TL;DR
L'essentiel en 30 secondes - Amendes jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour pratiques interdites (Art. 99 du Règlement (UE) 2024/1689). - Trois paliers de sanctions : 7 %, 3 % et 1,5 % du CA mondial selon la nature du manquement. - PME et start-up : le montant retenu est le plus bas entre le pourcentage et le forfait fixe (Art. 99 §6). - Pénalités spécifiques pour non-signalement des incidents graves (Art. 73). - Premiers contrôles français pilotés par la CNIL depuis février 2025 [à vérifier]. - Priorité PME : cartographier les systèmes d'IA avant le 2 août 2026, date d'application principale des obligations haut risque.
L'AI Act fixe le régime de sanctions le plus sévère jamais adopté pour l'intelligence artificielle. Les PME françaises, longtemps exclues du débat réglementaire IA, entrent désormais dans le champ de contrôle de la CNIL et de la future autorité nationale de surveillance. Cet article détaille l'Article 99 du Règlement (UE) 2024/1689, ses seuils, les premiers cas observés en France et les démarches concrètes pour éviter la sanction.
1. Contexte : l'AI Act et son impact sur les PME françaises
Le Règlement (UE) 2024/1689 du 13 juin 2024, dit « AI Act », est entré en vigueur le 1er août 2024. Il établit un cadre harmonisé pour la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle dans l'Union européenne.
Le texte s'applique selon un calendrier progressif :
| Date | Obligations entrant en vigueur |
|---|---|
| 2 février 2025 | Interdictions des pratiques d'IA prohibées (Art. 5) + obligations de littératie IA (Art. 4) |
| 2 août 2025 | Règles GPAI, gouvernance, sanctions partielles |
| 2 août 2026 | Application générale (haut risque Annexe III) |
| 2 août 2027 | Haut risque Annexe I (produits régulés) |
Pour les PME françaises de 10 à 250 salariés, trois cas de figure déclenchent l'application du règlement :
- Fournisseur : l'entreprise développe ou met sur le marché un système d'IA en propre.
- Déployeur : l'entreprise utilise un système d'IA sous sa propre autorité (RH, scoring, surveillance).
- Importateur ou distributeur : l'entreprise commercialise une IA conçue hors UE.
La majorité des PME tombent dans la catégorie déployeur. Elles sont soumises à des obligations allégées mais réelles : documentation, supervision humaine, information des personnes concernées. Pour une vue d'ensemble, consultez notre pillar AI Act PME France.
2. Les sanctions prévues par l'Article 99 de l'AI Act
L'Article 99 du Règlement (UE) 2024/1689 structure les sanctions en trois paliers, en fonction de la gravité du manquement.
2.1 Les trois paliers d'amendes
| Palier | Manquement visé | Plafond | Référence |
|---|---|---|---|
| Palier 1 | Pratiques d'IA interdites (Art. 5) | 35 M€ ou 7 % du CA mondial annuel | Art. 99 §3 |
| Palier 2 | Manquement aux obligations haut risque, fournisseurs, déployeurs, importateurs (Art. 16, 22-27, 50) | 15 M€ ou 3 % du CA mondial annuel | Art. 99 §4 |
| Palier 3 | Information inexacte, incomplète ou trompeuse aux autorités | 7,5 M€ ou 1,5 % du CA mondial annuel | Art. 99 §5 |
Le texte précise « le montant le plus élevé étant retenu » pour les grandes entreprises. À l'inverse, pour les PME et start-up, l'Article 99 §6 du règlement dispose : « le montant le plus faible des deux est appliqué ». Cette clause protège les PME d'une amende disproportionnée par rapport à leur chiffre d'affaires.
2.2 Pouvoirs supplémentaires des autorités
Au-delà des amendes, les autorités nationales de surveillance disposent de pouvoirs étendus prévus à l'Article 74 :
- Retrait ou rappel du système d'IA du marché.
- Interdiction temporaire ou définitive de mise à disposition.
- Obligation de mise en conformité dans un délai imparti.
- Astreintes journalières en cas de non-exécution.
2.3 Critères d'appréciation de l'amende
L'Article 99 §7 énumère les critères que l'autorité doit prendre en compte pour fixer le montant exact :
- Nature, gravité et durée de l'infraction.
- Nombre de personnes affectées et niveau du préjudice subi.
- Antécédents et coopération de l'entreprise.
- Taille de l'entreprise et part de marché.
- Mesures prises pour atténuer les dommages.
Cette grille de modulation permet à la CNIL ou à l'autorité désignée d'adapter la sanction au profil réel de la PME. Pour le détail chiffré, voir notre article dédié Sanctions AI Act PME : montants et calcul.
3. Les premiers cas en France : exemples concrets
À la date du 11 mai 2026, aucune décision publique de sanction administrative n'a encore été rendue par la CNIL au titre de l'Article 99 de l'AI Act [à vérifier]. Les délais d'instruction et la mise en place progressive de l'autorité nationale de surveillance expliquent ce décalage. Toutefois, plusieurs contrôles préparatoires sont documentés.
3.1 Contrôles RGPD à composante IA
La CNIL a publié en 2024 plusieurs mises en demeure sur le fondement du RGPD pour des systèmes d'IA qui auraient également relevé de l'AI Act s'il avait été pleinement applicable :
| Type d'acteur | Système concerné | Manquement principal | Cadre légal |
|---|---|---|---|
| Éditeur SaaS RH | Tri automatisé de CV | Absence d'AIPD complète | RGPD Art. 35 |
| Établissement de santé | Aide au diagnostic | Documentation technique insuffisante | RGPD Art. 5 |
| Plateforme logistique | Surveillance algorithmique des chauffeurs | Défaut d'information des personnes | RGPD Art. 13 |
Ces dossiers préfigurent ce que sera la jurisprudence AI Act. Le mode opératoire de contrôle reste identique : visite sur place, demande de pièces, audition. Pour mémoire, consultez la définition exacte sur le glossaire regulia.
3.2 Pratiques d'IA interdites depuis le 2 février 2025
L'Article 5 de l'AI Act interdit notamment :
- Les systèmes de notation sociale par des autorités publiques.
- La reconnaissance des émotions sur le lieu de travail et dans l'enseignement.
- Le scraping non ciblé d'images faciales pour constituer des bases biométriques.
- L'exploitation des vulnérabilités liées à l'âge, au handicap ou à la situation sociale.
Toute PME ayant déployé un de ces systèmes après le 2 février 2025 s'expose au palier maximal de 7 % du CA. Une PME spécialisée dans le marketing affectif a, selon plusieurs sources sectorielles, retiré son module d'analyse émotionnelle de son offre B2B au premier trimestre 2025 [à vérifier].
Évaluez votre exposition au risque AI Act
Identifiez en 15 minutes les systèmes d'IA concernés dans votre PME et obtenez une feuille de route conforme à l'Article 99.
Demander un diagnostic regulia4. Les obligations des PME pour éviter les sanctions
Éviter la sanction passe par une démarche structurée. Cinq obligations clés s'imposent au déployeur PME, en application des articles 26, 27 et 50 du règlement.
4.1 Cartographier les systèmes d'IA utilisés
Un registre des systèmes d'IA doit recenser, pour chaque outil :
- Nom et fournisseur.
- Finalité d'usage en interne.
- Catégorie de risque (inacceptable, haut risque, risque limité, risque minimal).
- Données traitées et personnes concernées.
- Responsable opérationnel et DPO référent.
4.2 Identifier les systèmes à haut risque
L'Annexe III du règlement liste huit domaines à haut risque. Les plus fréquents en PME :
- Emploi et RH : tri de candidatures, évaluation de performance, allocation de tâches.
- Accès aux services privés essentiels : scoring crédit, scoring assurance, priorisation urgences.
- Éducation et formation : examens automatisés, orientation des apprenants.
4.3 Réaliser une analyse d'impact des droits fondamentaux
L'Article 27 impose au déployeur d'un système haut risque de mener une Fundamental Rights Impact Assessment (FRIA) avant la première utilisation. Cette analyse complète, sans la remplacer, l'AIPD du RGPD.
4.4 Garantir la supervision humaine
L'Article 14 exige une supervision humaine effective. En pratique :
- Identifier un opérateur formé pour chaque système haut risque.
- Documenter les points de contrôle où l'humain peut intervenir.
- Tracer les décisions d'écrasement (override) du système.
4.5 Informer les personnes concernées
L'Article 50 oblige à signaler aux personnes physiques qu'elles interagissent avec un système d'IA, sauf lorsque c'est manifeste. Cette obligation s'applique notamment aux chatbots clients et aux contenus générés par IA (deepfakes, contenus de synthèse).
5. Les démarches en cas de contrôle
Un contrôle de l'autorité nationale de surveillance suit un déroulé prévisible. La préparation en amont fait la différence.
5.1 Phase préparatoire
Avant tout contrôle, votre PME doit disposer de :
- Le registre des systèmes d'IA à jour.
- La documentation technique des fournisseurs (Annexe IV).
- Les FRIA pour chaque système haut risque.
- Les enregistrements automatiques (logs) prévus à l'Article 12.
- La politique de gouvernance IA signée par la direction.
5.2 Phase de contrôle
Le contrôle peut être inopiné ou annoncé. Les agents disposent du droit :
- D'entrer dans les locaux professionnels.
- De consulter les systèmes d'information.
- D'auditionner les responsables (DPO, RSSI, IA Lead).
- D'exiger la communication de pièces sous délai contraint.
5.3 Phase de réponse
Coopérez activement. Le défaut de coopération est expressément sanctionné par le palier 3 (1,5 % du CA mondial). Les bonnes pratiques :
| Action | Délai recommandé |
|---|---|
| Désigner un interlocuteur unique | Immédiat |
| Confirmer la réception des demandes par écrit | Sous 24 h |
| Produire les pièces demandées | Dans le délai imparti (souvent 15 jours) |
| Notifier votre conseil juridique et DPO | Immédiat |
6. Les outils et ressources disponibles
Plusieurs ressources officielles accompagnent les PME dans leur mise en conformité.
6.1 AI Act Service Desk
Mis en place par la Commission européenne, l'AI Act Service Desk propose un guichet unique d'information. Il répond aux questions d'interprétation du règlement et publie des FAQ sectorielles. Accès libre via ai-act-service-desk.ec.europa.eu.
6.2 CNIL et fiches pratiques IA
La CNIL a publié, depuis 2024, 13 fiches pratiques sur l'IA et le RGPD. Elles couvrent les finalités de traitement, la base légale, la minimisation des données et les droits des personnes. Ces fiches constituent la doctrine française de référence sur l'articulation RGPD-IA.
6.3 Normes ISO/IEC
Trois normes structurent la gouvernance IA en entreprise :
| Norme | Objet | Pertinence PME |
|---|---|---|
| ISO/IEC 42001:2023 | Système de management de l'IA | Élevée, démontre la conformité |
| ISO/IEC 23894:2023 | Gestion des risques liés à l'IA | Élevée, méthodologie FRIA |
| ISO/IEC 27001:2022 | Sécurité de l'information | Indirecte mais souvent exigée |
6.4 Accompagnement regulia
regulia propose des packs documentaires conformes ISO 42001 et AI Act : registre des systèmes d'IA, modèle de FRIA, politique de gouvernance, kit de réponse à contrôle. Voir l'index complet sur sources regulia.
Préparez votre dossier AI Act en 30 jours
Pack documentaire complet, modèles validés et accompagnement personnalisé pour PME françaises de 10 à 250 salariés.
Découvrir nos packs regulia7. Les conseils pour les PME : priorités et étapes
La mise en conformité se conduit comme un projet à phases courtes. Quatre étapes, six à neuf mois.
Étape 1 — Audit des systèmes d'IA (mois 1-2)
- Recensement exhaustif des outils embarquant de l'IA, y compris les fonctions IA des SaaS courants (CRM, ATS, ERP).
- Classification selon les niveaux de risque de l'AI Act.
- Identification des systèmes critiques.
Étape 2 — Documentation et gouvernance (mois 2-4)
- Rédaction du registre des systèmes d'IA.
- Élaboration des FRIA pour les systèmes haut risque.
- Mise en place d'une comitologie IA (DPO, RSSI, IA Lead, direction).
Étape 3 — Formation des équipes (mois 3-5)
L'Article 4 du règlement impose, depuis le 2 février 2025, que tous les collaborateurs ayant à utiliser des systèmes d'IA disposent d'un niveau suffisant de littératie IA. Les modalités sont libres : e-learning, ateliers, supports écrits. Mais la preuve doit pouvoir être apportée.
Étape 4 — Suivi régulier (mois 5+)
| Fréquence | Action |
|---|---|
| Mensuelle | Revue des incidents et signalements internes |
| Trimestrielle | Mise à jour du registre IA |
| Annuelle | Revue de direction du système de management IA |
| Continue | Veille réglementaire et normative |
8. Les perspectives futures : évolutions et vigilance
Le régime de sanctions de l'AI Act n'est pas figé. Plusieurs évolutions sont attendues à court et moyen terme.
8.1 Élargissement progressif des secteurs concernés
L'Annexe III peut être modifiée par actes délégués de la Commission, sans nouvelle procédure législative complète. Des extensions sont anticipées dans les secteurs de l'assurance, du tourisme et du commerce de détail à mesure que les pratiques d'IA s'y généralisent.
8.2 Renforcement des contrôles en 2026
Les autorités nationales montent progressivement en compétence. En France, la CNIL a renforcé son service Innovation et IA. La phase 2026 (application générale haut risque) verra mécaniquement une hausse du nombre de contrôles, en particulier sur les systèmes RH et de scoring.
8.3 Articulation avec d'autres réglementations
L'AI Act s'articule avec le RGPD, le Digital Services Act, le Digital Markets Act et la directive responsabilité IA en cours de discussion. Une PME peut donc être contrôlée simultanément sur plusieurs textes pour un même système. Lire à ce sujet notre analyse complète Sanctions AI Act : barème et calcul pour PME.
8.4 Importance de la mise à jour régulière
Les normes ISO 42001 et 23894 évoluent. Les lignes directrices de l'AI Office sont publiées progressivement. Une veille active est indispensable. Inscrivez votre PME dans une logique d'amélioration continue plutôt que dans un projet à durée limitée.
FAQ
Quelles sont les sanctions pour une PME non conforme à l'AI Act ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit trois paliers de sanctions : 7 %, 3 % et 1,5 % du chiffre d'affaires mondial annuel selon la gravité. Pour les PME, l'Article 99 §6 retient le plus faible des deux montants entre le pourcentage et le forfait fixe. À cela s'ajoutent les pouvoirs de retrait, de rappel et d'interdiction prévus à l'Art. 74.
Quel est le montant maximum des amendes pour une PME ?
Le plafond théorique le plus élevé est de 35 M€ ou 7 % du chiffre d'affaires mondial, applicable aux pratiques d'IA interdites de l'Article 5. Pour une PME française réalisant 10 M€ de CA, l'amende ne pourrait excéder 700 000 € sur ce palier, en application du mécanisme de plafonnement spécifique PME. Pour les manquements aux obligations haut risque, le plafond descend à 3 % du CA mondial annuel.
Comment savoir si mon système est concerné par l'AI Act ?
Vérifiez d'abord si votre système relève d'une pratique interdite (Art. 5). Consultez ensuite l'Annexe III du règlement, qui liste les huit domaines à haut risque : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice. Les 13 fiches pratiques de la CNIL et l'AI Act Service Desk fournissent des arbres de décision utiles. En cas de doute, demandez un diagnostic.
Que faire en cas de contrôle par les autorités ?
Désignez immédiatement un interlocuteur unique. Confirmez par écrit la réception de toute demande. Produisez la documentation dans les délais impartis. Mobilisez votre DPO et votre conseil juridique dès la première sollicitation. Le défaut de coopération est expressément sanctionné par le palier 3 (1,5 % du CA mondial), il faut donc adopter une posture transparente et proactive.
Où trouver de l'aide pour la conformité à l'AI Act ?
Quatre ressources prioritaires : l'AI Act Service Desk de la Commission européenne pour les questions d'interprétation, la CNIL pour l'articulation RGPD-IA, les normes ISO/IEC 42001 et 23894 pour la méthodologie, regulia pour les modèles documentaires opérationnels destinés aux PME françaises. Notre pillar AI Act PME France regroupe l'ensemble des contenus.
Sources officielles
- Règlement (UE) 2024/1689 — version consolidée EUR-Lex
- AI Act Service Desk — Commission européenne
- CNIL — IA à l'entreprise et fiches pratiques
- Texte intégral consolidé — artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Lignes directrices sur le management du risque IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.