AI Act : sanctions attendues pour les PME françaises en 2026

📅 Publié le 09/06/2026 🔄 Mis à jour le 09/06/2026 ✍️ Par Mohamed Meguedmi, fondateur regulia ⏱️ 13 min de lecture

L'essentiel en 30 secondes - Les pratiques interdites exposent à une amende jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial (Article 99 du Règlement (UE) 2024/1689). - Les manquements aux obligations des systèmes à haut risque sont sanctionnés jusqu'à 15 millions d'euros ou 3 % du CA. - La CNIL peut cumuler des amendes RGPD jusqu'à 4 % du CA mondial lorsque le système traite des données personnelles. - Les obligations relatives aux systèmes à haut risque deviennent pleinement applicables le 2 août 2026 (Art. 113). - Les PME et start-up bénéficient d'un plafond proportionné : c'est le montant le plus bas qui s'applique, pas le plus élevé (Art. 99 §6). - Un service desk européen gratuit accompagne les PME : ai-act-service-desk.ec.europa.eu.

1. Contexte réglementaire : l'AI Act applicable en 2026

Le Règlement (UE) 2024/1689, dit AI Act, a été publié au Journal officiel de l'Union européenne le 12 juillet 2024. Il est entré en vigueur le 1er août 2024. Son application s'étale ensuite jusqu'en 2027 selon une logique de paliers.

L'année 2026 marque une bascule décisive pour les PME françaises. Au 2 août 2026, la majorité des dispositions du règlement deviennent contraignantes, dont les obligations encadrant les systèmes d'IA à haut risque listés à l'Annexe III (Art. 113).

Les pratiques interdites listées à l'Article 5 sont, elles, applicables depuis le 2 février 2025. Les obligations relatives aux modèles d'IA à usage général (GPAI) sont entrées en vigueur le 2 août 2025. Une PME qui exploite un chatbot reposant sur un modèle GPAI doit donc déjà respecter une partie du règlement, indépendamment de l'échéance 2026.

Le Bureau européen de l'IA (AI Office), créé au sein de la Commission, supervise la mise en œuvre du règlement. En France, l'autorité de surveillance du marché n'est pas encore désignée à la date de rédaction de cet article — une loi nationale de transposition est attendue d'ici l'été 2026 [à vérifier]. La CNIL et l'ANSSI sont positionnées comme co-régulateurs probables.

Pour une vision d'ensemble du calendrier, consultez notre guide pillar AI Act pour les PME françaises.

1.1 Calendrier d'application synthétique

Date Disposition entrant en vigueur Référence
1er août 2024 Entrée en vigueur du règlement Art. 113
2 février 2025 Pratiques interdites (Article 5) + obligation de littératie IA Art. 4 et 5
2 août 2025 Obligations modèles GPAI + gouvernance + sanctions partiellement applicables Art. 113 (b)
2 août 2026 Obligations systèmes haut risque (Annexe III) + transparence + bacs à sable Art. 113
2 août 2027 Systèmes haut risque de l'Annexe I (composants de sécurité de produits régulés) Art. 113 (c)

2. Sanctions prévues par l'AI Act : le barème de l'Article 99

L'Article 99 du Règlement (UE) 2024/1689 organise les sanctions administratives en trois niveaux. Le législateur européen a calqué la logique du RGPD : un plafond exprimé en valeur absolue ou en pourcentage du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu pour les opérateurs standard.

2.1 Les trois niveaux de sanctions

Type de manquement Plafond absolu Plafond proportionnel au CA mondial Article visé
Pratiques interdites (Art. 5) 35 M€ 7 % Art. 99 §3
Manquement aux obligations autres (haut risque, transparence, GPAI, etc.) 15 M€ 3 % Art. 99 §4
Informations inexactes, incomplètes ou trompeuses aux autorités 7,5 M€ 1 % Art. 99 §5

Pour chaque ligne, c'est le montant le plus élevé qui s'applique aux entreprises de taille moyenne ou grande.

2.2 Le régime spécifique aux PME et start-up

L'Article 99 §6 introduit une dérogation déterminante : pour les PME, y compris les start-up, chacun des plafonds ci-dessus s'applique avec le montant le plus bas, et non le plus élevé. Concrètement, une PME qui réalise 8 M€ de CA mondial et viole l'Article 5 ne risque pas 7 % de ce CA (560 000 €), mais le plafond de 35 M€ — qui n'a évidemment aucune portée pratique. Inversement, une PME au CA modeste sera plafonnée par le pourcentage.

Cette inversion protège les très petites structures, mais elle ne réduit en rien le risque pour une PME proche du seuil des 250 salariés ou affichant un CA conséquent.

2.3 Critères de modulation (Art. 99 §7)

Les autorités nationales doivent prendre en compte plusieurs facteurs pour fixer le montant exact :

  1. Nature, gravité et durée de la violation et de ses conséquences
  2. Sanctions déjà infligées par d'autres autorités pour les mêmes faits
  3. Taille, chiffre d'affaires annuel et part de marché de l'opérateur
  4. Toute aggravation ou atténuation, comme des bénéfices financiers tirés du manquement
  5. Degré de coopération avec les autorités nationales
  6. Mesures techniques et organisationnelles mises en œuvre
  7. Caractère intentionnel ou négligent du manquement
  8. Effort fourni pour atténuer le préjudice subi par les personnes affectées

Pour un panorama détaillé du barème complet et un calculateur d'exposition financière, consultez notre dossier sanctions AI Act et amendes PME.

3. Risques spécifiques pour les PME françaises

Trois facteurs structurels exposent particulièrement les PME au risque de sanction en 2026.

Premier facteur : la sous-évaluation du périmètre. Beaucoup de PME pensent ne pas utiliser d'« IA » alors qu'elles déploient déjà des outils SaaS embarquant des modèles algorithmiques — scoring de candidats, segmentation marketing, détection de fraude. Ces usages tombent dans le champ de l'Annexe III lorsqu'ils touchent au recrutement, à l'évaluation de la solvabilité ou à la gestion des travailleurs.

Deuxième facteur : le défaut de documentation. L'Article 11 impose une documentation technique exhaustive pour tout système à haut risque. À défaut, l'autorité de surveillance présume la non-conformité. La sanction relève alors du plafond de 15 M€ ou 3 % du CA.

Troisième facteur : le cumul avec le RGPD. La CNIL peut prononcer des sanctions distinctes au titre de l'Article 83 du Règlement (UE) 2016/679 — jusqu'à 4 % du CA mondial — lorsque le système d'IA traite des données personnelles sans base légale valide, sans information adéquate ou sans analyse d'impact (AIPD). Les deux sanctions peuvent se cumuler, le critère ne bis in idem ne jouant que sur des faits strictement identiques.

3.1 Exemples chiffrés d'exposition

Profil PME CA annuel Manquement type Sanction maximale AI Act Sanction CNIL cumulable
TPE service B2B 1,2 M€ Chatbot non transparent (Art. 50) 36 000 € (3 %) 48 000 € (4 %)
PME industrielle 15 M€ Outil RH sans documentation (Art. 11) 450 000 € (3 %) 600 000 € (4 %)
ETI tech 80 M€ Pratique interdite (Art. 5) 5,6 M€ (7 %) 3,2 M€ (4 %)

Les montants sont des plafonds théoriques. La sanction effective dépend des critères de modulation de l'Article 99 §7.

4. Obligations clés pour les PME en 2026

L'AI Act impose un socle d'obligations gradué selon le niveau de risque du système. Les PME doivent d'abord qualifier leurs systèmes, puis appliquer les exigences correspondantes.

4.1 Pyramide des risques

  1. Risque inacceptable (Art. 5) — pratiques interdites : notation sociale, exploitation de vulnérabilités, identification biométrique à distance en temps réel dans l'espace public.
  2. Haut risque (Annexe III) — recrutement, évaluation scolaire, accès aux services essentiels, application de la loi, contrôle aux frontières, justice.
  3. Risque limité (Art. 50) — chatbots, deepfakes, contenus générés : obligation de transparence et de marquage.
  4. Risque minimal — aucune obligation spécifique au titre de l'AI Act, mais bonnes pratiques recommandées.

4.2 Obligations applicables aux systèmes à haut risque

Pour les systèmes classés à haut risque, les PME doivent au minimum :

  • Établir un système de gestion des risques documenté (Art. 9).
  • Mettre en place une gouvernance des données d'entraînement, validation et test (Art. 10).
  • Tenir une documentation technique à jour (Art. 11 et Annexe IV).
  • Garantir la traçabilité des journaux (Art. 12).
  • Fournir des instructions d'utilisation claires aux déployeurs (Art. 13).
  • Permettre une supervision humaine effective (Art. 14).
  • Atteindre un niveau approprié d'exactitude, robustesse et cybersécurité (Art. 15).
  • Effectuer une évaluation de conformité avant mise sur le marché (Art. 43).
  • Apposer le marquage CE et enregistrer le système dans la base de données européenne (Art. 49 et 71).

Au-delà des systèmes à haut risque, l'Article 4 impose à tous les fournisseurs et déployeurs, depuis le 2 février 2025, de garantir un niveau suffisant de littératie en IA auprès de leur personnel.

Auditez votre exposition AI Act en 30 minutes

regulia propose un diagnostic structuré pour qualifier vos systèmes selon l'Annexe III, identifier les écarts documentaires et chiffrer votre exposition financière avant l'échéance du 2 août 2026.

Demander un diagnostic

5. Étapes de conformité recommandées avant le 2 août 2026

La mise en conformité ne s'improvise pas trois mois avant la date butoir. Le calendrier suivant correspond aux délais constatés sur des projets ISO/IEC 42001:2023 menés en PME.

5.1 Feuille de route en huit étapes

  1. Cartographier l'ensemble des systèmes d'IA utilisés, en propre ou via fournisseurs SaaS — terminée idéalement avant fin 2025.
  2. Qualifier chaque système selon la pyramide de risque (Art. 5, Annexe III, Art. 50, hors champ).
  3. Identifier votre rôle : fournisseur, déployeur, importateur, distributeur (Art. 3).
  4. Réaliser une analyse d'impact sur les droits fondamentaux pour les déployeurs visés par l'Art. 27.
  5. Mettre à jour ou créer le système de gestion des risques (ISO/IEC 23894:2023 fournit un cadre méthodologique).
  6. Documenter la conformité selon l'Annexe IV pour les systèmes à haut risque.
  7. Former les équipes — exigence directe de l'Art. 4 sur la littératie IA.
  8. Engager un audit blanc avant mise sur le marché ou mise en service.

5.2 Synergie avec les référentiels existants

Une PME déjà certifiée ISO/IEC 27001:2022 dispose d'environ 40 % du socle exigé par l'AI Act, notamment sur la gestion des risques de sécurité et la traçabilité. L'extension vers ISO/IEC 42001:2023 (système de management de l'IA) capitalise sur cet acquis.

Référentiel Apport pour l'AI Act
ISO/IEC 42001:2023 Système de management de l'IA — couvre Art. 9, 17
ISO/IEC 23894:2023 Gestion des risques IA — couvre Art. 9
ISO/IEC 27001:2022 Sécurité de l'information — contribue à Art. 15
RGPD (UE 2016/679) Gouvernance des données — contribue à Art. 10

Les définitions précises de chaque concept réglementaire sont consolidées dans notre glossaire AI Act.

6. Outils et ressources gratuits disponibles pour les PME

Plusieurs ressources institutionnelles permettent d'avancer sans budget d'amorçage.

  • Service desk européen : ai-act-service-desk.ec.europa.eu — guichet officiel de la Commission, réponses gratuites aux questions de qualification et d'interprétation.
  • CNIL — 13 fiches pratiques IA : cnil.fr/fr/les-fiches-pratiques-ia — recommandations spécifiques aux phases de développement.
  • Texte consolidé de l'AI Act : artificialintelligenceact.eu — version annotée et indexée par article.
  • Code de bonnes pratiques GPAI : publié par l'AI Office en juillet 2025, applicable aux fournisseurs de modèles à usage général.
  • Guides sectoriels : Cigref (janvier 2025), Numeum (mars 2025) — analyses pratiques par secteur.

Pour la liste complète des références mobilisées par regulia, consultez la page sources officielles.

7. Cas d'usage typiques et niveaux d'exposition

Cas d'usage Qualification probable Article-clé Sanction maximale PME
Outil de tri automatisé de CV Haut risque (Annexe III §4) Art. 6, 11, 14 3 % du CA
Score de crédit interne (B2B) Haut risque (Annexe III §5b) Art. 6, 10 3 % du CA
Chatbot client générique Risque limité Art. 50 §1 3 % du CA
Génération d'images marketing Risque limité Art. 50 §4 3 % du CA
Recommandation produit e-commerce Hors champ haut risque Bonnes pratiques
Notation sociale interne salariés Interdit Art. 5 §1c 7 % du CA
Reconnaissance émotionnelle au travail Interdit (sauf exceptions) Art. 5 §1f 7 % du CA

Deux pièges fréquents méritent attention. Premièrement, un outil de gestion RH qui pondère les performances pour décider d'une promotion peut basculer en haut risque (Annexe III §4b). Deuxièmement, l'usage de la reconnaissance émotionnelle au travail est passé en pratique interdite — une PME qui l'utiliserait pour surveiller la motivation de ses équipes s'exposerait au plafond le plus élevé.

8. Perspectives et recommandations opérationnelles

L'AI Act n'est pas un texte gelé. Plusieurs évolutions sont attendues dans les douze prochains mois.

D'abord, la Commission doit publier d'ici fin 2026 des actes délégués précisant les modalités d'évaluation de conformité pour les systèmes à haut risque. Ensuite, l'AI Office prépare des lignes directrices sectorielles, notamment pour les ressources humaines et la santé. Enfin, la loi française de transposition désignera l'autorité de surveillance compétente — point structurant pour le traitement des plaintes et la conduite des contrôles.

Trois recommandations s'imposent.

Démarrer la cartographie maintenant. Une PME qui attend juillet 2026 pour engager le travail de qualification n'aura pas le temps de produire la documentation Annexe IV avant l'échéance.

Capitaliser sur l'existant. RGPD, ISO 27001, ISO 9001 fournissent une part substantielle des contrôles attendus. Le surcoût de mise en conformité est marginal lorsque ces référentiels sont déjà en place.

Mobiliser les bacs à sable réglementaires. L'Art. 57 impose aux États membres de mettre en place au moins un bac à sable IA d'ici le 2 août 2026, avec accès prioritaire pour les PME et start-up. C'est un levier sous-utilisé pour tester un système innovant sans s'exposer aux sanctions pendant la phase d'expérimentation.

Pack documentaire AI Act — 100 % aligné Annexe IV

regulia met à disposition des PME françaises un pack de 32 modèles de documentation conformes aux Articles 9, 10, 11, 12, 13 et 14. Livraison sous 48 heures, mise à jour incluse jusqu'au 2 août 2026.

Recevoir le pack documentaire

FAQ

Quelles sont les sanctions maximales pour une PME de 50 salariés ?

Pour une PME, l'Article 99 §6 retient le montant le plus bas entre le plafond absolu et le pourcentage du CA mondial. Une PME réalisant 8 M€ de CA risque ainsi jusqu'à 560 000 € (7 % du CA) pour une pratique interdite, 240 000 € (3 %) pour un manquement aux obligations haut risque, et 80 000 € (1 %) pour une information inexacte aux autorités. La CNIL peut s'ajouter jusqu'à 4 % du CA sur le terrain RGPD si des données personnelles sont en jeu.

Doit-on se conformer dès 2024 pour éviter des sanctions en 2026 ?

Oui, le travail doit avoir démarré. L'obligation de littératie IA (Art. 4) et les pratiques interdites (Art. 5) sont déjà applicables depuis le 2 février 2025. La construction d'un dossier Annexe IV pour un système à haut risque prend en pratique 6 à 12 mois. Une PME qui n'engagerait la démarche qu'au premier trimestre 2026 prend un risque opérationnel important.

Quels systèmes d'IA sont concernés par l'AI Act en 2026 ?

Le 2 août 2026 active les obligations relatives aux systèmes à haut risque listés à l'Annexe III : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, justice. Les systèmes à risque limité (chatbots, contenus générés) relèvent de l'Article 50 et sont également visés. Les systèmes à haut risque de l'Annexe I (composants de sécurité de produits régulés) basculent en août 2027.

Quelles sont les obligations spécifiques pour les PME ?

Les PME bénéficient de quatre allègements ciblés : plafond de sanction inversé (Art. 99 §6), accès prioritaire aux bacs à sable réglementaires (Art. 57 §9), modèles de documentation simplifiés à publier par la Commission (Art. 11 §1) et droit à des frais d'évaluation de conformité réduits (Art. 62). En revanche, les obligations de fond — gestion des risques, documentation, supervision humaine — restent identiques.

Où trouver des ressources gratuites pour la conformité ?

Trois canaux gratuits : le service desk européen de la Commission, les 13 fiches pratiques de la CNIL et le texte consolidé sur artificialintelligenceact.eu. Le glossaire regulia donne les définitions opérationnelles des termes-clés du règlement.

Sources officielles

  • Règlement (UE) 2024/1689 — eur-lex.europa.eu
  • Texte consolidé et annoté — artificialintelligenceact.eu
  • Service desk européen — ai-act-service-desk.ec.europa.eu
  • CNIL — fiches pratiques IA — cnil.fr
  • ISO/IEC 42001:2023 — système de management de l'IA
  • ISO/IEC 23894:2023 — gestion des risques liés à l'IA
  • ISO/IEC 27001:2022 — sécurité de l'information
  • Règlement (UE) 2016/679 (RGPD) — Article 83 sur les sanctions
  • Cigref — Guide AI Act, janvier 2025
  • Numeum — Guide AI Act, mars 2025

Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

Outil gratuit · 2 minutes · sans inscription

Êtes-vous concerné ? Faites le diagnostic AI Act.

Sachez en 2 minutes si vos systèmes sont à haut risque, vos obligations et les documents à produire.

Démarrer le diagnostic → Ou voir un échantillon de document →