Amendes EU AI Act : jusqu'a 35 millions d'euros ou 7% du CA, qui risque quoi en 2026

Tout le monde a retenu un chiffre de l'AI Act : 35 millions d'euros. C'est le plafond le plus eleve du reglement europeen sur l'intelligence artificielle, et il sert d'epouvantail dans toutes les conferences. Mais ce chiffre est mal compris. Il ne s'applique qu'a une categorie precise de manquements, le bareme comporte en realite trois niveaux, et les PME beneficient d'une regle de calcul plus favorable que les grands groupes. Voici comment lire le bareme des sanctions (article 99), ce qu'une entreprise francaise risque concretement, et comment ramener ce risque a presque rien.

Le bareme des sanctions est applicable depuis le 2 aout 2025. La surveillance du marche par les autorites nationales monte pleinement en puissance a partir du 2 aout 2026. Autrement dit : le cadre repressif existe deja, et la capacite de controle arrive cette annee.

Le bareme a trois niveaux de l'article 99

L'AI Act ne prevoit pas une amende unique mais une echelle proportionnee a la gravite du manquement. Trois plafonds coexistent :

Niveau 1 — les pratiques interdites (article 5). C'est le plafond maximal : jusqu'a 35 000 000 EUR ou, pour une entreprise, jusqu'a 7% du chiffre d'affaires annuel mondial de l'exercice precedent, le montant le plus eleve etant retenu. Sont vises les usages bannis par le reglement : notation sociale, manipulation comportementale, exploitation des vulnerabilites, certaines formes de surveillance biometrique. Une PME classique n'est presque jamais concernee par ce niveau, sauf usage vraiment problematique.

Niveau 2 — les autres obligations. Pour le non-respect des obligations applicables aux fournisseurs, deployeurs, importateurs ou distributeurs (notamment les regles sur les systemes a haut risque et la transparence), le plafond est de 15 000 000 EUR ou 3% du chiffre d'affaires mondial. C'est le niveau qui concerne la majorite des entreprises qui utilisent de l'IA dans un cadre serieux.

Niveau 3 — les informations inexactes. Fournir des renseignements incorrects, incomplets ou trompeurs a une autorite ou a un organisme notifie expose a 7 500 000 EUR ou 1% du chiffre d'affaires mondial. Mentir ou bacler ses reponses lors d'un controle est donc sanctionne en tant que tel.

La regle qui change tout pour une PME : le montant le plus faible

Le detail le plus important pour une petite ou moyenne structure est souvent passe sous silence. Pour les PME et les start-up, le reglement prevoit que l'amende correspond au montant le plus faible entre le pourcentage du chiffre d'affaires et le plafond fixe en euros — alors que pour les grandes entreprises, c'est le montant le plus eleve qui s'applique.

Concretement : une PME qui realise 2 millions d'euros de chiffre d'affaires n'est pas exposee a une amende de 15 millions sur un manquement de niveau 2. Le pourcentage (3% de 2 M EUR = 60 000 EUR) etant inferieur au plafond fixe, c'est lui qui sert de reference maximale. Le legislateur europeen a voulu eviter d'aneantir une petite structure pour un manquement administratif. Cela ne veut pas dire que le risque est nul, mais qu'il est proportionne a votre taille.

Ce qu'une PME risque vraiment en 2026

Au-dela des plafonds theoriques, plusieurs facteurs determinent l'amende reelle. L'article 99 impose aux autorites de tenir compte de la gravite du manquement, de sa duree, du caractere intentionnel ou negligent, des mesures prises pour y remedier, de la cooperation avec l'autorite, et de la taille de l'entreprise. Une PME de bonne foi qui a engage une demarche de conformite et coopere sera traitee tres differemment d'un acteur qui a ignore le sujet et fourni de fausses informations.

Pour la plupart des entreprises francaises, le risque concret en 2026 n'est pas l'amende a sept chiffres. Ce sont plutot :

• une mise en demeure de se mettre en conformite dans un delai contraint, avec interdiction de continuer a exploiter le systeme en attendant ;
• le retrait ou le rappel d'un systeme d'IA juge non conforme du marche ;
• une amende proportionnee a la taille en cas de manquement caracterise, surtout s'il a cause un dommage ;
• un risque reputationnel et commercial : de plus en plus de donneurs d'ordre exigent une preuve de conformite AI Act dans leurs appels d'offres.

Ce dernier point est souvent le plus couteux : perdre un contrat parce qu'on ne peut pas demontrer sa conformite fait plus mal, a l'echelle d'une PME, que le bareme de l'article 99.

Qui paie l'amende : fournisseur ou deployeur ?

L'AI Act distingue les roles, et les obligations — donc les sanctions — ne pesent pas sur les memes acteurs. Le fournisseur (celui qui developpe ou met sur le marche un systeme d'IA) porte l'essentiel des obligations techniques. Le deployeur (l'entreprise qui utilise le systeme pour son activite) a des obligations plus legeres mais reelles : usage conforme a la notice, supervision humaine, information des personnes concernees, surveillance du fonctionnement. Une PME qui se contente d'utiliser un logiciel IA du commerce est generalement deployeur, ce qui limite son exposition — a condition de respecter ses propres obligations de deployeur. Savoir dans quelle case on se trouve est la premiere etape pour mesurer son risque.

Les trois reflexes qui reduisent l'exposition a presque rien

La bonne nouvelle, c'est que les sanctions visent les entreprises qui n'ont rien fait. Une demarche meme modeste change radicalement le tableau :

1. Inventorier ses systemes d'IA et leur niveau de risque. On ne peut pas etre sanctionne pour un risque qu'on a identifie, documente et encadre. L'inventaire est le socle de tout, et il se fait en quelques heures avec la bonne methode.

2. Constituer un dossier de preuve. Charte d'usage, formation des equipes (l'obligation de litteratie de l'article 4), notices, traces de supervision humaine. En cas de controle, c'est ce dossier qui transforme une amende potentielle en simple recommandation.

3. Repondre serieusement en cas de demande d'une autorite. Le niveau 3 du bareme sanctionne les informations inexactes : ne jamais improviser ni minimiser face a un organisme de controle. Mieux vaut un dossier honnete et incomplet qu'une reponse trompeuse.

FAQ — amendes et sanctions de l'AI Act

Une PME peut-elle vraiment ecoper de 35 millions d'euros ?

En pratique, non. Le plafond de 35 M EUR ne vise que les pratiques interdites de l'article 5, et pour une PME, c'est le montant le plus faible (pourcentage du CA ou plafond) qui s'applique, pas le plus eleve. Une petite structure est exposee a une amende proportionnee a sa taille, et seulement en cas de manquement caracterise.

Depuis quand les sanctions sont-elles applicables ?

Le chapitre sur les sanctions est applicable depuis le 2 aout 2025. La capacite de controle des autorites nationales de surveillance du marche monte pleinement en puissance a partir du 2 aout 2026.

Qui controle l'application de l'AI Act en France ?

La surveillance s'organise autour des autorites nationales de surveillance du marche, la CNIL ayant vocation a jouer un role central sur les volets lies aux donnees personnelles. Le dispositif de gouvernance se met en place courant 2025-2026.

Que faire en priorite si je n'ai rien fait ?

Commencer par l'inventaire de vos systemes d'IA et leur niveau de risque, puis constituer un dossier de preuve minimal (charte, formation, notices). C'est la demarche qui reduit le plus vite votre exposition. Le diagnostic gratuit de MaConformite vous donne en quelques minutes une premiere cartographie de votre risque.

En resume : le bareme de l'AI Act fait peur a dessein, mais il punit avant tout l'inaction et la mauvaise foi. Pour une PME francaise, l'amende theorique est plafonnee au montant le plus faible et proportionnee a la taille ; le vrai risque 2026 est de perdre des contrats faute de pouvoir prouver sa conformite. La parade tient en trois reflexes : inventorier, documenter, repondre serieusement. Faites le diagnostic gratuit MaConformite pour situer votre niveau de risque, ou explorez nos poles sectoriels pour une mise en conformite adaptee a votre activite.