L'essentiel — combien risque ma PME ?
- Pratiques interdites (Article 5) : jusqu'à 35 M€ ou 7% du CA mondial, le plus élevé.
- Obligations système haut-risque : jusqu'à 15 M€ ou 3% du CA mondial.
- Informations trompeuses : jusqu'à 7,5 M€ ou 1,5% du CA mondial.
- Transparence Article 50 : jusqu'à 7,5 M€ ou 1% du CA mondial.
- Protection PME — Article 99(6) : on applique le montant le plus bas entre le plafond fixe et le pourcentage du CA. Une PME de 5 M€ de CA risque concrètement jusqu'à 350 000 € pour pratiques interdites.
1. Ce que dit exactement l'Article 99 du Règlement (UE) 2024/1689
L'Article 99 du Règlement (UE) 2024/1689 organise les sanctions administratives applicables aux opérateurs économiques (fournisseurs, déployeurs, importateurs, distributeurs) en cas de manquement aux obligations de l'AI Act. Il fixe quatre niveaux de plafonds, modulés par la gravité de la violation et la taille de l'entreprise.
Les sanctions sont prononcées par les autorités de surveillance nationales désignées par chaque État membre. En France, plusieurs autorités sont compétentes selon le secteur (cf. section 4 ci-dessous).
2. Les quatre niveaux de sanctions
2.1 Pratiques interdites — Article 99(3)
Le non-respect des huit pratiques d'IA interdites listées à l'Article 5 (manipulation subliminale, exploitation de vulnérabilités, scoring social par autorités publiques, identification biométrique en temps réel, reconnaissance d'émotions au travail ou à l'école, catégorisation biométrique sur données sensibles, prédiction d'infractions, gratification de visages à partir d'internet) entraîne le plafond le plus sévère :
- Plafond fixe : 35 millions d'euros
- Plafond proportionnel : 7% du chiffre d'affaires annuel mondial total de l'exercice précédent
- Choix : pour les grandes entreprises, le montant le plus élevé entre les deux est appliqué.
2.2 Obligations sur systèmes haut-risque — Article 99(4)
Toute violation des obligations applicables aux fournisseurs et déployeurs de systèmes haut-risque (Articles 16, 26, 27, et autres dispositions matérielles) entraîne :
- Plafond fixe : 15 millions d'euros
- Plafond proportionnel : 3% du chiffre d'affaires annuel mondial total
Sont concernées notamment : l'absence de système de gestion des risques (Art. 9), l'absence de documentation technique Annexe IV (Art. 11), l'absence de logs (Art. 12), l'absence de transparence (Art. 13), l'absence de supervision humaine (Art. 14), l'absence de FRIA pour les déployeurs publics (Art. 27), l'absence d'enregistrement dans la base UE (Art. 49), l'absence de plan de monitoring post-marché (Art. 72), l'absence de notification d'incident grave (Art. 73).
2.3 Informations trompeuses — Article 99(5)
Tout manquement à l'obligation de fournir des informations correctes, complètes et non trompeuses aux autorités, organismes notifiés et clients :
- Plafond fixe : 7,5 millions d'euros
- Plafond proportionnel : 1,5% du chiffre d'affaires annuel mondial
2.4 Transparence Article 50 — Article 99(4)
Les manquements aux obligations de transparence (informer l'utilisateur qu'il interagit avec un système IA, étiqueter les contenus générés par IA, signaler les deepfakes) sont sanctionnés à un niveau intermédiaire :
- Plafond fixe : 7,5 millions d'euros
- Plafond proportionnel : 1% du chiffre d'affaires annuel mondial
3. La protection PME — Article 99(6)
L'Article 99(6) du Règlement (UE) 2024/1689 institue une protection spécifique pour les PME et start-up. Il dispose explicitement que pour ces entreprises, on applique le montant le plus bas entre le plafond fixe et le pourcentage du chiffre d'affaires.
Concrètement, cela signifie qu'une PME ne sera jamais sanctionnée à hauteur du plafond fixe (35 M€, 15 M€, 7,5 M€) si son chiffre d'affaires multiplié par le pourcentage applicable donne un montant inférieur. Cette disposition vise à éviter de mettre en faillite des petites structures sur la base d'une seule violation.
4. Exemples chiffrés selon votre taille d'entreprise
Le tableau ci-dessous applique l'Article 99(6) à plusieurs profils d'entreprise types. Chiffres en euros, plafond appliqué = le minimum entre fixe et proportionnel.
| Profil entreprise | Pratiques interdites (7%) | Haut-risque (3%) | Info trompeuse (1,5%) | Transparence (1%) |
|---|---|---|---|---|
| TPE — 800 K€ CA | 56 000 € | 24 000 € | 12 000 € | 8 000 € |
| PME — 2 M€ CA | 140 000 € | 60 000 € | 30 000 € | 20 000 € |
| PME — 5 M€ CA | 350 000 € | 150 000 € | 75 000 € | 50 000 € |
| PME — 10 M€ CA | 700 000 € | 300 000 € | 150 000 € | 100 000 € |
| PME — 25 M€ CA | 1 750 000 € | 750 000 € | 375 000 € | 250 000 € |
| ETI — 100 M€ CA | 7 000 000 € | 3 000 000 € | 1 500 000 € | 1 000 000 € |
| Grande entreprise — 1 Md€ CA | 35 M€ (plafond fixe atteint) | 15 M€ (plafond fixe atteint) | 7,5 M€ (plafond fixe atteint) | 7,5 M€ (plafond fixe atteint) |
Note : les autorités modulent ces plafonds en fonction de la nature, de la gravité et de la durée de la violation, du caractère intentionnel ou négligent, des mesures prises pour atténuer le préjudice, du degré de coopération avec l'autorité, et de l'historique de conformité (Article 99(7)). Les sanctions effectives sont généralement très inférieures aux plafonds.
5. Quelle autorité de surveillance en France ?
La France n'a pas désigné une autorité unique de contrôle de l'AI Act. La compétence est répartie selon le secteur d'activité du déployeur ou du fournisseur :
| Autorité | Périmètre | Référence |
|---|---|---|
| CNIL | Tout volet de traitement de données personnelles. Coordonnatrice générale du dispositif AI Act en France. | Loi 78-17 + Art. 70 AI Act |
| ACPR (Autorité de contrôle prudentiel et de résolution) | Établissements bancaires et assurance — scoring crédit, détection de fraude, décisions de souscription | Code monétaire et financier |
| ANSM (Agence nationale de sécurité du médicament) | Dispositifs médicaux et IA santé en intersection avec MDR/IVDR | Code de la santé publique |
| HAS (Haute Autorité de Santé) | IA d'aide à la décision clinique, parcours de soins | Code de la santé publique |
| ARCEP | Télécoms et Internet | Code des postes et communications |
| ARCOM | Audiovisuel, plateformes en ligne, deepfakes diffusés | Loi du 30 septembre 1986 |
| DGCCRF | Pratiques commerciales déloyales, protection consommateur | Code de la consommation |
6. Calcul des sanctions effectives — facteurs d'atténuation et d'aggravation
L'Article 99(7) du Règlement liste les facteurs que les autorités prennent en compte pour fixer le montant effectif d'une sanction (qui sera presque toujours inférieur au plafond) :
Facteurs d'atténuation
- Caractère non intentionnel ou négligent de la violation
- Mesures prises immédiatement pour atténuer le préjudice subi par les personnes affectées
- Degré élevé de coopération avec l'autorité de surveillance
- Absence de violation antérieure (premier manquement)
- Adhésion à un Code de bonne pratique européen approuvé
- Notification volontaire de la violation à l'autorité
- Démarches de conformité documentées (politique IA, registre AIMS, AISIA, charte usage)
Facteurs d'aggravation
- Caractère intentionnel ou répété de la violation
- Préjudice grave aux droits fondamentaux ou à la santé des personnes
- Volume important de personnes affectées
- Refus de coopérer avec l'autorité
- Profit financier réalisé à la suite de la violation
- Antécédents de sanctions AI Act ou RGPD
7. Comment réduire concrètement le risque de sanction ?
L'expérience RGPD montre que les autorités tiennent fortement compte de la démarche de conformité documentée. Une PME qui peut produire en cas de contrôle sa politique IA signée, son registre AIMS à jour, ses AISIA pour les systèmes haut-risque, sa procédure de gouvernance et sa procédure d'incidents bénéficie d'un facteur d'atténuation décisif.
Les six leviers majeurs pour minimiser le risque de sanction :
- Inventaire exhaustif — tenir un registre AIMS listant tous les systèmes IA en exploitation, leur niveau de risque, leur statut FRIA, leur cycle de vie. Ce document est le premier consulté par tout auditeur.
- Politique IA approuvée par la direction — document fondateur engageant l'entreprise au respect du cadre AI Act, ISO 42001, RGPD-IA. Doit être signée par la direction.
- Charte d'usage IA diffusée et signée — règles pour les collaborateurs, prouvant que l'entreprise prend l'AI Act au sérieux et l'a opérationnalisé.
- AISIA pour chaque système haut-risque — évaluation d'impact documentée. Sans AISIA, l'entreprise ne peut pas démontrer qu'elle a évalué les risques avant déploiement.
- FRIA pour les déployeurs de service public — obligation légale opposable. L'absence de FRIA est en soi sanctionnable au titre de l'Article 99(4).
- Procédure de gestion des incidents — pour pouvoir notifier rapidement les incidents graves (Article 73, 15 jours) et les violations de données personnelles (RGPD Article 33, 72 heures).
Prêt à documenter votre conformité avant le 2 décembre 2027 ?
regulia génère pour vous, en moins d'une heure, un pack documentaire complet : politique IA, registre AIMS, AISIA, FRIA, charte d'usage, procédures et plus. Personnalisé pour votre PME, livré en DOCX + PDF + XLSX. Garantie satisfait ou remboursé 30 jours.
Démarrer mon pack — dès 299 €8. FAQ — sanctions AI Act PME
Quelles sont les sanctions maximales prévues par l'AI Act ?
L'Article 99 prévoit quatre niveaux : 35 M€ ou 7% du CA mondial pour les pratiques interdites, 15 M€ ou 3% pour les obligations haut-risque, 7,5 M€ ou 1,5% pour les informations trompeuses, 7,5 M€ ou 1% pour les obligations de transparence Article 50.
Existe-t-il une protection spécifique pour les PME ?
Oui. L'Article 99(6) prévoit que pour les PME et start-up, on applique le montant le plus bas entre le plafond fixe et le pourcentage du CA. Cette disposition protège les petites structures.
Quelle autorité sanctionne en France ?
La CNIL pour les volets données personnelles, l'ACPR pour banque/assurance, l'ANSM pour santé, l'ARCEP pour télécoms, l'ARCOM pour audiovisuel, la DGCCRF pour pratiques commerciales.
Combien risque une PME de 5 M€ de CA ?
Selon l'Article 99(6), une PME de 5 M€ de CA risque jusqu'à 350 000 € pour pratiques interdites (7% du CA), jusqu'à 150 000 € pour défaut sur système haut-risque (3% du CA), jusqu'à 75 000 € pour informations trompeuses (1,5% du CA), jusqu'à 50 000 € pour défaut de transparence Article 50 (1% du CA).
Les premières sanctions AI Act ont-elles été prononcées ?
Au 9 mai 2026, aucune sanction publique n'a été notifiée. La CNIL a indiqué une phase de pédagogie jusqu'à fin 2026. Les premières sanctions sont attendues T1-T2 2027, en cohérence avec sa pratique RGPD lors de l'entrée en application 2018.