particulière :

  • Le scoring des candidats par IA est une décision automatisée au sens de l'article 22 RGPD — les candidats ont le droit de demander une intervention humaine et d'obtenir une explication
  • La surveillance des salariés en télétravail (keyloggers, screenshots, analyse de productivité IA) est soumise à consultation du CSE et à des conditions de proportionnalité strictes
  • Les outils de bien-être et d'engagement (questionnaires IA, analyse du sentiment) nécessitent une base légale et ne peuvent pas être imposés aux salariés

Priorités de contrôle CNIL 2026

La CNIL a annoncé ses thèmes de contrôle prioritaires pour 2026. L'IA figure en bonne place :

  • Systèmes d'IA de recrutement et gestion RH
  • Utilisation d'outils d'IA générative avec des données personnelles
  • Transferts de données vers les États-Unis dans le contexte de l'EU-US Data Privacy Framework
  • Conformité des applications mobiles (dont les apps IA)

Pour vous préparer : documenter votre registre des traitements IA, vérifier que vos DPA avec les fournisseurs IA sont à jour, et avoir réalisé les AIPD nécessaires avant d'être contrôlé.

IA conforme RGPD et recommandations CNIL

Intelligence Privée documente chaque déploiement avec les éléments AIPD, contrat DPA et registre des traitements — conformément aux recommandations CNIL.

Évaluer votre conformité →

Continuer la lecture

Conformité

RGPD et NIS 2 — Checklist DSI

Obligations RGPD, NIS2, DPIA. Checklist complète DSI et DPO.

6 min
Guide Pratique

Audit IA interne : checklist RSSI/DPO

Comment auditer vos systèmes IA selon EU AI Act, RGPD et NIS 2.

9 min
Conformité

IA et RH — Droits et obligations

Recrutement automatisé, évaluation salariés : RGPD et EU AI Act.

7 min