L'architecture des sanctions AI Act : trois plafonds, un seul réflexe

Le Règlement (UE) 2024/1689, publié au Journal officiel de l'Union européenne le 12 juillet 2024 et entré en vigueur le 1ᵉʳ août 2024, structure son régime de sanctions à l'article 99. Pour la première fois, la version officielle du règlement sur EUR-Lex détaille trois plafonds distincts selon la nature de l'infraction.

Trois plafonds gravés dans le règlement

Infraction Article visé Plafond Métrique
Pratique interdite Art. 5 35 M€ ou 7 % CA mondial Le plus élevé des deux
Manquement haut risque ou GPAI Art. 16, 23, 26, 53… 15 M€ ou 3 % CA mondial Le plus élevé des deux
Information inexacte aux autorités Art. 99(5) 7,5 M€ ou 1 % CA mondial Le plus élevé des deux

Pour les PME et start-ups, l'article 99(6) précise que c'est le plus faible des deux montants qui s'applique — c'est la seule modération prévue. Pour une ETI dépassant la définition PME au sens de la recommandation 2003/361/CE rappelée par la Commission européenne, les plafonds bruts s'appliquent.

Application progressive — dates clés

  • 2 août 2025 : régime de sanctions effectif sur les pratiques interdites et les obligations GPAI.
  • 2 août 2026 : sanctions pleines sur les systèmes à haut risque listés en annexe III.
  • 2 août 2027 : extension aux systèmes intégrés dans des produits réglementés (annexe I).

L'opposabilité civile, elle, joue dès la mise sur le marché : un client peut invoquer le règlement devant un juge dès 2025, sans attendre l'autorité administrative. Pour le panorama complet, voyez notre hub AI Act.

L'autorité de surveillance française : qui sanctionne quoi

L'article 70 du règlement impose à chaque État membre de désigner ses autorités. La France a publié sa désignation par décret en octobre 2025. Cinq régulateurs se partagent la surveillance.

Carte des autorités françaises

  • CNIL : droits fondamentaux, données personnelles, biométrie, RGPD-AI Act combinés.
  • DGCCRF : surveillance du marché, conformité CE des produits IA, dispositions consumer.
  • ACPR / Banque de France : scoring crédit, KYC, LCB-FT, gouvernance prudentielle.
  • ANSM : dispositifs médicaux à composante IA (croisement avec MDR / IVDR).
  • ARCOM : IA générative et contenus, IA en éducation et formation.

La CNIL est désignée coordinatrice nationale pour la protection des droits fondamentaux, en cohérence avec son rôle RGPD. La DGCCRF hérite de la surveillance des produits et services. Cette répartition multi-autorités impose aux entreprises d'identifier dès l'audit AI Act quel(s) régulateur(s) les concernent par cas d'usage.

Procédure de sanction

L'autorité notifie un grief, l'entreprise dispose de 30 jours pour répondre, puis une commission décide. L'amende est publiée au registre de l'autorité. Un recours administratif est possible devant le tribunal compétent. Le délai moyen observé sur les premières affaires CNIL en 2026 est de 14 à 22 mois entre notification et décision exécutoire.

Les 10 décisions opérationnelles à prendre avant décembre 2026

Décision 1 — Cartographier les systèmes d'IA déployés

Sans registre des systèmes d'IA (équivalent du registre RGPD article 30), aucune diligence n'est démontrable. Le registre minimal liste : nom du système, fournisseur, version, cas d'usage, catégorie de risque AI Act, données traitées, base légale RGPD, propriétaire métier. Volume typique : 5 à 15 systèmes par PME industrielle, 20 à 40 pour une ETI services. Investissement : 2 à 5 jours-consultant.

Décision 2 — Qualifier le rôle (fournisseur vs déployeur)

L'article 3(3) du règlement définit le fournisseur comme celui qui met sur le marché ou en service un système d'IA sous son nom. Le déployeur (art. 3(4)) est l'utilisateur professionnel. La qualification change les obligations radicalement (annexe IV pour les fournisseurs haut risque, supervision humaine renforcée pour les déployeurs). Une PME qui fine-tune un modèle Mistral pour son métier devient fournisseur au sens du règlement. Pour une analyse cas par cas, voyez notre future page dédiée fournisseur vs déployeur (10 cas de qualification).

Décision 3 — Auditer les usages interdits art. 5

L'article 5 du règlement liste 8 pratiques interdites depuis le 2 février 2025 : notation sociale, exploitation de vulnérabilités, manipulation subliminale, identification biométrique à distance en temps réel dans des lieux publics, prédiction d'infractions, scraping massif de visages, détection émotions au travail / en éducation, catégorisation biométrique sensible. Toute violation = 7 % du CA mondial. Auditer immédiatement.

Décision 4 — Établir le plan article 4 (AI literacy)

L'article 4 impose un plan de formation IA pour tous les salariés et prestataires exposés. Voir notre article détaillé AI Act article 4 — plan de formation modèle qui présente la structure opposable. Investissement : 2 000 à 18 000 € selon taille, finançable par OPCO et FNE-Formation.

Décision 5 — Documenter les systèmes haut risque (annexe IV)

Pour tout système qualifié haut risque (annexe III du règlement), la documentation technique annexe IV est obligatoire à la mise sur le marché : description générale, méthode de développement, données d'entraînement, performance, gestion des risques, plan de surveillance post-marché. Volume typique : 60-120 pages par système. Délai de constitution : 8 à 14 semaines.

Décision 6 — Mettre en place la supervision humaine art. 14

Pour les systèmes haut risque, l'article 14 exige une supervision humaine effective, pas symbolique : capacité d'interrompre, capacité de contredire la sortie, formation des superviseurs, traçabilité des interventions. Sans cette supervision, le déployeur engage sa responsabilité pleine et entière sur les décisions du système.

Décision 7 — Croiser AIPD (RGPD art. 35) et FRIA (AI Act art. 27)

Quand un système haut risque traite des données personnelles, deux analyses d'impact se cumulent : l'AIPD au sens RGPD et la FRIA (Fundamental Rights Impact Assessment) au sens AI Act. La CNIL a publié plusieurs recommandations sur cette articulation. Délai de constitution : 4 à 8 semaines par système.

Décision 8 — Provisionner le risque financier

À l'analyse de risques classique, ajouter une ligne « risque sanction AI Act ». Pour une ETI de 80 M€ de CA mondial avec deux systèmes haut risque mal documentés, l'exposition théorique est de 80 M€ × 3 % = 2,4 M€ — à pondérer par la probabilité de contrôle (estimée 5-15 % par an pour les secteurs prioritaires). Provisionner même 100 000 € en assurance D&O ou cyber-conformité change la posture en comité d'audit.

Décision 9 — Réviser les contrats fournisseurs IA

Les contrats avec les fournisseurs IA (OpenAI, Anthropic, Mistral, ou éditeur SaaS) doivent inclure : engagement de conformité AI Act, transmission de l'annexe IV à la demande, allocation de responsabilité fournisseur/déployeur, clauses de transparence sur les données d'entraînement, droit d'audit. Sans ces clauses, le déployeur supporte seul le risque.

Décision 10 — Choisir entre cloud US et IA souveraine on-premise

Pour les systèmes traitant des données sensibles (santé, RH, finance, secret professionnel), l'arbitrage cloud public américain vs IA souveraine on-premise devient structurant. Le risque de transfert hors UE (article 44 RGPD) se cumule désormais avec l'exposition AI Act. C'est précisément la conviction qui guide notre méthode IAPRO : installer des IA souveraines on-premise basées sur Mistral, Llama 3 ou Qwen via Ollama et OpenWebUI. Notre calculateur ROI IA intègre le coût évité d'une sanction.

Cas concrets de provisionnement du risque

Cas 1 — Cabinet RH 22 salariés, scoring CV

Outil de scoring de CV utilisé sans documentation annexe IV, sans plan article 4, sans FRIA. Si l'autorité notifie un grief sur les trois manquements cumulés, l'exposition théorique est 35 M€ × 3 % = NA (PME donc plafond modéré). En réalité, l'article 99(6) limite la sanction au montant inférieur, soit ici quelques dizaines de milliers d'euros maximum — mais la cessation d'activité du système est immédiate, ce qui pèse plus que l'amende sur la trésorerie.

Cas 2 — ETI industrielle 350 salariés, maintenance prédictive

Système de maintenance prédictive sans qualification AI Act, en SaaS sur cloud US. Risque cumulé : transfert hors UE (RGPD art. 44, jusqu'à 4 % CA), manquement documentation annexe IV (3 % CA). Sur 60 M€ de CA, exposition théorique cumulée jusqu'à 4,2 M€. Provisionnement comité d'audit recommandé : 300 000 €.

Cas 3 — PME bancaire spécialisée, scoring crédit

Module de scoring crédit chez 11 conseillers, sans FRIA, sans supervision humaine art. 14 effective. Triple risque : AI Act (3 %), ACPR (sanction prudentielle distincte), RGPD article 22 (jusqu'à 4 %). Voyez notre article dédié scoring crédit conforme AI Act.

Calendrier de conformité réaliste

Pour une PME de 50 salariés démarrant en mai 2026 :

  • M1-M2 : registre des systèmes, qualification fournisseur/déployeur, audit art. 5.
  • M3 : plan article 4 + charte interne.
  • M4-M5 : documentation annexe IV des systèmes haut risque.
  • M6 : FRIA, AIPD croisée, supervision humaine documentée.
  • M7-M8 : révision contrats fournisseurs, choix architecture (cloud vs on-premise).
  • M9-M12 : audit interne, formation continue, premier rapport au comité.

Total : 9 à 12 mois de cadrage avant un état mature. C'est tenable si on démarre maintenant — risqué si on attend 2027.

Le coût réel de la mise en conformité

Pour une PME industrielle 80 salariés avec 3 systèmes IA dont 1 haut risque :

  • Audit + cartographie : 8 000 à 15 000 €
  • Documentation annexe IV : 12 000 à 25 000 € par système haut risque
  • Plan article 4 + formation : 8 000 à 18 000 €
  • AIPD + FRIA : 6 000 à 12 000 €
  • Mise en place supervision humaine : 4 000 à 10 000 €
  • Total année 1 : 38 000 à 80 000 €

Cofinancements mobilisables : - Bpifrance Diag Data IA : jusqu'à 80 % d'une mission diagnostic (bpifrance.fr). - France Num : chèques numériques régionaux, formations gratuites (francenum.gouv.fr). - OPCO Atlas / 2i / EP : prise en charge formation jusqu'à 100 %. - CIR (15-30 % crédit d'impôt) sur la R&D IA dérivée — voyez impots.gouv.fr et notre hub aides.

L'AI Office européen et la pression de coordination

L'AI Office de la Commission européenne, créé en février 2024, coordonne l'application du règlement, anime un service desk et publie des lignes directrices non contraignantes mais juridiquement éclairantes. Les premières lignes directrices sur la définition de « système d'IA » et sur les pratiques interdites ont été publiées le 6 février 2025. D'autres sont attendues sur l'AI literacy, la FRIA, et la surveillance post-marché en 2026.

L'AI Pact, initiative volontaire de la Commission, permet aux entreprises de s'engager publiquement avant les échéances. Plus de 1 000 signataires européens à la date de mai 2026. Adhérer envoie un signal commercial fort et bénéficie d'un accompagnement informel des services de l'AI Office.

FAQ — Sanctions AI Act 2026

Quel est le plafond de sanction maximal du règlement AI Act ?

Pour les pratiques interdites listées à l'article 5 du Règlement (UE) 2024/1689, la sanction maximale est de 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial — le montant le plus élevé des deux. Les manquements aux obligations des fournisseurs et déployeurs haut risque plafonnent à 15 M€ ou 3 %. Les informations inexactes aux autorités à 7,5 M€ ou 1 %.

Quand le régime de sanctions devient-il effectif ?

Le régime de sanctions sur les pratiques interdites est applicable depuis le 2 août 2025. Les sanctions sur les obligations haut risque (annexe III) deviennent pleinement applicables au 2 août 2026. L'extension aux produits réglementés (annexe I) intervient le 2 août 2027. Avant ces dates, l'opposabilité civile devant les juges français existait déjà depuis février 2025.

Quelle autorité française sanctionne en pratique ?

Cinq régulateurs se partagent la surveillance selon le secteur : la CNIL pour les droits fondamentaux et le RGPD, la DGCCRF pour la surveillance du marché et la conformité produit, l'ACPR pour le secteur bancaire et assurantiel, l'ANSM pour les dispositifs médicaux, l'ARCOM pour l'IA générative et l'éducation. La CNIL est désignée coordinatrice nationale pour la protection des droits fondamentaux.

Les PME bénéficient-elles d'un régime allégé ?

Oui. L'article 99(6) du règlement prévoit que pour les PME et start-ups au sens de la recommandation 2003/361/CE, c'est le montant le plus faible des deux plafonds (montant absolu ou pourcentage) qui s'applique. C'est la seule modération prévue. Les obligations matérielles, elles, restent les mêmes : registre, plan article 4, documentation, supervision humaine.

Quels manquements concrets sont sanctionnés en priorité ?

Les premières affaires ouvertes en 2026 portent principalement sur : (1) usage d'outils de détection émotionnelle au travail (interdit art. 5), (2) absence de plan article 4 chez les déployeurs de modèles GPAI, (3) systèmes RH de scoring CV non qualifiés haut risque, (4) chatbots sans mention de transparence art. 50, et (5) déploiement de systèmes biométriques en magasin sans base légale.

Comment articuler les sanctions AI Act et RGPD ?

Les deux régimes s'appliquent indépendamment et cumulativement. Un système RH biaisé peut déclencher une sanction RGPD article 22 (décision automatisée, jusqu'à 4 % CA) et une sanction AI Act article 6+26 (haut risque mal documenté, 3 % CA). La CNIL coordonne les deux régimes pour éviter le double comptage, mais l'exposition cumulée reste réelle. Voir notre grille AI Act vs RGPD.

Une amende AI Act est-elle publique ?

Oui. La décision est publiée au registre de l'autorité française compétente, et la Commission européenne tient un registre unifié des sanctions AI Act au niveau Union. La publication s'accompagne souvent d'un communiqué de presse. L'impact réputationnel dépasse fréquemment le montant de l'amende — d'où l'intérêt de signer l'AI Pact pour cadrer la posture publique.

L'AI Pact protège-t-il d'une sanction ?

Non, l'AI Pact n'est pas une exonération juridique. Mais signer l'AI Pact démontre une diligence active reconnue par l'article 99(7), qui peut moduler le quantum à la baisse. C'est aussi un signal envoyé aux clients, investisseurs et marchés publics. Plus de 1 000 entreprises l'ont signé au niveau européen à mai 2026 — France représente environ 18 % des signataires.

Quelle assurance couvre le risque sanction AI Act ?

Aucune assurance ne couvre directement le paiement d'une amende AI Act (l'amende administrative étant d'ordre public). En revanche, les contrats D&O (Directors & Officers) et cyber-conformité couvrent les frais de défense, l'AIPD/FRIA externalisée et les dommages-intérêts civils consécutifs. Les primes 2026 intègrent une majoration AI Act pour les secteurs prioritaires (RH, santé, finance, biométrie).

Comment commencer dès maintenant ?

Trois actions sous 30 jours : (1) inventaire des systèmes d'IA utilisés ou développés, (2) qualification fournisseur/déployeur par cas d'usage, (3) audit rapide des pratiques interdites art. 5. Avec ces trois pièces, vous tenez le socle minimal d'une réponse à un contrôle. Pour un cadrage complet, IAPRO propose une mission diagnostic 4 à 8 semaines cofinancée Bpifrance.

Pour aller plus loin avec IAPRO

Vous voulez chiffrer votre exposition AI Act et construire une trajectoire de conformité opposable avant fin 2026 ? Nous proposons une formule Audit AI Act + Cartographie + Plan article 4 + Installation IA souveraine sur site, livrée en 4 à 8 semaines avec cofinancement Bpifrance et OPCO. Cadrage de 30 minutes via le formulaire IAPRO.

Liens utiles