Amendes AI Act 2026 : le régime de sanctions (Art. 99)
Sanctions AI Act : jusqu'à 35 M€ ou 7% du CA. Détail des trois paliers de l'article 99, modulations PME, cumul avec le RGPD et calendrier d'applicabilité.
- Le régime de sanctions de l’article 99
- Comment le montant est fixé
- Modulations pour les PME et start-up
- Articulation avec les sanctions RGPD
- Qui peut être sanctionné : fournisseurs et déployeurs
- Sanctions AI Act et sanctions nationales
- Calendrier d’applicabilité des sanctions
- Recommandations pratiques
- FAQ : sanctions et amendes de l’AI Act
L’essentiel. L’article 99 du AI Act (règlement (UE) 2024/1689) instaure un régime de sanctions à trois paliers : jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial pour les pratiques interdites de l’article 5 ; jusqu’à 15 M€ ou 3 % pour la plupart des autres manquements ; jusqu’à 7,5 M€ ou 1 % pour la fourniture d’informations inexactes. Des modulations sont prévues pour les PME et start-up. Un cumul avec les sanctions RGPD est juridiquement possible. Les sanctions sont d’application progressive, alignées sur l’entrée en vigueur des obligations qu’elles garantissent.
Le AI Act a été conçu avec des sanctions qui dépassent, dans leur plafond maximal, celles du RGPD. Là où le RGPD plafonne à 20 M€ ou 4 % du chiffre d’affaires mondial, le AI Act monte jusqu’à 35 M€ ou 7 % pour les manquements les plus graves. Ce choix du législateur européen est délibéré : il signale que le déploiement d’IA interdite ou dangereuse pour les droits fondamentaux appelle une réponse dissuasive.
Pour un dirigeant ou un DPO, la question n’est pas seulement « combien ? » mais « quel manquement déclenche quel palier, et quand ces sanctions deviennent-elles applicables ? ». C’est ce que cet article détaille, en clarifiant aussi l’articulation avec les sanctions RGPD — sujet source de confusion, car un même déploiement peut relever des deux régimes. Pour le contexte général, voir notre actualité AI Act 2026 et le calendrier de l’AI Act.
Le régime de sanctions de l’article 99
L’article 99 structure les amendes administratives en trois paliers, selon la gravité du manquement. Les montants s’expriment toujours comme le plus élevé des deux termes (montant fixe ou pourcentage du chiffre d’affaires annuel mondial de l’exercice précédent).
| Palier | Manquement | Plafond |
|---|---|---|
| 1 (le plus grave) | Non-respect de l’interdiction des pratiques d’IA de l’article 5 | 35 M€ ou 7 % du CA mondial |
| 2 | Non-respect des autres obligations (fournisseurs, déployeurs, importateurs, distributeurs, organismes notifiés — hors Art. 5) | 15 M€ ou 3 % du CA mondial |
| 3 | Fourniture d’informations inexactes, incomplètes ou trompeuses aux autorités ou organismes notifiés | 7,5 M€ ou 1 % du CA mondial |
Le premier palier vise les pratiques interdites : notation sociale généralisée, manipulation exploitant des vulnérabilités, catégorisation biométrique fondée sur des données sensibles, reconnaissance des émotions sur le lieu de travail ou dans l’enseignement (hors exceptions), moisson non ciblée d’images faciales, etc. Ce sont les usages que le règlement juge incompatibles avec les valeurs de l’Union.
Le deuxième palier, le plus large en pratique, couvre l’essentiel des manquements aux obligations des systèmes à haut risque de l’annexe III : défaut de documentation technique, absence de système de gestion des risques, surveillance humaine insuffisante, défaut d’information des personnes, non-respect des obligations du déployeur (Art. 26).
Le troisième palier sanctionne spécifiquement l’obstruction ou la tromperie envers les autorités de contrôle — un manquement procédural mais lourdement sanctionné.
Comment le montant est fixé
Le montant effectif n’est pas automatique. L’article 99 impose de tenir compte de critères de proportionnalité proches de ceux du RGPD :
- La nature, gravité et durée du manquement
- Le caractère intentionnel ou négligent
- Les mesures prises pour atténuer le préjudice
- Le degré de coopération avec l’autorité
- Le caractère répété ou non du manquement
- La taille de l’opérateur et sa part de marché
Ces critères confirment qu’un opérateur ayant documenté sa conformité, coopéré et corrigé rapidement s’expose à un traitement très différent d’un opérateur négligent ou de mauvaise foi. La documentation constituée en amont (voir notre guide contrôles AI Act 2026) est ici un facteur direct de réduction du montant.
Modulations pour les PME et start-up
Le règlement prévoit une prise en compte explicite de la situation des PME et jeunes entreprises. Pour ces opérateurs, les plafonds s’appliquent selon le montant le plus faible des deux termes (montant fixe ou pourcentage), et non le plus élevé, afin d’éviter qu’une amende ne soit disproportionnée au regard de leur capacité économique.
Autrement dit : pour une grande entreprise, c’est le maximum des deux termes ; pour une PME, c’est le minimum. Cette asymétrie protège l’écosystème de l’innovation tout en maintenant un effet dissuasif proportionné. Pour les enjeux spécifiques aux petites structures, voir notre guide AI Act pour les PME.
Cette modulation ne dispense évidemment pas de conformité : une PME déployant une pratique interdite reste sanctionnable, mais dans une limite adaptée à sa taille.
Articulation avec les sanctions RGPD
C’est le point le plus délicat en pratique. Un même déploiement d’IA peut violer simultanément le RGPD (traitement illicite de données personnelles) et le AI Act (système à haut risque non conforme). Deux régimes, deux autorités potentiellement, deux logiques de sanction.
| Aspect | RGPD | AI Act |
|---|---|---|
| Objet protégé | Les données à caractère personnel | La sécurité et les droits fondamentaux face aux systèmes d’IA |
| Plafond haut | 20 M€ ou 4 % du CA | 35 M€ ou 7 % du CA |
| Autorité (France) | CNIL | Autorité(s) à désigner (voir contrôles AI Act) |
| Déclencheur | Traitement de données personnelles | Mise sur le marché / déploiement d’un système d’IA |
Le cumul est juridiquement possible. Un système de scoring RH discriminatoire reposant sur des données personnelles peut engager une sanction RGPD (base légale, décision automatisée au sens de l’article 22 RGPD) et une sanction AI Act (système haut risque non conforme). Le principe ne bis in idem peut limiter un double sanctionnement pour des faits strictement identiques relevant du même intérêt protégé, mais lorsque les objets protégés diffèrent — la donnée personnelle d’un côté, la conformité du système de l’autre — le cumul n’est pas exclu. Les modalités précises d’articulation restent à confirmer par la pratique décisionnelle et d’éventuelles lignes directrices de la Commission et des autorités.
Cette perspective de cumul renforce l’intérêt d’une gouvernance intégrée IA/données personnelles, portée notamment par le DPO dans ses nouvelles missions.
Qui peut être sanctionné : fournisseurs et déployeurs
Le régime de l’article 99 ne vise pas que les développeurs de modèles. Il s’applique à l’ensemble des opérateurs de la chaîne : fournisseurs (qui conçoivent ou mettent sur le marché un système d’IA), déployeurs (qui l’utilisent sous leur autorité), mais aussi importateurs, distributeurs et mandataires. Une entreprise utilisatrice d’un système à haut risque — par exemple un outil de présélection RH — est un déployeur, et à ce titre directement exposée aux sanctions si elle manque à ses obligations de l’article 26 (surveillance humaine, information, journalisation).
Cette répartition a une conséquence pratique importante : on ne peut pas se défausser entièrement sur son fournisseur. Même si l’éditeur d’un outil est responsable de la conformité de conception, le déployeur reste responsable de son usage conforme. La documentation contractuelle doit donc clarifier qui porte quelle obligation, sans pour autant transférer une responsabilité que le règlement attribue impérativement.
Pour les institutions et organes de l’Union, le règlement prévoit un régime de sanctions distinct, généralement moins élevé, appliqué par le Contrôleur européen de la protection des données. Ce cas reste marginal pour les entreprises privées françaises.
Sanctions AI Act et sanctions nationales
Au-delà des amendes administratives de l’article 99, le règlement laisse aux États membres le soin de fixer certaines règles de sanction complémentaires dans leur droit interne, dans le respect des principes de proportionnalité et de dissuasion. La transposition des modalités nationales — autorité compétente pour prononcer l’amende, procédure, voies de recours — relève des textes d’adaptation, encore en cours de finalisation en France. Ce point reste donc à confirmer par la loi nationale. En pratique, l’articulation entre l’amende AI Act et d’éventuelles suites (mesures correctrices, retrait du produit du marché) suivra la logique de la surveillance du marché décrite dans notre guide contrôles AI Act 2026.
Calendrier d’applicabilité des sanctions
Les sanctions ne s’appliquent pas toutes en même temps : elles suivent l’entrée en vigueur des obligations qu’elles garantissent.
| Échéance | Obligations et sanctions concernées |
|---|---|
| Février 2025 | Interdiction des pratiques de l’article 5 ; obligation de littératie IA (Art. 4) |
| Août 2025 | Obligations et sanctions relatives aux modèles GPAI (chapitre V) ; entrée en fonction du dispositif de gouvernance |
| Août 2026 | Application de la majorité des obligations haut risque de l’annexe III et de leur régime de sanction |
| Août 2027 | Application étendue aux systèmes à haut risque relevant de la législation d’harmonisation (annexe I) |
Calendrier indicatif fondé sur le texte du règlement. Certaines modalités opérationnelles (actes d’exécution, normes harmonisées) ne sont pas encore toutes publiées et pourront préciser les échéances.
Le message pour un dirigeant : la fenêtre pour se mettre en conformité sur les systèmes haut risque se referme en 2026-2027. Les pratiques interdites, elles, sont déjà sanctionnables.
Recommandations pratiques
1. Éliminer d’abord tout risque de palier 1
Le premier réflexe est de vérifier qu’aucun usage ne relève des pratiques interdites de l’article 5 — le seul palier à 7 %. Une pratique interdite ne se documente pas, elle se supprime. Voir classification des risques IA.
2. Documenter la conformité haut risque
Pour les systèmes de l’annexe III, la documentation (gestion des risques, gouvernance des données, surveillance humaine) est à la fois l’obligation et le facteur d’atténuation de sanction. Voir la checklist dans notre guide contrôles AI Act 2026.
3. Intégrer la logique de cumul RGPD/AI Act
Traiter la conformité IA et la conformité RGPD de façon articulée, via l’AIPD et le registre des systèmes d’IA, pour éviter la double exposition.
4. Soigner la relation avec les autorités
Le palier 3 (informations inexactes) et les critères de coopération montrent que la qualité des échanges avec l’autorité pèse directement sur le montant. La transparence et la réactivité sont des atouts défensifs.
5. Adapter l’effort à la taille
Une PME bénéficie de plafonds modulés mais reste tenue de se conformer. Calibrer l’effort documentaire sur le niveau de risque réel des systèmes déployés.
6. Provisionner le risque dans la décision d’achat
Enfin, le régime de sanctions doit entrer dans l’analyse coût-bénéfice avant tout déploiement d’un outil d’IA sensible. Un système de scoring ou de présélection RH mal encadré n’expose pas seulement à une amende AI Act : il cumule le risque RGPD, le risque prud’homal en cas de discrimination, et le risque réputationnel. Intégrer cette exposition dès le choix de l’outil, plutôt qu’après un contrôle, est la démarche la plus économique. La conformité n’est pas un coût opposé à l’innovation ; elle en est la condition de pérennité.
FAQ : sanctions et amendes de l’AI Act
Quel est le montant maximum d’une amende AI Act ?
Jusqu’à 35 M€ ou 7 % du chiffre d’affaires annuel mondial (le plus élevé des deux), pour le non-respect de l’interdiction des pratiques d’IA de l’article 5. C’est le palier le plus lourd, supérieur au plafond du RGPD.
Quels manquements relèvent du palier à 15 M€ ou 3 % ?
L’essentiel des autres manquements : obligations des fournisseurs et déployeurs de systèmes à haut risque, obligations de transparence, non-respect des exigences des articles 8 à 27. C’est le palier le plus fréquent en pratique.
Les PME paient-elles les mêmes amendes ?
Non. Pour les PME et start-up, le plafond retenu est le montant le plus faible des deux termes (fixe ou pourcentage), et non le plus élevé, afin de proportionner la sanction à leur capacité économique.
Peut-on être sanctionné à la fois au titre du RGPD et de l’AI Act ?
Oui, un cumul est juridiquement possible lorsque les deux régimes protègent des intérêts distincts — les données personnelles pour le RGPD, la conformité du système d’IA pour l’AI Act. Les contours précis de cette articulation restent à confirmer par la pratique décisionnelle.
Depuis quand les sanctions AI Act s’appliquent-elles ?
Progressivement : depuis février 2025 pour les pratiques interdites, depuis août 2025 pour les GPAI, et à partir d’août 2026 pour la majorité des obligations haut risque de l’annexe III.
Comment réduire le risque de sanction ?
En documentant la conformité en amont, en supprimant tout usage potentiellement interdit, et en coopérant avec les autorités. La documentation est un facteur direct d’atténuation. Pour structurer et centraliser cette conformité IA et RGPD, un logiciel de conformité permet de tenir le registre des systèmes d’IA, les AIPD et la documentation technique à jour.