L'EU AI Act ne se contente pas de poser des obligations : il les assortit d'un régime de sanctions dissuasif, calibré pour faire mal même aux plus grandes entreprises technologiques. Avec des amendes pouvant atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial, le règlement va plus loin que le RGPD pour les infractions les plus graves.
L'article 99 du Règlement (UE) 2024/1689 détaille trois paliers de sanctions, chacun proportionné à la gravité de l'infraction. Voyons ce que vous risquez concrètement.
Les trois paliers de sanctions
Le régime de sanctions s'articule autour de trois niveaux, chacun avec un plafond d'amende spécifique. Le montant effectif est déterminé par l'autorité nationale compétente, en tenant compte de la nature, la gravité et la durée de l'infraction, ainsi que de la taille et de la situation économique de l'opérateur.
| Palier | Type d'infraction | Amende maximale | Articles concernés |
|---|---|---|---|
| Palier 1 (le plus grave) | Utilisation de systèmes d'IA interdits (pratiques prohibées) | 35 millions EUR ou 7% du CA annuel mondial (le montant le plus élevé) | Art. 5 (interdictions) |
| Palier 2 | Non-respect des obligations relatives aux systèmes à haut risque, GPAI, organismes notifiés | 15 millions EUR ou 3% du CA annuel mondial | Chapitres III, V, obligations des fournisseurs et déployeurs |
| Palier 3 | Fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités | 7,5 millions EUR ou 1% du CA annuel mondial | Toute obligation d'information/coopération |
Pour les entreprises, c'est toujours le montant le plus élevé entre le pourcentage du CA et le montant fixe qui s'applique. Autrement dit, une entreprise avec un CA mondial de 1 milliard d'euros risque jusqu'à 70 millions d'euros (7%) pour une pratique interdite.
Régime spécifique pour les PME et start-ups
L'article 99, paragraphe 5, prévoit une inversion de la règle pour les PME : c'est le montant le plus bas entre le pourcentage et le montant fixe qui s'applique. C'est un allègement significatif.
| Profil entreprise | CA mondial annuel | Amende max Palier 1 | Amende max Palier 2 | Amende max Palier 3 |
|---|---|---|---|---|
| Start-up (CA 500K EUR) | 500 000 EUR | 35 000 EUR (7%) | 15 000 EUR (3%) | 5 000 EUR (1%) |
| Petite PME (CA 2M EUR) | 2 000 000 EUR | 140 000 EUR (7%) | 60 000 EUR (3%) | 20 000 EUR (1%) |
| PME moyenne (CA 20M EUR) | 20 000 000 EUR | 1 400 000 EUR (7%) | 600 000 EUR (3%) | 200 000 EUR (1%) |
| ETI (CA 200M EUR) | 200 000 000 EUR | 14 000 000 EUR (7%) | 6 000 000 EUR (3%) | 2 000 000 EUR (1%) |
| Grande entreprise (CA 5Md EUR) | 5 000 000 000 EUR | 350 000 000 EUR (7%) | 150 000 000 EUR (3%) | 50 000 000 EUR (1%) |
Attention : même pour une start-up avec 500 000 euros de CA, une amende de 35 000 euros reste potentiellement fatale. La proportionnalité protège, mais ne met pas à l'abri.
Comparaison avec le RGPD
Le parallèle avec le RGPD est inévitable, et instructif. L'AI Act va systématiquement plus loin sur les montants maximaux.
| Critère | RGPD | AI Act |
|---|---|---|
| Amende maximale (pourcentage) | 4% du CA mondial | 7% du CA mondial |
| Amende maximale (montant fixe) | 20 millions EUR | 35 millions EUR |
| Paliers de sanction | 2 | 3 |
| Allègement PME explicite | Non (mais pris en compte dans l'appréciation) | Oui (art. 99§5 — montant le plus bas) |
| Autorité de sanction | Autorité de protection des données | Autorité de surveillance du marché (à désigner) |
| Recours | Juridictionnel | Juridictionnel (art. 100) |
| Application extraterritoriale | Oui | Oui (art. 2) |
La leçon du RGPD est claire : les amendes record ont mis des années à tomber (Meta 1,2 Md EUR en mai 2023, Amazon 746 M EUR en juillet 2021), mais elles tombent. Les autorités montent progressivement en puissance. Avec l'AI Act, ce processus pourrait être plus rapide, les autorités ayant l'expérience du RGPD.
Critères de détermination du montant
L'article 99, paragraphe 7, liste les facteurs que l'autorité prend en compte pour fixer le montant :
- Nature, gravité et durée de l'infraction et de ses conséquences, nombre de personnes affectées
- Caractère intentionnel ou négligent de l'infraction
- Mesures correctives prises pour atténuer le préjudice
- Degré de responsabilité compte tenu des mesures techniques et organisationnelles mises en oeuvre
- Infractions antérieures de l'opérateur
- Degré de coopération avec l'autorité pour remédier à l'infraction
- Manière dont l'autorité a eu connaissance de l'infraction (auto-déclaration vs plainte vs contrôle)
- Taille et chiffre d'affaires de l'opérateur
- Normes et codes de conduite respectés
- Tout autre facteur aggravant ou atténuant
L'auto-déclaration et la coopération proactive jouent clairement en faveur de l'opérateur. Comme pour le RGPD, les entreprises qui détectent et signalent elles-mêmes les problèmes bénéficient généralement d'une approche plus clémente.
Exemples concrets d'infractions et sanctions possibles
Pour rendre les choses tangibles, voici des scénarios réalistes :
| Scénario | Infraction | Palier | Amende estimée (PME 10M CA) |
|---|---|---|---|
| Utiliser un outil de scoring social des employés | Pratique interdite (art. 5) | 1 | Jusqu'à 700 000 EUR (7%) |
| Déployer un système de recrutement IA sans documentation technique | Non-conformité haut risque (art. 11) | 2 | Jusqu'à 300 000 EUR (3%) |
| Chatbot sans mention IA | Non-respect transparence (art. 50) | 2 | Jusqu'à 300 000 EUR (3%) |
| Ne pas conserver les logs d'un système à haut risque | Non-respect obligation déployeur (art. 26§6) | 2 | Jusqu'à 300 000 EUR (3%) |
| Fournir des informations fausses à l'autorité lors d'un contrôle | Information trompeuse (art. 99§4) | 3 | Jusqu'à 100 000 EUR (1%) |
Au-delà des amendes : autres conséquences
Les sanctions financières ne sont pas les seules conséquences d'une non-conformité. Le règlement prévoit d'autres mesures que les autorités peuvent prendre :
- Retrait du marché (art. 79) : l'autorité peut ordonner le retrait du système d'IA non conforme du marché de l'Union
- Rappel : obligation de rappeler les systèmes déjà déployés
- Interdiction ou restriction de mise sur le marché (art. 79§6)
- Atteinte à la réputation : les décisions de sanction sont généralement publiques
- Actions en justice des personnes affectées : l'article 85 prévoit un droit à réparation pour toute personne ayant subi un préjudice du fait d'un système d'IA non conforme
- Perte de marchés : les appels d'offres publics et privés exigeront de plus en plus la conformité AI Act
Pour éviter tout cela, la meilleure stratégie reste l'anticipation. Consultez notre guide de conformité PME en 10 étapes et commencez dès maintenant. Pour comprendre précisément vos obligations, voir notre analyse des obligations par niveau de risque. Et pour caler votre calendrier, consultez notre timeline de l'AI Act.
Questions fréquentes
Partiellement. Les sanctions pour les pratiques interdites (art. 5 — Palier 1) sont applicables depuis le 2 février 2025. Les sanctions pour les obligations GPAI le sont depuis le 2 août 2025. Les sanctions pour l'ensemble des obligations relatives aux systèmes à haut risque (Annexe III) le seront à partir du 2 août 2026. L'application effective dépend aussi de la mise en place des autorités nationales compétentes dans chaque État membre.
Oui, c'est possible. L'article 2, paragraphe 7, du Règlement AI Act précise explicitement que son application est sans préjudice du RGPD. Un même système d'IA peut donc faire l'objet de sanctions au titre de l'AI Act (pour non-conformité technique, absence de documentation, etc.) ET au titre du RGPD (pour traitement illicite de données personnelles, violation des droits des personnes, etc.). Toutefois, le principe ne bis in idem devrait empêcher de sanctionner deux fois le même fait. En pratique, les autorités coordonneront probablement leurs actions.
Les deux peuvent être sanctionnés, chacun pour ses propres obligations. Le fournisseur est responsable de la conformité du système (documentation, évaluation, marquage CE). Le déployeur est responsable de l'utilisation conforme (respect des instructions, contrôle humain, conservation des logs). L'article 25 prévoit un cas particulier : le déployeur qui modifie substantiellement un système à haut risque ou qui le met sur le marché sous son propre nom devient fournisseur et assume les obligations correspondantes. La chaîne de responsabilité peut donc être complexe.