Sanctions AI Act : amendes et risques pour les entreprises en cas de non-conformité

35 millions d'euros d'amende ou 7 % du chiffre d'affaires mondial : c'est le plafond de sanction prévu par l'AI Act pour les infractions les plus graves. Ce montant dépasse celui du RGPD en proportion et place le Règlement (UE) 2024/1689 parmi les textes européens les plus dissuasifs. Pourtant, beaucoup d'entreprises sous-estiment encore l'ampleur du risque financier lié à la non-conformité de leurs systèmes IA. Avec l'échéance du 2 août 2026 qui approche, comprendre le régime de sanctions n'est plus optionnel.

Le régime de sanctions de l'AI Act : vue d'ensemble

Le Chapitre XII du règlement (Articles 99 à 101) organise un système de sanctions à trois niveaux, complété par des dispositions spécifiques pour les institutions européennes et les fournisseurs de modèles IA à usage général (GPAI). L'architecture est volontairement calquée sur celle du RGPD, mais avec des plafonds plus élevés pour les infractions les plus graves.

Trois principes structurent le dispositif :

• Proportionnalité — Les sanctions doivent être adaptées à la gravité de l'infraction et à la taille de l'entreprise.
• Effectivité — Les États membres doivent garantir que les sanctions sont réellement appliquées, pas simplement inscrites dans la loi.
• Dissuasion — Les montants sont calibrés pour qu'aucune entreprise, quelle que soit sa taille, ne puisse considérer l'amende comme un simple coût opérationnel.

Les 3 paliers d'amendes de l'Article 99

L'Article 99 du règlement établit une grille de sanctions graduée selon la nature de l'infraction. Dans chaque cas, c'est le montant le plus élevé entre le seuil fixe et le pourcentage du chiffre d'affaires qui s'applique — sauf pour les PME, qui bénéficient de la règle inverse.

Palier 1 — Pratiques interdites : jusqu'à 35 M€ ou 7 % du CA

Ce palier maximal sanctionne le non-respect des interdictions de l'Article 5, en vigueur depuis le 2 février 2025. Il concerne les pratiques IA jugées inacceptables par le législateur européen :

• Manipulation subliminale — Systèmes IA exploitant des techniques subliminales pour altérer le comportement d'une personne, lui causant un préjudice.
• Exploitation des vulnérabilités — IA ciblant des personnes en raison de leur âge, handicap ou situation sociale pour influencer leurs décisions.
• Scoring social — Évaluation ou classification de personnes sur la base de leur comportement social, aboutissant à un traitement défavorable disproportionné.
• Identification biométrique en temps réel — Usage dans des espaces publics à des fins répressives, sauf exceptions strictement encadrées.
• Reconnaissance des émotions — Sur le lieu de travail ou dans les établissements d'enseignement, sauf motifs médicaux ou de sécurité.
• Catégorisation biométrique — Inférence de données sensibles (origine ethnique, opinions politiques, orientation sexuelle) à partir de données biométriques.

Palier 2 — Obligations des opérateurs : jusqu'à 15 M€ ou 3 % du CA

Ce palier intermédiaire sanctionne le non-respect de la majorité des obligations du règlement, en dehors des pratiques interdites. Sont notamment concernés :

• Obligations des fournisseurs (Article 16) — Documentation technique, marquage CE, gestion des risques, gouvernance des données, système de management de la qualité.
• Obligations des déployeurs (Article 26) — Contrôle humain, surveillance, signalement des incidents, conservation des logs.
• Obligations des importateurs (Article 23) et des distributeurs (Article 24) — Vérification de la conformité et de la documentation avant mise à disposition.
• Obligations de transparence (Article 50) — Information des utilisateurs, marquage du contenu généré par IA, divulgation des deepfakes.
• Obligations des organismes notifiés (Articles 31, 33, 34) — Indépendance, compétence et procédures d'évaluation de la conformité.

Ce palier couvre le spectre le plus large d'infractions. C'est celui qui concerne la plupart des entreprises développant ou utilisant des systèmes IA à haut risque ou soumis à des obligations de transparence.

Palier 3 — Informations trompeuses : jusqu'à 7,5 M€ ou 1 % du CA

Ce palier « plancher » sanctionne un comportement spécifique : la fourniture d'informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes en réponse à une demande. Il vise à garantir la sincérité des échanges entre les entreprises et les autorités de contrôle.

Mentir ou omettre des informations lors d'un contrôle, d'une évaluation de conformité ou d'un signalement d'incident expose donc à une sanction spécifique, indépendamment de l'infraction sous-jacente.

Sanctions spécifiques : GPAI et institutions européennes

Fournisseurs de modèles GPAI (Article 101)

Les fournisseurs de modèles d'IA à usage général — comme les grands modèles de langage ou les modèles de génération d'images — relèvent d'un régime de sanctions dédié. La Commission européenne elle-même, via l'AI Office, est compétente pour infliger ces amendes, sans passer par les autorités nationales.

L'amende peut atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial. Elle est encourue en cas de :

• Violation des obligations GPAI — Non-respect des Articles 51 à 56 (documentation technique, politique de droits d'auteur, transparence, évaluation des risques systémiques).
• Refus de coopération — Non-réponse à une demande de documents ou d'informations de la Commission (Article 91).
• Non-conformité aux mesures demandées — Refus de se conformer à une injonction de la Commission (Article 93).
• Refus d'accès au modèle — Bloquer l'évaluation du modèle par la Commission (Article 92).

Institutions et organismes de l'UE (Article 100)

Les institutions européennes elles-mêmes ne sont pas exemptées. Le Contrôleur européen de la protection des données (CEPD) peut leur infliger des amendes allant jusqu'à 1,5 million d'euros pour les pratiques interdites et 750 000 euros pour les autres infractions. Un signal fort : même les organes de l'UE sont soumis aux règles qu'ils imposent.

Les 10 critères de modulation des amendes

L'Article 99, paragraphe 7, liste les critères que les autorités doivent prendre en compte pour fixer le montant de chaque amende. Aucune sanction n'est automatique : chaque cas est évalué individuellement.

1. Nature, gravité et durée de l'infraction — La finalité du système IA et le nombre de personnes affectées sont pris en compte.
2. Amendes déjà infligées par d'autres autorités — Pour éviter la double sanction pour la même infraction (principe ne bis in idem).
3. Amendes au titre d'autres législations — Si l'infraction résulte d'une même activité déjà sanctionnée sous d'autres textes (RGPD, par exemple).
4. Taille et chiffre d'affaires de l'entreprise — Les PME et start-ups bénéficient d'une appréciation adaptée.
5. Avantages financiers obtenus — Les gains ou pertes évitées grâce à l'infraction sont pris en compte.
6. Degré de coopération avec les autorités — Coopérer activement pour remédier à l'infraction est un facteur atténuant.
7. Mesures techniques et organisationnelles — L'effort de conformité déjà déployé est évalué.
8. Manière dont l'infraction a été portée à la connaissance des autorités — L'auto-signalement est valorisé.
9. Caractère délibéré ou négligent de l'infraction — Une violation intentionnelle sera sanctionnée plus lourdement.
10. Mesures correctives prises — Les actions pour atténuer le préjudice subi par les personnes affectées sont considérées.

En pratique, une entreprise qui démontre sa bonne foi — démarche de conformité engagée, coopération avec les autorités, mesures correctives rapides — peut obtenir une modulation significative de l'amende. À l'inverse, l'inaction délibérée ou l'obstruction constituent des circonstances aggravantes.

Le régime protecteur pour les PME et start-ups

L'Article 99, paragraphe 6, introduit une disposition protectrice pour les PME et les jeunes pousses. Là où les grandes entreprises se voient appliquer le montant le plus élevé entre le seuil fixe et le pourcentage du CA, la règle est inversée pour les PME : c'est le montant le plus faible qui est retenu.

Concrètement, pour une start-up réalisant 500 000 € de chiffre d'affaires annuel :

• Palier 1 (pratiques interdites) — Maximum : 7 % × 500 000 € = 35 000 € (au lieu de 35 M€).
• Palier 2 (obligations opérateurs) — Maximum : 3 % × 500 000 € = 15 000 € (au lieu de 15 M€).
• Palier 3 (informations trompeuses) — Maximum : 1 % × 500 000 € = 5 000 € (au lieu de 7,5 M€).

Cette disposition ne constitue pas une exonération : les PME restent pleinement soumises aux obligations du règlement. Mais elle garantit qu'une amende ne menace pas leur viabilité économique. Le paragraphe 1 de l'Article 99 précise d'ailleurs que les sanctions doivent tenir compte « des intérêts des PME, y compris des entreprises en phase de démarrage, et de leur viabilité économique ».

Au-delà des amendes : les autres risques

Les amendes administratives ne sont que la partie visible du régime de sanctions. L'AI Act prévoit également d'autres mesures d'exécution que les États membres peuvent mobiliser :

Mesures non monétaires

L'Article 99, paragraphe 1, mentionne explicitement que les sanctions peuvent inclure des avertissements et des mesures non monétaires. Les autorités nationales disposent d'une palette d'outils :

• Avertissements publics — Information du public sur la non-conformité d'un système IA, avec un impact réputationnel considérable.
• Injonctions de retrait — Obligation de retirer du marché un système IA non conforme ou d'en interdire la mise en service.
• Suspension d'activité — Interdiction temporaire d'opérer un système IA jusqu'à sa mise en conformité.
• Mesures correctives obligatoires — Obligation de corriger les non-conformités dans un délai fixé.

Risque réputationnel

Le registre public de l'UE pour les systèmes IA à haut risque (Article 71) rend les informations de conformité accessibles à tous. Une sanction publique dans ce contexte peut affecter la confiance des clients, partenaires et investisseurs. Pour les entreprises B2B fournissant des solutions IA, une non-conformité avérée peut signifier la perte de contrats significatifs.

Cumul avec d'autres réglementations

L'AI Act ne fonctionne pas en vase clos. Un même manquement peut déclencher des sanctions au titre de plusieurs textes : RGPD (pour le traitement des données personnelles), réglementation sectorielle (dispositifs médicaux, sécurité des produits) ou droit de la consommation. L'Article 99 tient compte de ce cumul dans ses critères de modulation, mais le risque total reste significatif.

Qui contrôle et qui sanctionne ?

La gouvernance de l'AI Act repose sur trois niveaux de contrôle :

Les autorités nationales de surveillance du marché

Chaque État membre doit désigner au moins une autorité nationale compétente chargée de superviser l'application du règlement. En France, la désignation est attendue prochainement. Ces autorités disposent du pouvoir d'enquête, de contrôle et de sanction pour les systèmes IA opérant sur leur territoire.

L'AI Office (Bureau européen de l'IA)

Rattaché à la Commission européenne, l'AI Office supervise l'application du règlement au niveau européen. Il est directement compétent pour sanctionner les fournisseurs de modèles GPAI (Article 101), sans passer par les autorités nationales. Il coordonne également les actions entre États membres.

Le Contrôleur européen de la protection des données

Le CEPD est compétent pour sanctionner les institutions, organes et organismes de l'Union européenne qui ne respectent pas le règlement (Article 100).

Les États membres doivent rendre compte chaque année à la Commission des amendes infligées et des procédures engagées. Cette transparence vise à garantir une application homogène du règlement dans toute l'Union.

Comment réduire son exposition aux sanctions

La meilleure protection contre les sanctions reste la conformité anticipée. Voici les actions prioritaires :

1. Classifier vos systèmes IA — Identifiez le niveau de risque de chaque système. Le diagnostic gratuit AiActo permet de réaliser cette classification en quelques minutes et de déterminer vos obligations exactes.
2. Documenter votre conformité — La documentation technique est votre meilleure défense. En cas de contrôle, elle démontre votre démarche de bonne foi et réduit le risque de sanction maximale.
3. Mettre en place un système de gestion des risques — Un processus continu et documenté conforme à l'Article 9 constitue un facteur atténuant explicitement reconnu par le règlement.
4. Former vos équipes — L'obligation de maîtrise de l'IA (Article 4) est en vigueur depuis février 2025. Son non-respect peut être considéré comme un manque de diligence.
5. Préparer la gestion des incidents — Un processus de signalement rapide et de mesures correctives démontre votre coopération avec les autorités.

La conformité à l'AI Act représente un investissement, mais il est sans commune mesure avec le risque financier d'une sanction. Des plateformes comme AiActo accompagnent les entreprises dans la structuration de leur documentation technique et la préparation de leur conformité, étape par étape.

Questions fréquentes

Quelles sont les amendes maximales prévues par l'AI Act ?

L'AI Act prévoit trois paliers d'amendes : 35 millions d'euros ou 7 % du CA mondial pour les pratiques interdites (Article 5), 15 millions d'euros ou 3 % pour le non-respect des obligations des opérateurs, et 7,5 millions d'euros ou 1 % pour la fourniture d'informations trompeuses aux autorités. C'est toujours le montant le plus élevé qui s'applique, sauf pour les PME.

Les PME et start-ups sont-elles soumises aux mêmes amendes ?

Non. L'Article 99, paragraphe 6, prévoit un régime protecteur pour les PME et start-ups : c'est le montant le plus faible entre le seuil fixe et le pourcentage du CA qui est retenu. Une start-up à 500 000 € de CA risque donc au maximum 35 000 € (7 % de son CA) pour une pratique interdite, au lieu de 35 millions d'euros.

Qui est responsable en cas de sanction : le fournisseur ou le déployeur ?

Les deux peuvent être sanctionnés, mais pour des manquements distincts. Le fournisseur répond de la conception conforme du système (documentation, marquage CE, gestion des risques). Le déployeur répond de son utilisation conforme (contrôle humain, surveillance, signalement des incidents). Un même système IA non conforme peut donc entraîner des sanctions pour plusieurs acteurs de la chaîne de valeur.

Les sanctions AI Act peuvent-elles se cumuler avec celles du RGPD ?

Oui, le cumul est possible. Un même manquement impliquant des données personnelles peut entraîner des sanctions au titre de l'AI Act et du RGPD. L'Article 99 prévoit toutefois que les autorités tiennent compte des amendes déjà infligées pour la même activité, afin d'éviter une double sanction disproportionnée.

Quand les sanctions de l'AI Act commencent-elles à s'appliquer ?

Les sanctions pour les pratiques interdites (Article 5) s'appliquent depuis le 2 février 2025. Celles relatives aux modèles GPAI depuis le 2 août 2025. Les sanctions pour les systèmes à haut risque et les obligations de transparence entreront en vigueur le 2 août 2026. Les États membres devront alors avoir transposé leur régime de sanctions national.

Comment les autorités déterminent-elles le montant d'une amende ?

L'Article 99, paragraphe 7, liste dix critères de modulation : gravité et durée de l'infraction, nombre de personnes affectées, taille de l'entreprise, avantages financiers obtenus, degré de coopération, mesures correctives prises, caractère délibéré ou négligent, et auto-signalement. Une entreprise qui démontre sa bonne foi et coopère avec les autorités peut obtenir une réduction significative.

Le régime de sanctions de l'AI Act est conçu pour être dissuasif, mais aussi proportionné. Les entreprises qui anticipent leur conformité réduisent considérablement leur exposition — tant financière que réputationnelle. La première étape reste toujours l'identification de vos systèmes IA et la classification de vos obligations. Mieux vaut investir dans la conformité aujourd'hui que dans la gestion de crise demain.