L'essentiel en 30 secondes - Les amendes prévues par l'Article 99 du Règlement (UE) 2024/1689 peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites. - Les PME bénéficient de plafonds adaptés : l'amende retenue est le montant le plus bas entre forfait et pourcentage du CA (Art. 99 §6). - L'AI Act distingue quatre catégories de risques : inacceptable, élevé, limité, minimal — chacune avec ses obligations. - Le service desk européen de l'AI Act et la CNIL proposent un soutien gratuit dédié aux PME françaises. - Les exploitants de systèmes d'IA à haut risque doivent s'enregistrer dans la base de données européenne (Art. 71).
L'Article 99 du Règlement (UE) 2024/1689, dit « AI Act », fixe le régime de sanctions applicable aux fournisseurs, déployeurs et autres acteurs des systèmes d'IA. Pour une PME française, comprendre ce dispositif n'est pas un exercice théorique : c'est la condition pour budgéter le risque, prioriser les mises en conformité et éviter une amende qui pourrait dépasser la valorisation de l'entreprise.
Cet article décrypte l'Art. 99, présente les montants applicables, détaille les mécanismes de réduction réservés aux PME et propose une feuille de route opérationnelle.
1. Introduction à l'Article 99 de l'AI Act
L'AI Act est entré en vigueur le 1ᵉʳ août 2024. Son régime de sanctions s'applique de manière échelonnée, avec une pleine effectivité au 2 août 2026 pour la majorité des obligations. L'Article 99 du Règlement (UE) 2024/1689 organise les amendes administratives infligées par les autorités nationales compétentes — en France, principalement la CNIL pour les volets données personnelles, et l'ANSSI ou la DGCCRF selon les secteurs.
Contexte et objectif de l'Article 99
L'objectif est double : dissuader les pratiques contraires aux droits fondamentaux et harmoniser les sanctions à l'échelle de l'Union. L'Art. 99 fixe trois paliers d'amendes selon la gravité de l'infraction, et exige des États membres qu'ils notifient leur régime à la Commission au plus tard le 2 août 2025.
Importance pour les PME françaises
Les PME représentent plus de 99 % du tissu économique français. Beaucoup déploient déjà des outils d'IA — scoring RH, chatbots, classification de CV, détection de fraude — sans toujours en mesurer la qualification juridique. L'Art. 99 §6 introduit une clause spécifique : pour les PME et les jeunes pousses, l'amende est plafonnée au montant le plus faible entre le forfait et le pourcentage du CA, là où les grands groupes subissent le plus élevé.
Cette clause change l'arithmétique du risque, mais ne dispense pas d'agir. Pour une cartographie complète des obligations sectorielles, consulter notre guide pillar AI Act PME France.
2. Les sanctions et amendes prévues
L'Art. 99 distingue trois niveaux d'amendes administratives, complétés par un régime spécifique pour les fournisseurs de modèles d'IA à usage général (Art. 101).
Types de sanctions
Les sanctions prévues sont principalement administratives. Elles peuvent être assorties de mesures correctives imposées par l'autorité de surveillance : retrait du système du marché, suspension d'activité, mise en conformité forcée. Le droit pénal national peut s'ajouter si l'infraction recoupe des qualifications existantes — atteinte à la vie privée, discrimination, escroquerie.
Montants des amendes en fonction du risque et de la gravité
| Type d'infraction | Base juridique | Plafond grandes entreprises | Plafond PME (montant le plus bas) |
|---|---|---|---|
| Pratiques d'IA interdites (Art. 5) | Art. 99 §3 | 35 M€ ou 7 % du CA mondial | 35 M€ ou 7 % du CA |
| Non-respect obligations haut risque (Art. 16, 22-27, 50) | Art. 99 §4 | 15 M€ ou 3 % du CA mondial | 15 M€ ou 3 % du CA |
| Information inexacte aux autorités | Art. 99 §5 | 7,5 M€ ou 1 % du CA mondial | 7,5 M€ ou 1 % du CA |
| Modèles GPAI (fournisseurs) | Art. 101 | 15 M€ ou 3 % du CA mondial | n/a |
Pour les grandes entreprises, l'autorité applique le montant le plus élevé des deux. Pour les PME, le mécanisme inversé de l'Art. 99 §6 protège la trésorerie.
Exemples de cas typiques pour les PME
- Scoring de candidats RH sans documentation technique conforme à l'Art. 11 : risque jusqu'à 3 % du CA.
- Chatbot client sans information de transparence (Art. 50) : risque jusqu'à 3 % du CA.
- Déclaration incomplète au registre européen : risque jusqu'à 1 % du CA.
Le détail des calculs sectoriels figure dans notre article dédié sanctions et amendes PME.
Évaluez votre exposition en 5 minutes
Notre pack documentaire regulia inclut un calculateur d'amendes adapté aux PME françaises, basé sur l'Art. 99 §6.
Demander une démonstration3. Les catégories de risques et systèmes concernés
L'AI Act repose sur une approche par les risques. Comprendre la catégorie de chaque système d'IA déployé est la première étape pour évaluer l'exposition aux sanctions de l'Art. 99.
Définition des 4 catégories de risques
| Catégorie | Définition | Exemples | Obligations principales |
|---|---|---|---|
| Risque inacceptable | Pratiques contraires aux droits fondamentaux | Notation sociale, manipulation subliminale, reconnaissance biométrique en temps réel (sauf exceptions) | Interdiction totale (Art. 5) |
| Risque élevé | Systèmes affectant santé, sécurité, droits fondamentaux | Tri de CV, scoring crédit, dispositifs médicaux, infrastructures critiques | Documentation, évaluation conformité, enregistrement (Art. 8 à 27) |
| Risque limité | Systèmes interagissant avec des personnes | Chatbots, deepfakes, IA générative | Transparence (Art. 50) |
| Risque minimal | Tous les autres | Filtres anti-spam, IA dans jeux vidéo | Code de conduite volontaire |
Systèmes d'IA à haut risque : exemples pour les PME
L'Annexe III du Règlement liste huit domaines de risque élevé. Pour une PME, les cas fréquents sont :
- Logiciels de tri de candidatures, gestion de carrière, évaluation de performance ;
- Systèmes de scoring de crédit ou d'évaluation d'assurance ;
- Dispositifs médicaux intégrant de l'IA (CE marking, MDR) ;
- Outils d'évaluation pédagogique dans l'éducation ;
- Composants de sécurité d'infrastructures critiques.
Si la PME ne fait qu'utiliser un outil tiers (déployeur), ses obligations sont plus limitées que celles du fournisseur, mais subsistent au titre de l'Art. 26.
Conséquences pour les PME utilisant ces systèmes
Une PME déployant un logiciel RH à haut risque sans vérifier la documentation du fournisseur ni informer ses salariés s'expose à une amende au titre de l'Art. 99 §4. La diligence ne se limite pas à l'achat : elle se prolonge sur tout le cycle de vie. Voir notre glossaire pour les définitions précises de « fournisseur » et « déployeur ».
4. Mécanismes de défense et réduction des amendes
L'Art. 99 §7 énumère les critères que l'autorité doit pondérer pour fixer le montant de l'amende. Plusieurs critères jouent en faveur de la PME diligente.
Conditions pour bénéficier de réductions d'amendes
| Critère retenu | Effet attendu | Preuve à produire |
|---|---|---|
| Nature, gravité, durée de l'infraction | Atténuant si bref et limité | Logs, journaux d'incidents |
| Mesures prises pour limiter le préjudice | Atténuant si proactives | Plan correctif daté |
| Coopération avec l'autorité | Atténuant | Échanges écrits, transparence |
| Antécédents | Atténuant si premier manquement | Historique vierge |
| Taille de l'entreprise, part de marché | Atténuant pour les PME | Liasse fiscale, effectifs |
| Bénéfice tiré ou pertes évitées | Aggravant | Comptabilité analytique |
Importance de la bonne foi et des mesures correctives
La bonne foi ne se présume pas : elle se prouve. Une PME qui découvre une non-conformité doit :
- Documenter la découverte (date, périmètre, responsable) ;
- Informer son DPO et son IA Lead ;
- Notifier l'autorité compétente si l'incident relève de l'Art. 73 (incident grave) ;
- Mettre en œuvre un plan correctif avec jalons mesurables ;
- Conserver toute trace écrite pendant au moins 10 ans (Art. 18).
Rôle du service desk européen
L'AI Office a ouvert un service desk dédié accessible gratuitement. Les PME y obtiennent des réponses informelles non contraignantes, utiles pour qualifier un système ou interpréter une obligation. Solliciter ce service est une preuve tangible de bonne foi.
5. Obligations de conformité pour les PME
Les obligations de l'Art. 99 ne s'appliquent qu'à des manquements identifiés. La meilleure défense reste la conformité documentée.
Documentation et enregistrement des systèmes d'IA
L'Article 11 du Règlement (UE) 2024/1689 impose une documentation technique pour les systèmes à haut risque. Elle couvre :
- Description générale du système et de sa finalité ;
- Éléments de conception, architecture, jeux de données d'entraînement ;
- Procédures de validation et de test ;
- Mesures de gestion des risques (cohérence avec ISO/IEC 23894:2023) ;
- Plan de surveillance après commercialisation.
L'Article 71 ajoute une obligation d'enregistrement dans la base de données européenne pour les systèmes à haut risque mis sur le marché.
Évaluation d'impact sur la protection des données
L'Article 27 impose aux déployeurs publics et à certains déployeurs privés une analyse d'impact sur les droits fondamentaux (FRIA). Elle se combine avec l'AIPD du RGPD lorsque des données personnelles sont traitées. La CNIL a publié des fiches pratiques IA qui détaillent la méthode.
Mise en place de mesures de sécurité
L'Article 15 exige robustesse, exactitude et cybersécurité. Pour une PME, cela se traduit par :
- Alignement sur ISO/IEC 27001:2022 pour la sécurité de l'information ;
- Tests adversariaux documentés ;
- Journalisation des décisions automatisées (Art. 12) ;
- Procédure de réponse aux incidents alignée Art. 73.
6. Ressources et aides disponibles
L'écosystème de soutien aux PME s'est densifié depuis 2024.
Le service desk européen de l'AI Act
Le service desk propose des FAQ, des templates et un canal de questions. Le délai de réponse moyen est de quelques jours. Les questions et réponses ne sont pas publiées sans accord du demandeur.
Guides et outils pour les PME
| Source | Apport principal | Coût |
|---|---|---|
| CNIL — fiches pratiques IA | 13 fiches méthodologiques, focus RGPD-IA | Gratuit |
| Cigref — guide AI Act janvier 2025 | Cartographie des obligations par rôle | Gratuit |
| Numeum — guide AI Act mars 2025 | Lecture éditeurs et intégrateurs | Gratuit |
| AI Office — Code of Practice GPAI | Référentiel modèles fondation | Gratuit |
| ISO/IEC 42001:2023 | Système de management de l'IA | Payant |
Liens vers les ressources internes de regulia
Le pack documentaire regulia couvre les templates de politique IA, registre des systèmes, FRIA, documentation technique Art. 11 et procédure d'incident Art. 73. Pour le détail, consulter notre page sources et le pillar AI Act PME France.
7. Étapes pratiques pour se conformer
Une démarche structurée évite les angles morts.
Audit des systèmes d'IA en place
- Recenser tous les systèmes d'IA en production ou en projet, internes et SaaS ;
- Qualifier chaque système (fournisseur ou déployeur) ;
- Affecter une catégorie de risque AI Act ;
- Identifier les flux de données personnelles associés ;
- Vérifier l'existence d'une documentation technique fournisseur.
Plan d'action pour la conformité
| Phase | Livrable | Échéance interne recommandée |
|---|---|---|
| Cadrage | Cartographie, gouvernance IA | T+1 mois |
| Documentation | Templates Art. 11, registre Art. 71 | T+3 mois |
| Évaluation | FRIA, AIPD, tests robustesse | T+5 mois |
| Surveillance | Plan post-marché, journalisation | T+6 mois |
| Formation | Sensibilisation salariés (Art. 4) | Continue |
L'Article 4 sur la « AI literacy » est applicable depuis le 2 février 2025. Aucune PME exploitant un système d'IA n'en est dispensée.
Suivi et mise à jour régulière
Le plan doit être revu à chaque évolution majeure : nouveau modèle, nouvelle finalité, nouvel acte délégué de la Commission. Prévoir un comité IA trimestriel et un audit annuel documenté.
Accélérez votre mise en conformité Art. 99
Le pack regulia fournit 18 templates juridiques alignés sur le Règlement (UE) 2024/1689 et la doctrine CNIL, prêts à personnaliser.
Recevoir le pack documentaire8. Erreurs à éviter et conseils
Les retours d'expérience des premières procédures engagées par les autorités font ressortir des écueils récurrents.
Ignorer les obligations de conformité
Penser qu'« être une PME » suffit à échapper à l'Art. 99 est une erreur. Le plafond protecteur de l'Art. 99 §6 ne s'applique qu'aux PME qui démontrent leur bonne foi. Une PME négligente reste exposée au montant forfaitaire — 7,5 M€ pour une simple information inexacte.
Ne pas documenter les systèmes d'IA
Sans documentation, la PME ne peut prouver ni la qualification du système, ni les mesures de mitigation, ni la formation des équipes. Tout repose sur la trace écrite. La règle est simple : ce qui n'est pas documenté n'existe pas pour l'autorité.
Ne pas consulter les ressources disponibles
Ne pas saisir le service desk européen, ne pas suivre les recommandations CNIL, ne pas s'inscrire aux webinaires de l'AI Office sont autant d'occasions manquées de démontrer la bonne foi. Ces démarches sont gratuites et tracées.
Sous-estimer la formation interne
L'Art. 4 impose un niveau suffisant de « AI literacy » à tout personnel impliqué dans l'usage ou le déploiement d'un système d'IA. Une formation d'une demi-journée par an, attestée, constitue un socle minimum défendable.
FAQ
Quelles sont les sanctions les plus courantes pour les PME en cas de non-conformité ?
Les sanctions les plus courantes sont administratives. Le montant varie de 1 % à 7 % du chiffre d'affaires annuel mondial selon la gravité (Art. 99 §3 à §5). Pour les PME, l'Art. 99 §6 retient le montant le plus bas entre forfait et pourcentage. Identifier la catégorie de risque de chaque système est la condition pour anticiper l'exposition.
Peut-on réduire les amendes en cas de bonne foi ?
Oui. L'Art. 99 §7 énumère plusieurs critères atténuants : mesures correctives proactives, coopération avec l'autorité, absence d'antécédent, taille de l'entreprise. La bonne foi doit être documentée : plan correctif daté, échanges écrits avec le service desk européen, journaux d'incidents conservés.
Quels systèmes d'IA sont concernés par l'Article 99 ?
Tous les systèmes d'IA relevant du Règlement (UE) 2024/1689 sont concernés, mais les sanctions varient. Les pratiques interdites (Art. 5) déclenchent le plafond maximum à 7 % du CA. Les obligations relatives aux systèmes à haut risque (Annexe III) déclenchent 3 % du CA. Les manquements d'information sont punis à 1 % du CA.
Où puis-je trouver de l'aide pour me conformer à l'AI Act ?
Le service desk européen propose un accompagnement gratuit. La CNIL publie des fiches pratiques. Le pack documentaire regulia fournit des templates personnalisables, complétés par le glossaire interne.
Quelles sont les étapes clés pour se conformer à l'AI Act en tant que PME ?
Cinq étapes structurent la démarche : (1) cartographier les systèmes d'IA et leur catégorie de risque ; (2) produire la documentation Art. 11 et la FRIA Art. 27 ; (3) s'enregistrer au registre européen si haut risque (Art. 71) ; (4) mettre en place les mesures de sécurité et la formation Art. 4 ; (5) suivre les évolutions réglementaires par un comité IA trimestriel.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé : ai-act.europa.eu
- Version officielle EUR-Lex : eur-lex.europa.eu
- CNIL — dossier AI Act : cnil.fr/fr/ai-act
- Service desk européen de l'AI Act : ai-act-service-desk.ec.europa.eu
- ISO/IEC 42001:2023 — Système de management de l'IA
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.