ConformiaCommencer l'audit gratuit
← Blog·EU AI Act

Amendes EU AI Act : qui risque quoi et combien ?

28 février 2026·6 min de lecture

L'EU AI Act n'est pas qu'un cadre de bonnes pratiques : c'est un règlement européen doté de sanctions financières significatives. Jusqu'à 35 millions d'euros d'amende ou 7 % du chiffre d'affaires mondial. Qui risque vraiment quoi ? Décryptage complet.

La structure des sanctions de l'EU AI Act

Le Règlement (UE) 2024/1689 prévoit un régime de sanctions à trois niveaux, proportionné à la gravité de l'infraction. Ces sanctions sont définies aux articles 99 à 101 du règlement et seront infligées par les autorités nationales compétentes (en France, potentiellement la CNIL et d'autres régulateurs sectoriels).

Niveau 1 — Infractions les plus graves : 35 millions € ou 7 % du CA

Le niveau de sanction le plus élevé s'applique aux violations des interdictions absolues prévues à l'article 5 du règlement. Ces pratiques sont interdites parce qu'elles portent atteinte aux droits fondamentaux de façon inacceptable.

Infractions concernées :

  • Utilisation de techniques de manipulation subliminale ou exploitant des vulnérabilités
  • Systèmes de notation sociale ("social scoring") des citoyens par les autorités publiques
  • Reconnaissance biométrique à distance en temps réel dans les espaces publics (hors exceptions)
  • Systèmes d'IA qui exploitent les vulnérabilités de groupes spécifiques (âge, handicap)
  • Identification biométrique rétroactive dans des espaces publics à des fins de répression pénale non autorisée

Amende maximale : 35 millions d'euros OU 7 % du chiffre d'affaires annuel mondial total de l'exercice précédent, selon le montant le plus élevé. Pour une PME avec 5 millions d'euros de CA, cela représente 350 000 euros maximum si le pourcentage est retenu, ou 35 millions si le montant fixe est appliqué.

Niveau 2 — Non-conformité sur les systèmes à risque élevé : 15 millions € ou 3 % du CA

Ce niveau concerne le non-respect des obligations applicables aux systèmes à risque élevé (articles 8 à 15), aux opérateurs (articles 16 à 29), aux organismes notifiés, et certaines autres dispositions.

Infractions concernées :

  • Absence de documentation technique pour un système à risque élevé
  • Non-respect des exigences de supervision humaine
  • Défaut d'enregistrement dans la base de données UE obligatoire
  • Non-signalement d'incidents graves aux autorités compétentes
  • Mise sur le marché d'un système non conforme sans déclaration CE
  • Non-coopération avec les autorités de surveillance du marché

Amende maximale : 15 millions d'euros OU 3 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. C'est la catégorie qui concerne le plus grand nombre de PME françaises utilisant de l'IA dans des contextes RH, financiers ou médicaux.

Niveau 3 — Informations incorrectes aux autorités : 7,5 millions € ou 1,5 % du CA

Ce niveau s'applique à la fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités compétentes, aux organismes notifiés ou aux organismes de surveillance. Amende maximale : 7,5 millions d'euros ou 1,5 % du CA mondial.

Adaptation pour les PME et les startups

Le règlement prévoit explicitement une proportionnalité pour les PME et microentreprises (article 99, paragraphe 6). Les autorités nationales compétentes doivent tenir compte de la taille et des ressources de l'entreprise, notamment pour les petites structures. En pratique, cela signifie que les autorités auront une certaine discrétion pour fixer les amendes en dessous des plafonds maximaux pour les PME de bonne foi qui ont fait des efforts de conformité.

Important : la proportionnalité ne signifie pas l'exemption. Elle signifie que l'amende peut être réduite par rapport au maximum légal. Une PME reste exposée aux sanctions — elles seront simplement calibrées à sa taille.

Qui sont les autorités de contrôle en France ?

La France est en cours de désignation de ses autorités compétentes. Il est probable que plusieurs autorités sectorielles seront impliquées selon le domaine d'application : la CNIL pour les aspects données, l'ANSM pour le médical, l'ACPR pour la finance. La Commission européenne dispose également de pouvoirs de surveillance directe pour les modèles d'IA à usage général et les fournisseurs de systèmes à risque systémique.

Comment minimiser son exposition aux sanctions

  1. Réaliser un audit de conformité documenté avant le 2 août 2026
  2. Constituer et conserver un dossier de conformité (politique de gestion des risques IA, documentation technique, logs)
  3. Former vos équipes sur les obligations EU AI Act applicables à votre activité
  4. Vérifier les engagements contractuels de vos fournisseurs d'IA
  5. Mettre en place des processus de signalement interne des incidents
  6. Tenir un registre des activités de traitement IA à jour

La meilleure protection contre les sanctions reste la démonstration d'une démarche de conformité sérieuse. Même en cas de violation non intentionnelle, une entreprise qui peut montrer qu'elle a pris des mesures raisonnables sera traitée plus favorablement qu'une entreprise qui n'a rien fait. L'audit Conformia génère précisément ce type de documentation.

Les risques non financiers à ne pas négliger

Au-delà des amendes, l'EU AI Act donne aux autorités des pouvoirs d'injonction : obligation de retrait du marché d'un système non conforme, interdiction temporaire ou définitive d'utiliser certains systèmes IA, rappel de systèmes défectueux. Pour une entreprise dont l'IA est au cœur du service, une injonction de retrait peut être plus dévastatrice qu'une amende.

Évaluez la conformité de votre IA maintenant

Audit gratuit en 10 minutes. Rapport de conformité EU AI Act à 49 € TTC.

Démarrer l'audit gratuit →

Sans inscription · Résultat immédiat · Rapport disponible à 49 €

Autres articles

15 mars 2026

L'EU AI Act expliqué simplement aux PME françaises

Le Règlement européen sur l'IA (EU AI Act) est entré dans le droit positif en 2024. Pour les PME françaises qui utilisent des outils d'intelligence artificielle, les obligations commencent à s'appliquer à partir de 2026. Voici un guide clair pour comprendre ce qui vous concerne vraiment.

10 mars 2026

Chatbot conforme à l'EU AI Act : la checklist 2026

Les chatbots sont parmi les outils d'IA les plus répandus en entreprise. Ils sont aussi directement visés par l'EU AI Act, notamment sur les obligations de transparence. Cette checklist vous aide à vérifier la conformité de votre chatbot avant la date butoir du 2 août 2026.

5 mars 2026

EU AI Act : 5 erreurs que font les PME (et comment les éviter)

Depuis que l'EU AI Act est entré en vigueur, beaucoup de PME françaises adoptent la même posture : attendre de voir ce qui se passe. C'est souvent la première erreur d'une série. Voici les 5 pièges les plus fréquents — et comment les éviter avant le 2 août 2026.