Dans la plupart des entreprises, l'IA est déjà entrée dans le quotidien : rédaction, support client, analyse de documents. La politique interne censée l'encadrer, elle, tient souvent sur un post-it. Les recommandations CNIL IA entreprise se construisent depuis 2023, et le 3 juillet 2026, une enquête chiffre ce décalage.

Selon l'enquête CNIL/AFPA/AFCDP publiée le 3 juillet 2026, 70 % des organisations utilisent ou prévoient d'utiliser l'IA, mais moins d'un quart disposent d'une politique ou d'une stratégie IA formelle (CNIL, 3 juillet 2026). La CNIL, elle, reste constante : elle précise ses attentes fiche après fiche depuis trois ans, dans la droite ligne du RGPD. Le risque n'est pas de découvrir une nouveauté réglementaire. C'est de ne pas avoir suivi le mouvement.

Ce que révèle l'enquête CNIL du 3 juillet 2026 sur les DPO et l'IA

L'enquête CNIL/AFPA/AFCDP interroge les délégués à la protection des données sur leur rapport à l'IA. Les résultats, publiés le 3 juillet 2026, dessinent un décalage net entre l'adoption de l'IA et sa gouvernance.

Parmi les organisations qui utilisent ou prévoient d'utiliser l'IA, 81 % recourent à de l'IA générative. Seuls 31 % ont commencé à se préparer à l'entrée en application du règlement européen sur l'IA, l'AI Act (CNIL, 3 juillet 2026). Le DPO n'est pas en reste sur le terrain : 55 % déclarent avoir déjà l'AI Act dans leur périmètre de responsabilité, et 71 % souhaitent un élargissement formel de leurs missions à ce texte. Mais seuls 27 % estiment bien le connaître, et 85 % n'ont suivi aucune formation spécifique sur le sujet (CNIL, 3 juillet 2026).

Cette appropriation reste un fait, pas une obligation légale. L'AI Act ne mentionne pas le DPO. Rien n'impose que la conformité IA lui revienne : dans la pratique, c'est souvent lui qui s'en empare, faute d'un autre pilote désigné.

Les recommandations CNIL IA entreprise, un chantier construit depuis 2023

Les recommandations CNIL IA entreprise ne sortent pas d'un seul texte. La CNIL a construit, fiche après fiche, un corpus de treize fiches pratiques articulant RGPD et développement de systèmes d'IA. Elle a finalisé ce corpus le 22 juillet 2025, avec trois dernières fiches consacrées à l'annotation des données, à la sécurité du développement et au statut d'un modèle au regard du RGPD (CNIL, 22 juillet 2025).

Le fondement ne change pas : le RGPD s'applique à tout traitement de données personnelles, y compris quand ce traitement sert à entraîner ou faire fonctionner un modèle d'IA. Ce socle, et les six étapes pour l'appliquer à un projet d'IA, sont détaillés dans notre guide RGPD × IA, de la base légale au contrat. Le Comité européen de la protection des données l'a rappelé en décembre 2024, en soulignant que les modèles conservent des capacités de mémorisation sur les données d'entraînement (CNIL, 22 juillet 2025). La CNIL a aussi publié une liste de vérification pour le développement de systèmes d'IA conformes, en juillet 2025 (CNIL, liste de vérification).

Un décideur qui découvre ce corpus d'un coup a l'impression d'un rattrapage impossible. Ce n'est pas un événement ponctuel. C'est un chantier suivi au fil de l'eau, et il continue : de nouvelles recommandations sectorielles sont annoncées, sans calendrier stabilisé à ce stade.

RGPD et AI Act : deux textes, une seule vigilance dès le 2 août 2026

Le RGPD encadre tout traitement de données personnelles. L'AI Act encadre les systèmes et les modèles d'IA, avec ou sans données personnelles. Les deux textes se recoupent sans se confondre, et une entreprise qui utilise l'IA doit composer avec les deux.

Le règlement européen sur l'IA est entré en vigueur le 1er août 2024, et son application générale court à compter du 2 août 2026 (CNIL, entrée en vigueur de l'AI Act). Le calendrier des systèmes à haut risque de l'annexe III (biométrie, emploi, éducation, application de la loi, migration) a en revanche été aménagé par le paquet Omnibus numérique, définitivement adopté par le Conseil de l'UE le 29 juin 2026 : ces obligations s'appliqueront au 2 décembre 2027, et au 2 août 2028 pour les systèmes intégrés à des produits (Conseil de l'UE, 29 juin 2026). Pour les échéances précises et les vérifications à mener côté entreprise, voir le calendrier détaillé de l'AI Act. La CNIL est déjà compétente pour les pratiques d'IA interdites, comme la notation sociale ou la surveillance biométrique de masse en temps réel. Elle devient aussi, progressivement, autorité de surveillance du marché pour une partie des systèmes à haut risque. Cette compétence se met en place par étapes : elle n'est pas encore pleinement stabilisée pour tous les secteurs à la date de publication de cet article.

Les deux textes ne se sanctionnent pas de la même manière. Les manquements les plus graves à l'AI Act peuvent coûter jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel, contre 20 millions d'euros ou 4 % pour le RGPD (CNIL, entrée en vigueur de l'AI Act). De quoi justifier qu'on suive les deux textes avec la même attention, pas seulement celui qu'on connaît déjà.

Par où commencer : les points de vigilance CNIL pour une entreprise

Face à ce corpus, la CNIL propose une liste de vérification plutôt qu'un empilement de règles. Trois chantiers reviennent systématiquement dans ses fiches pratiques CNIL IA.

Le premier est la cartographie des traitements : savoir quels outils d'IA sont utilisés, sur quelles données, et pour quelle finalité. C'est la matière du registre des traitements, un sujet à part entière : les mentions à ajouter au registre des traitements pour l'IA sont détaillées dans un article dédié.

Le deuxième est l'analyse d'impact, obligatoire pour les traitements les plus sensibles. Un article dédié détaille quand l'AIPD devient obligatoire pour un projet d'IA.

Le troisième est la gouvernance : qui, dans l'entreprise, porte la conformité IA au quotidien. Le DPO, quand l'entreprise en a un, en est souvent le point d'entrée naturel, sans que la loi ne le lui impose. Cette question est traitée dans un article sur l'obligation de DPO face à l'IA. Structurer cette gouvernance en profondeur, sur la durée, est précisément l'objet de l'accompagnement Trajectoire : rendre un dirigeant ou un DPO autonome sur ses propres processus, pas dépendant d'un prestataire à chaque question.

En attendant, suivre ces recommandations dans la durée, sans y consacrer vos soirées, est un problème de méthode autant que de droit. C'est le type de veille réglementaire qu'un outil comme Claude peut structurer, en surveillant les mises à jour de fiches CNIL et le calendrier de l'AI Act (suivre l'évolution réglementaire sans y passer vos soirées). Pour aller plus loin sur les obligations concrètes de mise en conformité, la checklist RGPD pour déployer l'IA détaille les points à vérifier avant de choisir un outil : sous-traitance, transferts de données, registre. Et si le choix de l'outil lui-même pose question, les certifications RGPD de Claude documentent ce qu'un éditeur peut prouver, et ce qu'il ne peut pas.

Questions fréquentes

Quelles sont les recommandations de la CNIL sur l'IA ?

La CNIL a publié treize fiches pratiques articulant RGPD et développement de systèmes d'IA, finalisées le 22 juillet 2025. Elles couvrent la base légale, la finalité, la sécurité du développement, l'annotation des données et le statut juridique d'un modèle au regard du RGPD.

Une entreprise doit-elle se conformer à la fois au RGPD et à l'AI Act ?

Oui. Le RGPD encadre les données personnelles, l'AI Act encadre les systèmes d'IA. Une entreprise qui traite des données personnelles avec un outil d'IA relève des deux textes en même temps, sans que l'un remplace l'autre.

Quand l'AI Act entre-t-il pleinement en application ?

Le règlement est entré en vigueur le 1er août 2024 et son application générale démarre le 2 août 2026. Les obligations sur les systèmes à haut risque de l'annexe III ont été reportées au 2 décembre 2027 par le paquet Omnibus numérique, adopté le 29 juin 2026.

Que risque une entreprise qui ne respecte pas les recommandations CNIL sur l'IA ?

Les sanctions relèvent des deux textes selon le manquement constaté : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour le RGPD, jusqu'à 35 millions d'euros ou 7 % pour les manquements les plus graves à l'AI Act.

La CNIL ne changera pas de méthode : elle continuera à préciser ses attentes fiche après fiche, pas par grand soir réglementaire. La question n'est pas de tout savoir aujourd'hui. C'est de reprendre le fil avant le prochain contrôle. L'accompagnement Trajectoire est conçu pour cette remise à niveau progressive : réservez un premier échange pour en poser le point de départ.