Sanctions IA Act : amendes et régime de gouvernance européen

Le règlement (UE) 2024/1689 — l'IA Act — prévoit trois paliers d'amendes : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour la violation des pratiques interdites (article 5), jusqu'à 15 M€ ou 3 % du CA pour les autres manquements, et jusqu'à 7,5 M€ ou 1 % du CA pour la fourniture d'informations inexactes. Ce régime, applicable depuis le 2 août 2025, est mis en œuvre par une gouvernance à deux étages : le Bureau de l'IA et le Comité IA au niveau européen, complétés par les autorités nationales de surveillance du marché. Décryptage du dispositif répressif et institutionnel.

L'essentiel en 30 secondes

  • Articles clés : article 99 (sanctions), articles 64-70 (gouvernance)
  • Sanctions applicables depuis : 2 août 2025
  • 3 paliers d'amendes : 35 M€/7 % • 15 M€/3 % • 7,5 M€/1 %
  • Acteur central UE : Bureau de l'IA (AI Office), créé en janvier 2024
  • Acteur national : autorités de surveillance du marché désignées par chaque État membre
  • Allègement PME : montant le plus faible des deux critères retenu

Pourquoi un régime de sanctions aussi élevé ?

Le législateur européen a délibérément calé les amendes maximales sur les plus hauts plafonds connus du droit européen, voire au-delà : 7 % du chiffre d'affaires mondial dépasse même le seuil du RGPD (4 %). L'objectif est explicite : rendre les sanctions « effectives, proportionnées et dissuasives », selon les termes de l'article 99 du règlement.

Cette sévérité s'explique par trois facteurs :

  • la gravité des atteintes potentielles aux droits fondamentaux (surveillance de masse, manipulation, discrimination algorithmique) ;
  • la puissance financière des principaux acteurs de l'IA, qui rend inopérantes des amendes plafonnées en valeur absolue ;
  • la volonté d'effet Bruxelles : forcer les géants extra-européens à adapter mondialement leurs pratiques pour éviter les sanctions sur le marché unique.

Avant d'entrer dans le détail, rappelons que ces sanctions s'appliquent à tous les acteurs de la chaîne de valeur — fournisseurs, déployeurs, importateurs, distributeurs, mandataires — selon le rôle exact identifié à l'article 3.

I. Les 3 paliers d'amendes administratives (article 99)

L'article 99 du règlement définit trois niveaux d'amendes maximales, calibrés sur la gravité de l'infraction.

Palier 1 : Violation de l'article 5 : jusqu'à 35 M€ ou 7 % du CA mondial

Le palier le plus élevé sanctionne le non-respect des pratiques interdites par l'article 5 : manipulation cognitive, exploitation des vulnérabilités, notation sociale, prédiction policière par profilage, moissonnage d'images faciales, reconnaissance des émotions au travail/école, catégorisation biométrique sensible, identification biométrique à distance en temps réel non autorisée.

Plafond applicable : 35 000 000 € ou 7 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

À titre de comparaison, 7 % du CA mondial de Google (Alphabet) en 2024 (environ 350 milliards $) représenterait une amende théorique supérieure à 24 milliards d'euros. Le législateur a voulu un effet d'épée de Damoclès.

Palier 2 : Manquements aux obligations générales : jusqu'à 15 M€ ou 3 % du CA

Le deuxième palier couvre les manquements aux obligations majeures hors article 5 :

  • obligations des fournisseurs (article 16) ;
  • obligations des mandataires (article 22) ;
  • obligations des importateurs (article 23) ;
  • obligations des distributeurs (article 24) ;
  • obligations des déployeurs (article 26) ;
  • exigences applicables aux organismes notifiés ;
  • obligations de transparence des fournisseurs et déployeurs (article 50).

Plafond applicable : 15 000 000 € ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Cela couvre par exemple : un système d'IA à haut risque mis sur le marché sans marquage CE, un chatbot ne déclarant pas son caractère artificiel, ou un système d'IA classé à tort comme « non haut risque » par son fournisseur pour échapper aux obligations.

Palier 3 : Informations inexactes : jusqu'à 7,5 M€ ou 1 % du CA

Le troisième palier sanctionne la fourniture aux autorités d'informations incorrectes, incomplètes ou trompeuses, que ce soit en réponse à une demande d'information, lors d'un contrôle ou dans la documentation technique.

Plafond applicable : 7 500 000 € ou 1 % du chiffre d'affaires annuel mondial.

💡 À retenir : pour chaque palier, c'est toujours le montant le plus élevé entre la somme fixe et le pourcentage qui s'applique aux entreprises.

Le régime allégé pour les PME et start-up

Pour ne pas freiner l'innovation européenne, l'article 99 prévoit une dérogation importante : pour les PME, y compris les jeunes pousses, c'est le montant ou le pourcentage le plus faible des deux critères qui s'applique (et non le plus élevé).

Concrètement, une start-up dont le CA mondial est de 2 millions d'euros qui violerait l'article 5 verrait son amende plafonnée à 140 000 € (7 % de 2 M€) et non à 35 M€. Cette précaution préserve la viabilité économique des petites structures.

Le cas particulier des institutions de l'UE

Les institutions, organes et agences de l'Union européenne ne sont pas exemptés du règlement. Le Contrôleur européen de la protection des données (CEPD) peut leur infliger des amendes administratives :

  • jusqu'à 1 500 000 € en cas de recours à une pratique interdite par l'article 5 ;
  • jusqu'à 750 000 € pour les autres types de non-conformité.

Les montants sont moins élevés, mais la nature symbolique d'une condamnation d'une institution européenne pèserait lourdement.

II. La gouvernance européenne : Bureau de l'IA et Comité IA

L'architecture institutionnelle de surveillance repose sur quatre organes principaux au niveau de l'Union, complétés par les autorités nationales.

Le Bureau de l'IA (AI Office) : article 64

Créé par décision de la Commission européenne le 24 janvier 2024, le Bureau de l'IA est l'organe central de coordination pour la politique de l'IA au niveau de l'Union. Il est intégré au sein de la Commission, à la DG CNECT.

Ses missions principales :

  • développer l'expertise et les capacités de l'Union dans le domaine de l'IA ;
  • surveiller et contrôler le respect des obligations relatives aux modèles d'IA à usage général (GPAI), sur lesquels il dispose de compétences exclusives ;
  • élaborer des lignes directrices sur l'application du règlement ;
  • gérer la base de données européenne des systèmes d'IA à haut risque ;
  • soutenir la coopération internationale sur la gouvernance de l'IA.

Le Bureau de l'IA dispose de pouvoirs d'enquête étendus sur les GPAI : il peut demander la documentation technique, conduire des évaluations, et infliger directement des amendes aux fournisseurs de modèles à usage général via une procédure spécifique (article 101).

Le Comité européen de l'IA (Comité IA) : articles 65-66

Le Comité IA réunit un représentant par État membre, désigné pour 3 ans renouvelables une fois. Le CEPD participe en qualité d'observateur, et le Bureau de l'IA assiste aux réunions sans droit de vote.

Sa mission est de conseiller la Commission et de contribuer à l'application uniforme du règlement à travers l'Union. Concrètement, il :

  • émet des avis et recommandations sur l'interprétation du règlement ;
  • favorise la coordination entre autorités nationales de surveillance ;
  • contribue à l'élaboration des normes harmonisées et codes de conduite ;
  • assure la cohérence transfrontière des pratiques de contrôle.

Le Groupe scientifique d'experts indépendants : article 68

Ce panel d'experts indépendants soutient les activités de contrôle, notamment en émettant des alertes qualifiées sur les risques systémiques liés aux modèles d'IA à usage général. Il peut déclencher la procédure de désignation d'un GPAI comme « modèle à risque systémique » par la Commission.

Le Forum consultatif : article 67

Espace de dialogue ouvert aux parties prenantes (industrie, PME, société civile, milieu universitaire, organisations de défense des droits), le Forum consultatif apporte son expertise technique au Comité IA et à la Commission. Il garantit une représentation équilibrée des intérêts en présence.

III. Les autorités nationales de surveillance

Chaque État membre doit désigner ses propres autorités compétentes, qui assurent la surveillance opérationnelle sur leur territoire.

Au minimum deux autorités par État membre

L'article 70 du règlement impose la désignation d'au moins deux autorités :

  • une autorité notifiante, chargée d'évaluer, de désigner et de contrôler les organismes notifiés (ceux qui réalisent les évaluations de conformité tierce partie) ;
  • une ou plusieurs autorités de surveillance du marché, chargées du contrôle effectif sur le terrain.

Ces autorités doivent disposer des ressources financières, techniques et humaines suffisantes pour accomplir leurs missions de manière indépendante et impartiale.

Des autorités sectorielles préservées

Pour les systèmes d'IA déjà couverts par une législation sectorielle (services financiers, dispositifs médicaux, véhicules à moteur…), c'est l'autorité sectorielle compétente qui devient l'autorité de surveillance pour les exigences de l'IA Act. Exemple : l'autorité de surveillance financière nationale supervise les IA utilisées par les banques pour le scoring crédit.

Pouvoirs d'enquête étendus

Les autorités de surveillance du marché disposent de pouvoirs d'investigation puissants :

  • accès à la documentation technique complète, y compris aux jeux de données d'entraînement ;
  • conduite d'inspections inopinées ;
  • pouvoir d'exiger des mesures correctives, le retrait du marché ou le rappel d'un système ;
  • coopération transfrontière via le Comité IA en cas d'incident multi-pays.

⚠️ À noter : si une autorité nationale constate qu'un fournisseur a mal classé son système comme « non haut risque » pour échapper aux obligations, le fournisseur encourt directement les amendes du palier 2 (article 80.7).

IV. Calendrier d'application : ce qui s'applique quand

Le règlement est entré en vigueur le 1ᵉʳ août 2024, mais son application est volontairement progressive pour laisser aux acteurs le temps de s'adapter.

DateDisposition applicable
1ᵉʳ août 2024Entrée en vigueur du règlement
2 février 2025Pratiques interdites (article 5) + définition du système d'IA
2 août 2025Régime de sanctions + obligations GPAI + gouvernance + autorités nationales notifiées
2 août 2026Application générale (la plupart des autres dispositions)
2 août 2027Systèmes d'IA à haut risque liés aux produits réglementés (annexe I)

Point clé : même avant le 2 août 2025, les interdictions de l'article 5 étaient déjà applicables depuis le 2 février 2025. Les parties affectées peuvent en demander l'exécution devant les juridictions nationales, et les autorités peuvent procéder à des inspections inopinées dès cette date.

V. La procédure de sanction : du contrôle à l'amende

Le processus de sanction n'est pas automatique. Il suit une procédure structurée garantissant les droits de la défense.

Étape 1 : Détection du manquement

Le manquement peut être détecté par plusieurs voies :

  • contrôle proactif de l'autorité de surveillance du marché ;
  • signalement par un lanceur d'alerte (protégé par la directive UE 2019/1937) ;
  • plainte d'une personne affectée ;
  • alerte du Bureau de l'IA ou d'une autre autorité nationale ;
  • alerte du Groupe scientifique pour les GPAI.

Étape 2 : Évaluation et droit d'être entendu

L'autorité conduit une évaluation de conformité du système. L'opérateur visé est informé des constatations préliminaires et dispose d'un droit d'être entendu avant toute décision.

Étape 3 : Mesures correctives

Avant toute amende, l'autorité peut imposer des mesures correctives : modification du système, formation, mise à jour de la documentation, retrait temporaire… L'opérateur dispose d'un délai raisonnable pour s'y conformer.

Étape 4 : Sanction et recours

Si les mesures correctives ne suffisent pas, ou si l'infraction est suffisamment grave, l'autorité prononce une amende administrative selon les paliers de l'article 99. Pour fixer le montant, elle tient compte :

  • de la nature, gravité et durée de la violation ;
  • du nombre de personnes affectées ;
  • de l'intentionnalité ou de la négligence ;
  • des mesures prises pour atténuer le préjudice ;
  • des antécédents de l'opérateur ;
  • des engagements pris dans le cadre de codes de bonne pratique.

L'opérateur peut former un recours juridictionnel contre la décision. Pour les sanctions infligées par la Commission aux fournisseurs de GPAI, la Cour de justice de l'Union européenne statue avec compétence de pleine juridiction.

Conclusion : anticiper plutôt que subir

Le régime de sanctions de l'IA Act est l'un des plus sévères jamais conçus en droit numérique européen. Mais il s'inscrit dans une logique de conformité par anticipation plutôt que de répression aveugle. Trois recommandations stratégiques :

  1. Cartographier les risques : identifier les systèmes d'IA exposés à chaque palier de sanction (article 5, haut risque, transparence).
  2. Documenter la conformité : conserver les preuves d'évaluation, de classification, de tests, de formation. C'est la première ligne de défense en cas de contrôle.
  3. Surveiller les évolutions : le Bureau de l'IA publie régulièrement des lignes directrices, des seuils mis à jour (notamment pour les GPAI) et des codes de bonne pratique. La conformité IA n'est pas un état figé, mais un processus continu.

Avec cet article, nous bouclons la série de fondations sur l'IA Act. Vous disposez désormais d'une compréhension complète des objectifs, de la définition d'un système d'IA, des niveaux de risque, des pratiques interdites, des rôles dans la chaîne de valeur, et du régime de sanctions et de gouvernance. Dans les prochains contenus, nous explorerons les exigences détaillées par cas d'usage (recrutement, santé, finance, secteur public…) et les stratégies de conformité opérationnelle.

FAQ – Sanctions IA Act en 4 questions

Quelle est l'amende maximale prévue par l'IA Act ? 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu, pour les violations des pratiques interdites par l'article 5. C'est le plafond le plus élevé du règlement, supérieur même à celui du RGPD (4 % du CA).

Quand le régime de sanctions est-il applicable ? Depuis le 2 août 2025. Cependant, les interdictions de l'article 5 étaient déjà applicables dès le 2 février 2025, et les parties affectées pouvaient en demander l'exécution devant les juridictions nationales.

Qui contrôle l'application de l'IA Act ? Une gouvernance à deux étages : au niveau européen, le Bureau de l'IA (compétent sur les GPAI), le Comité IA (coordination des États membres), le Groupe scientifique d'experts et le Forum consultatif. Au niveau national, chaque État membre désigne au moins une autorité de surveillance du marché et une autorité notifiante. Le CEPD fait office d'autorité de surveillance pour les institutions de l'UE.

Les PME bénéficient-elles d'un régime allégé ? Oui. Pour les PME et start-up, c'est le montant le plus faible entre la somme fixe et le pourcentage du chiffre d'affaires qui s'applique — alors que c'est le plus élevé pour les grandes entreprises. Cette dérogation préserve la viabilité économique des petites structures et évite de freiner l'innovation européenne.

Pour aller plus loin

Cet article fait partie de notre guide complet sur l'IA Act qui couvre l'ensemble du règlement (UE) 2024/1689.

Découvrez les autres articles de la série :

Sources officielles :

IZIRO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaite réserver un appel !