Sanctions AI Act : jusqu'à 35 millions d'euros d'amende

Un régime de sanctions sans précédent

Le Règlement européen sur l’intelligence artificielle (Règlement 2024/1689) instaure un système de sanctions parmi les plus sévères du droit numérique européen. Avec des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial, l’AI Act envoie un signal clair : la non-conformité en matière d’IA n’est pas un risque abstrait, c’est un risque financier majeur.

Article 99 — Règlement (UE) 2024/1689

Les États membres déterminent le régime des sanctions et autres mesures d’exécution, qui peuvent également comprendre des avertissements et des mesures non pécuniaires, applicables aux violations du présent règlement par les opérateurs, et prennent toutes les mesures nécessaires pour veiller à ce qu’elles soient appliquées correctement et effectivement […].

Les trois niveaux d’amendes

L’Article 99 du règlement définit trois paliers de sanctions, selon la gravité de l’infraction.

Niveau 1 — Pratiques interdites : 35 M€ ou 7 % du CA mondial

Le niveau de sanction le plus élevé s’applique aux violations de l’Article 5 (pratiques interdites) :

• Scoring social
• Manipulation subliminale ou techniques trompeuses
• Exploitation des vulnérabilités des personnes
• Reconnaissance biométrique en temps réel dans les espaces publics (hors exceptions)
• Reconnaissance des émotions au travail et dans l’éducation
• Constitution de bases de données faciales par scraping

L’amende peut atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu.

Pour une entreprise réalisant 500 millions d’euros de chiffre d’affaires, cela représente potentiellement 35 millions d’euros d’amende. Pour un groupe mondial à 10 milliards d’euros de CA, l’amende théorique grimpe à 700 millions d’euros.

Niveau 2 — Non-conformité des systèmes à haut risque : 15 M€ ou 3 % du CA mondial

Le deuxième palier sanctionne les violations des obligations liées aux systèmes d’IA à haut risque et aux modèles d’IA à usage général :

• Non-respect des exigences de gestion des risques (Article 9)
• Défaut de gouvernance des données (Article 10)
• Absence de documentation technique (Article 11)
• Manque de transparence envers les utilisateurs (Article 13)
• Insuffisance du contrôle humain (Article 14)
• Non-conformité des modèles d’IA à usage général (Articles 51 à 56)
• Non-respect de l’obligation de maîtrise de l’IA (Article 4)

Ce dernier point est crucial : le défaut de formation des collaborateurs à l’IA relève de ce palier. Une entreprise qui n’a pris aucune mesure pour garantir un niveau suffisant de maîtrise de l’IA pour son personnel s’expose à des amendes pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial.

Niveau 3 — Informations incorrectes : 7,5 M€ ou 1,5 % du CA mondial

Le troisième palier s’applique lorsqu’une entreprise fournit des informations inexactes, incomplètes ou trompeuses aux autorités compétentes ou aux organismes notifiés :

• Déclarations de conformité mensongères
• Documents techniques falsifiés ou incomplets
• Réponses inexactes aux demandes d’information des autorités
• Dissimulation d’incidents ou de dysfonctionnements

L’amende peut atteindre 7,5 millions d’euros ou 1,5 % du chiffre d’affaires annuel mondial.

Comparaison avec le RGPD : des amendes plus lourdes

Pour mesurer la sévérité du régime de l’AI Act, la comparaison avec le RGPD est éclairante :

Critère	RGPD	AI Act
Amende maximale (montant fixe)	20 M€	35 M€
Amende maximale (% du CA)	4 % du CA mondial	7 % du CA mondial
Nombre de paliers	2	3
En vigueur depuis	Mai 2018	Progressif (2025-2027)
Autorité de contrôle	Autorités de protection des données	Autorités nationales + Bureau européen de l’IA

Le législateur européen a délibérément fixé les sanctions de l’AI Act au-dessus de celles du RGPD. Le message est clair : les risques liés à l’IA mal maîtrisée sont considérés comme au moins aussi graves que ceux liés à la protection des données — et les entreprises seront sanctionnées en conséquence.

Pour rappel, les sanctions RGPD ne sont pas restées théoriques. En 2023, Meta a reçu une amende de 1,2 milliard d’euros de l’autorité irlandaise. Amazon avait écopé de 746 millions d’euros en 2021 au Luxembourg. Les autorités européennes ont prouvé qu’elles n’hésitent pas à appliquer les sanctions maximales aux grandes entreprises.

Les régimes spéciaux pour les PME

Le règlement prévoit un traitement adapté pour les petites entreprises. L’Article 99(6) précise que les amendes doivent être “effectives, proportionnées et dissuasives”. Pour les PME et les startups, les autorités doivent tenir compte de la viabilité économique de l’entreprise.

Concrètement :

• Les pourcentages du CA s’appliquent de la même façon, mais les montants fixes (35 M€, 15 M€, 7,5 M€) constituent un plafond absolu
• Les autorités doivent prendre en compte la taille de l’entreprise, la gravité de l’infraction, le caractère intentionnel ou non, et les mesures prises pour atténuer les dommages
• Les bacs à sable réglementaires (Article 57) offrent un cadre dans lequel les PME peuvent tester leurs systèmes d’IA en conditions réelles avec un accompagnement des autorités

Qui contrôle et qui sanctionne ?

Les autorités nationales compétentes

Chaque État membre doit désigner une ou plusieurs autorités nationales compétentes chargées de la surveillance du marché et de l’application du règlement. En France, cette responsabilité devrait être partagée entre plusieurs acteurs :

• La CNIL — déjà compétente pour la protection des données, elle a une expertise naturelle sur les systèmes d’IA traitant des données personnelles
• L’ARCEP ou une nouvelle autorité dédiée — pour les aspects liés aux modèles d’IA et aux infrastructures
• Les autorités sectorielles existantes (ACPR pour la finance, HAS pour la santé) — pour les systèmes d’IA à haut risque dans leurs domaines respectifs

Le Bureau européen de l’IA (AI Office)

Créé au sein de la Commission européenne, le Bureau européen de l’IA joue un rôle de coordination et dispose de compétences directes sur les modèles d’IA à usage général. Il peut :

• Évaluer la conformité des modèles d’IA à usage général
• Demander des mesures correctives aux fournisseurs
• Imposer des amendes pour les violations relatives aux modèles à usage général

📄AI Act Article 4 : l'obligation de formation IA expliquée→

L’importance de pouvoir prouver sa conformité

Au-delà des amendes, le mécanisme de l’AI Act repose sur un principe fondamental : la charge de la preuve appartient à l’entreprise. Ce n’est pas à l’autorité de démontrer que vous n’êtes pas conforme — c’est à vous de démontrer que vous l’êtes.

Ce que “prouver la conformité” signifie concrètement

1. Documentation technique : pour chaque système d’IA à haut risque, un dossier complet décrivant le système, ses finalités, ses performances, ses limitations, les données d’entraînement utilisées
2. Registres de conformité : historique des évaluations de conformité, des audits internes, des mises à jour
3. Logs d’utilisation : journaux automatisés traçant les décisions prises par les systèmes d’IA (conservation minimale de six mois)
4. Preuves de formation : attestations, résultats d’évaluation, taux de participation — démontrant que le personnel atteint le niveau de maîtrise requis par l’Article 4
5. Procédures de signalement : mécanismes documentés permettant aux utilisateurs de signaler des dysfonctionnements ou des résultats problématiques

Un score de maîtrise mesurable et traçable pour chaque collaborateur constitue un élément de preuve particulièrement solide pour l’Article 4. De même, un historique complet des formations suivies, avec dates, contenus et résultats, permet de prouver la conformité de façon objective.

Le facteur aggravant : l’absence de mesures

En cas de contrôle, la situation la plus défavorable n’est pas d’avoir un programme de conformité imparfait — c’est de n’en avoir aucun. Les autorités tiendront compte des efforts déployés par l’entreprise. Avoir initié une démarche structurée, même incomplète, est toujours préférable à l’inaction totale.

📄Audit IA en entreprise : guide pratique étape par étape→

Le calendrier des risques

Les sanctions s’appliquent progressivement, en cohérence avec l’entrée en vigueur des différentes obligations :

Date	Obligations en vigueur	Sanctions applicables
1er février 2025	Pratiques interdites (Article 5)	Jusqu’à 35 M€ / 7 %
2 août 2025	Maîtrise de l’IA (Article 4) + Modèles à usage général	Jusqu’à 15 M€ / 3 %
2 août 2026	Systèmes d’IA à haut risque	Jusqu’à 15 M€ / 3 %
2 août 2027	Systèmes à haut risque intégrés dans des produits réglementés	Jusqu’à 15 M€ / 3 %

Les deux premières échéances sont déjà passées. Les entreprises qui n’ont pas encore pris de mesures sur les pratiques interdites et la maîtrise de l’IA sont déjà dans la zone de risque.

Au-delà des amendes : les risques indirects

Les sanctions financières ne sont que la partie visible. La non-conformité à l’AI Act expose à d’autres risques tout aussi importants :

• Risque réputationnel : être identifié publiquement comme non conforme à la réglementation IA envoie un signal désastreux aux clients, partenaires et investisseurs
• Risque commercial : les entreprises conformes exigeront de leurs fournisseurs et partenaires qu’ils le soient aussi — un effet cascade comparable à celui du RGPD
• Risque opérationnel : les autorités peuvent ordonner le retrait du marché d’un système d’IA non conforme ou en interdire l’utilisation — paralysant potentiellement des processus métier critiques
• Risque contentieux : les personnes affectées par un système d’IA non conforme peuvent engager des actions en justice, avec les coûts juridiques et d’indemnisation associés