Sanctions AI Act : ce que risque votre entreprise en cas de non-conformite
L AI Act prevoit un regime de sanctions inspire du RGPD avec trois niveaux gradues. Les amendes peuvent atteindre 35 millions d euros ou 7 pourcent du chiffre d affaires mondial. Les sanctions nationales deviennent applicables le 2 aout 2026.
Le bareme des sanctions
Les autorites nationales retiennent toujours le montant le plus eleve entre le plafond fixe et le pourcentage du chiffre d affaires. Pour une entreprise realisant 500 millions d euros de CA, le plafond reel pour une pratique interdite est de 35 millions d euros (le plafond fixe). Pour une entreprise a 5 milliards d euros de CA, ce plafond monte a 350 millions d euros (7 pourcent du CA).
L AI Act peut sanctionner plus durement que le RGPD. Le plafond maximal du RGPD est de 20 millions d euros ou 4 pourcent du CA. L AI Act monte a 35 millions d euros ou 7 pourcent du CA pour les pratiques interdites. Et les deux regimes peuvent se cumuler en cas de violation simultanee.
Plafonds proportionnes pour les PME
Pour les PME et les startups, l AI Act prevoit des plafonds proportionnes : l autorite retient le plus bas des deux montants (plafond fixe ou pourcentage), pas le plus eleve. C est une mesure d adaptation pour ne pas mettre en peril les petites structures, mais cela ne signifie pas une exemption.
Facteurs aggravants et attenuants
L autorite competente fixe le montant de l amende en tenant compte de plusieurs criteres :
- Gravite et duree de l infraction.
- Nombre de personnes affectees et niveau du dommage subi.
- Caractere intentionnel ou negligent du manquement.
- Cooperation avec l autorite competente.
- Mesures prises pour attenuer le dommage.
- Anteriorite de manquements similaires.
- Situation financiere de l entite (chiffre d affaires).
- Existence et qualite du programme de conformite et de formation.
Une entreprise qui n a pas mis en place de programme de formation de ses collaborateurs au titre de l Article 4 sera consideree comme negligente, ce qui aggrave automatiquement l amende. Inversement, un programme de formation documente est une circonstance attenuante. Voir nos formations AI Act.
Responsabilite des dirigeants
L AI Act ne prevoit pas explicitement une responsabilite penale personnelle des dirigeants comme NIS2, mais il existe plusieurs leviers indirects :
- Responsabilite civile : un dirigeant peut etre poursuivi pour faute de gestion s il n a pas mis en place les mesures necessaires.
- Devoir de diligence : les administrateurs ont un devoir de surveillance des risques majeurs, dont l AI Act fait desormais partie.
- Image et reputation : la publication des sanctions peut avoir un impact considerable.
Autres sanctions et mesures correctives
L amende n est qu un volet du dispositif. L autorite competente peut egalement :
- Ordonner la mise en conformite dans un delai imparti.
- Suspendre ou retirer la mise sur le marche d un systeme.
- Interdire l usage d un systeme dans des conditions specifiques.
- Imposer le retrait du marche d un systeme non conforme.
- Rendre publique la sanction (effet reputationnel).
Quelles autorites prononcent les sanctions ?
Chaque Etat membre designe ses autorites competentes. En France, plusieurs autorites cohabitent :
- La CNIL pour le volet donnees personnelles et plusieurs aspects.
- La DGCCRF pour la surveillance du marche (produits IA).
- L Arcom pour les contenus generes par IA et la regulation des plateformes.
Une autorite chef de file devrait etre designee dans le cadre de la transposition operationnelle du reglement.
Pour eviter les sanctions, engagez votre demarche : voir notre guide de mise en conformite, nos formations AI Act et le guide complet.