TL;DR — L'essentiel en 30 secondes
- Le régime de sanctions du Règlement (UE) 2024/1689 est pleinement applicable depuis le 2 août 2025 (Article 99).
- Les premiers contrôles coordonnés en France sont annoncés pour mai 2026, avec la Commission européenne et la CNIL en autorités principales.
- Les amendes peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99 §3).
- Les PME bénéficient du plafond le plus bas entre montant fixe et pourcentage — un correctif explicite (Art. 99 §6).
- 30 % des PME françaises ne seraient pas en conformité en 2026 [à vérifier — donnée CNIL relayée par la presse spécialisée].
- Ressources de référence : pillar AI Act PME, sanctions détaillées, glossaire, sources officielles.
1. Contexte : premières sanctions AI Act en France
Le Règlement (UE) 2024/1689, dit « AI Act », est entré en vigueur le 1er août 2024. Son régime de sanctions, prévu à l'Article 99 du Règlement (UE) 2024/1689, est entré en application le 2 août 2025 pour les pratiques interdites et les obligations relatives aux modèles d'IA à usage général.
Mai 2026 marque une étape charnière. La Commission européenne a indiqué dans plusieurs communications du AI Office que les premières actions coordonnées avec les autorités nationales de surveillance du marché — dont la CNIL en France — débuteraient à cette période [à vérifier — calendrier précis non publié au Journal officiel].
Les PME françaises de 10 à 250 salariés sont directement concernées. Elles déploient massivement des outils d'IA générative, des systèmes de scoring RH, ou des chatbots clients sans toujours mesurer leur classification au regard de l'AI Act. C'est précisément cette zone grise que les autorités entendent éclairer en 2026.
Trois éléments structurent ce contexte :
- La pleine applicabilité du Chapitre XII (Sanctions) depuis août 2025.
- L'entrée en vigueur des obligations sur les systèmes à haut risque prévue au 2 août 2026 (Art. 113).
- La pression réglementaire croissante exercée par le AI Office sur les fournisseurs et déployeurs.
2. Quand et comment les sanctions sont-elles appliquées ?
La procédure de sanction obéit à un séquencement précis. Elle débute par un contrôle, se poursuit par une mise en demeure, et n'aboutit à une amende qu'en cas de manquement caractérisé.
Séquence procédurale
- Signalement ou contrôle d'initiative par l'autorité de surveillance (CNIL pour la plupart des cas en France).
- Demande de documentation : registre des systèmes d'IA, FRIA (Article 27), documentation technique (Annexe IV).
- Mise en demeure assortie d'un délai de mise en conformité.
- Décision motivée si le manquement persiste, avec sanction proportionnée.
- Voie de recours devant la juridiction administrative compétente.
Délais et autorités
Le délai de rectification n'est pas fixé directement par le règlement. Il dépend de la pratique nationale. En France, la CNIL applique habituellement un délai de 30 jours, prolongeable selon la complexité du dossier.
| Étape | Autorité compétente | Délai indicatif |
|---|---|---|
| Contrôle | CNIL, DGCCRF, ANSM selon secteur | Variable |
| Mise en demeure | Autorité ayant constaté | 30 jours [à vérifier] |
| Décision sanction | Formation restreinte CNIL | 2-6 mois |
| Recours | Conseil d'État | 2 mois |
La Commission européenne intervient directement pour les fournisseurs de modèles d'IA à usage général (GPAI), via le AI Office, conformément à l'Article 88.
3. Quelles sont les sanctions possibles ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit trois paliers d'amendes administratives. Le montant retenu est le plus élevé entre le forfait et le pourcentage du chiffre d'affaires annuel mondial de l'exercice précédent.
Trois paliers de sanctions
| Manquement | Référence | Plafond entreprise | Plafond CA mondial |
|---|---|---|---|
| Pratiques interdites (Art. 5) | Art. 99 §3 | 35 M€ | 7 % |
| Manquement obligations (haut risque, transparence, GPAI) | Art. 99 §4 | 15 M€ | 3 % |
| Informations inexactes aux autorités | Art. 99 §5 | 7,5 M€ | 1 % |
Le correctif PME
L'Article 99 §6 introduit une règle protectrice. Pour les PME et start-ups, le montant retenu est le plus faible entre le forfait et le pourcentage. Un atelier de 1 M€ de chiffre d'affaires n'encourt donc pas 35 M€ d'amende pour une pratique interdite, mais 70 000 € (7 % de son CA).
Cela ne signifie pas que les PME sont à l'abri. Les sanctions non pécuniaires peuvent être tout aussi lourdes :
- Retrait du marché du système d'IA non conforme.
- Interdiction de mise en service.
- Obligation de rappel des systèmes déployés.
- Publication de la décision (effet réputationnel).
Pour une analyse détaillée par scénario, voir notre guide complet sur les sanctions PME.
4. Risques spécifiques pour les PME
Les PME françaises affrontent une équation difficile. Elles utilisent des outils d'IA sans toujours disposer des ressources d'un grand groupe pour les documenter, les auditer, ou les gouverner.
Quatre facteurs de risque structurels
- Manque de cartographie interne : la plupart des PME ignorent combien de systèmes d'IA elles déploient effectivement. ChatGPT, Copilot, outils RH automatisés, scoring client : autant de systèmes à recenser au titre de l'Article 26.
- Absence de DPO ou de référent IA : les structures de moins de 50 salariés ne disposent souvent ni de DPO obligatoire ni de gouvernance IA structurée.
- Dépendance aux fournisseurs : les PME utilisent des solutions tierces et héritent des classifications faites par leurs fournisseurs. Une mauvaise qualification en amont les expose en aval.
- Coût des audits externes : un audit de conformité AI Act se facture entre 8 000 € et 30 000 € selon la complexité [à vérifier — fourchette de marché 2026].
Selon la CNIL, environ 30 % des PME françaises ne seraient pas en conformité avec leurs obligations IA en 2026 [à vérifier — chiffre relayé mais non publié officiellement]. Ce constat couvre tant le RGPD que l'AI Act, dont les exigences se superposent partiellement.
L'enjeu de compétitivité est réel. Une PME française qui exporte vers l'Allemagne ou l'Espagne doit démontrer sa conformité AI Act pour conserver l'accès au marché unique.
Évaluez votre exposition aux sanctions AI Act
Notre pack documentaire PME couvre les obligations de l'Article 26 (déployeurs) et de l'Article 27 (FRIA). Modèles prêts à adapter, conformes au Règlement (UE) 2024/1689.
Demander le pack documentaire5. Comment se préparer aux sanctions ?
La préparation n'est ni théorique ni optionnelle. Elle suit une démarche structurée, alignée sur la norme ISO/IEC 42001:2023 relative aux systèmes de management de l'intelligence artificielle.
Plan d'action en cinq étapes
- Cartographier les systèmes d'IA déployés. Inclure les outils internes, les SaaS tiers, les agents conversationnels, les modèles fine-tunés.
- Classifier chaque système selon les quatre niveaux de risque définis par l'AI Act : inacceptable (Art. 5), haut risque (Annexe III), risque limité (Art. 50), risque minimal.
- Documenter : pour chaque système, constituer un dossier conforme à l'Annexe IV si haut risque, ou a minima un registre interne (Art. 26 §6).
- Former les équipes : l'Article 4 impose une « literacy » IA proportionnée aux fonctions exercées. Cette obligation est applicable depuis le 2 février 2025.
- Mettre en place une gouvernance : désigner un responsable IA, intégrer l'AI Act dans les revues de direction, prévoir un processus d'incident (Art. 73 pour les fournisseurs de haut risque).
Ressources institutionnelles
Le AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond gratuitement aux questions des opérateurs, dont les PME. C'est un canal officiel sous-utilisé en France.
La CNIL publie 13 fiches pratiques IA, accessibles depuis cnil.fr/fr/les-fiches-pratiques-ia, qui constituent la doctrine française de référence.
Pour comprendre les termes employés (FRIA, GPAI, déployeur, fournisseur), consultez notre glossaire AI Act.
6. Exemples concrets de sanctions (scénarios hypothétiques)
Les exemples ci-dessous illustrent les configurations de risque les plus probables. Ils ne reflètent pas des décisions publiées au Journal officiel mais des scénarios pédagogiques bâtis sur les obligations du règlement.
Scénario 1 — PME logistique : documentation insuffisante
Une PME de 80 salariés déploie un système de planification de tournées intégrant un module d'optimisation algorithmique. Classé haut risque par défaut s'il influence des décisions RH (affectation des conducteurs), il devrait satisfaire aux exigences de l'Annexe IV.
Manquement reproché : absence de documentation technique, pas de notice d'utilisation à l'attention des opérateurs. Base juridique : Art. 16 et Art. 26 §1. Sanction théorique maximale : 3 % du CA annuel ou 15 M€ — le plus faible pour une PME.
Scénario 2 — Fintech : biais algorithmique non corrigé
Une start-up fintech utilise un modèle de scoring crédit dont les performances divergent selon le code postal. L'autorité constate un biais protégé indirect (proxy géographique).
Manquement reproché : non-respect des exigences relatives à la gouvernance des données (Art. 10) et à la surveillance humaine (Art. 14). Sanction théorique : 3 % du CA, retrait du système du marché jusqu'à correction.
Scénario 3 — Éditeur santé : marquage CE manquant
Un éditeur déploie une solution d'aide au diagnostic intégrée à un dispositif médical. Le système relève simultanément du Règlement (UE) 2017/745 (dispositifs médicaux) et de l'AI Act (Annexe III §5).
Manquement reproché : absence d'évaluation de conformité IA distincte du marquage CE médical. Sanction théorique : 3 % du CA, interdiction de mise sur le marché jusqu'à délivrance d'un nouveau certificat.
| Scénario | Type d'IA | Manquement principal | Sanction probable |
|---|---|---|---|
| Logistique | Optimisation RH | Documentation Annexe IV | Amende + mise en conformité |
| Fintech | Scoring crédit | Biais + gouvernance données | Retrait marché |
| Santé | Aide au diagnostic | Évaluation conformité | Interdiction temporaire |
Au-delà du montant, l'impact opérationnel est immédiat : suspension d'activité, coûts de remédiation, perte de confiance des clients et partenaires.
7. Outils et ressources pour la conformité
Plusieurs leviers institutionnels et normatifs aident les PME à structurer leur démarche sans réinventer l'eau chaude.
Quatre ressources clés
- CNIL : fiches pratiques IA, formulaires de signalement, doctrine sur l'articulation AI Act / RGPD.
- AI Act Service Desk (ai-act-service-desk.ec.europa.eu) : portail européen de questions-réponses, gratuit, multilingue.
- ISO/IEC 42001:2023 : norme certifiable couvrant la gouvernance des systèmes d'IA. Complémentaire à ISO/IEC 27001:2022 pour la sécurité de l'information.
- Guides professionnels : Cigref (janvier 2025), Numeum (mars 2025), qui traduisent l'AI Act en exigences opérationnelles côté DSI et achats.
Outils internes regulia
Notre pillar AI Act pour PME françaises regroupe les obligations classées par taille d'entreprise et secteur. Le détail des sanctions et amendes inclut un simulateur indicatif. La page sources recense tous les textes officiels à jour.
| Ressource | Type | Coût | Usage principal |
|---|---|---|---|
| CNIL fiches pratiques | Doctrine FR | Gratuit | Cadrage juridique |
| AI Act Service Desk | Q&A officiel UE | Gratuit | Questions opérationnelles |
| ISO/IEC 42001:2023 | Norme | Payant | Certification SMI-IA |
| Pack regulia | Modèles documentaires | Payant | Mise en œuvre rapide |
8. Conclusion : agir maintenant
Le délai d'attentisme est clos. Les obligations en vigueur depuis février 2025 (Art. 4 littératie, Art. 5 pratiques interdites) sont déjà sanctionnables. Celles relatives aux systèmes à haut risque s'activent au 2 août 2026.
Trois priorités pour les six prochains mois :
- Faire l'inventaire des systèmes d'IA utilisés, internes et tiers.
- Classifier le risque de chaque système selon la grille de l'AI Act.
- Documenter ce qui peut l'être maintenant : registre, FRIA pour les cas pertinents, politique d'usage.
Les PME qui auront engagé cette démarche en 2026 disposeront d'un avantage concret. Elles répondront aux audits de leurs clients grands comptes, accéderont aux marchés publics, et limiteront leur exposition aux sanctions futures.
Démarrez votre mise en conformité dès aujourd'hui
Le pack regulia inclut le registre des systèmes d'IA, le modèle FRIA Article 27, la politique d'usage interne, et la grille de classification. Documentation prête à adapter à votre activité.
Obtenir le pack documentaireFAQ — Premières sanctions AI Act en France
Quelles sont les sanctions les plus courantes pour les PME ?
Les amendes administratives prévues à l'Art. 99 du Règlement (UE) 2024/1689 dominent. Le plafond varie selon le manquement : 7 % du CA pour les pratiques interdites, 3 % pour les manquements aux obligations des systèmes à haut risque, 1 % pour les informations inexactes. Pour les PME, l'Art. 99 §6 retient le montant le plus faible entre forfait et pourcentage. S'y ajoutent des mesures non pécuniaires : retrait du marché, interdiction de mise en service, rappel.
Comment savoir si mon système d'IA est conforme ?
Quatre niveaux de risque structurent l'AI Act. Les systèmes interdits sont énumérés à l'Art. 5 (notation sociale, manipulation comportementale, etc.). Les systèmes à haut risque sont listés à l'Annexe III (RH, accès au crédit, éducation, biométrie). Les systèmes à risque limité relèvent de l'Art. 50 (obligation de transparence pour chatbots et deepfakes). Les autres systèmes restent libres mais soumis à l'obligation de littératie de l'Art. 4. Le portail artificialintelligenceact.eu propose un outil de classification non officiel utile pour un premier diagnostic.
Quels sont les délais pour se conformer ?
Le calendrier est échelonné. L'Art. 113 du règlement fixe trois jalons principaux : 2 février 2025 pour les pratiques interdites et la littératie, 2 août 2025 pour les sanctions et les GPAI, 2 août 2026 pour les systèmes à haut risque. Au-delà de ces dates, les autorités peuvent contrôler et sanctionner. Le AI Act Service Desk traite les questions rapidement, mais ne se substitue pas à une analyse juridique personnalisée.
Quelles sont les conséquences d'une sanction ?
Trois conséquences se cumulent. Financière : l'amende administrative selon les paliers de l'Art. 99. Opérationnelle : retrait, suspension ou rappel du système d'IA, avec interruption d'activité. Réputationnelle : la décision peut être publiée et reprise par la presse. Pour une PME, l'impact sur la confiance des clients et le coût de la remédiation excèdent souvent l'amende elle-même.
Où trouver de l'aide pour la conformité ?
Quatre canaux complémentaires : le AI Act Service Desk européen pour les questions juridiques officielles ; la CNIL pour la doctrine française et l'articulation avec le RGPD ; les guides professionnels (Cigref, Numeum) pour la traduction opérationnelle ; et notre glossaire pour comprendre la terminologie technique. Pour les modèles documentaires (registre, FRIA, politique d'usage), le pack regulia couvre les besoins courants des PME de 10 à 250 salariés.
Sources officielles
- Règlement (UE) 2024/1689 — version consolidée EUR-Lex
- Texte intégral commenté — artificialintelligenceact.eu
- CNIL — fiches pratiques IA
- AI Act Service Desk — Commission européenne
- ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Pour la liste complète des références utilisées sur regulia, consultez la page sources.
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.