AI Act : amendes et application — qui enquête, combien et quand

L'AI Act est en vigueur. Les autorités de contrôle existent, leurs budgets sont en cours d'allocation, et les premières procédures d'enquête sont déjà possibles pour les fournisseurs de modèles d'IA à usage général. Si vous développez ou déployez des systèmes d'IA dans l'Union européenne, comprendre la structure des amendes et identifier qui a le pouvoir de vous enquêter relève de la gestion des risques, pas de la théorie juridique.

Cet article présente une analyse précise et juridiquement exacte des trois niveaux d'amendes, des autorités compétentes à chaque niveau, de ce qui déclenche concrètement une enquête, et d'une évaluation réaliste du moment où votre organisation est exposée à un risque de conformité significatif.

La structure des amendes en trois niveaux (article 99)

L'AI Act établit trois niveaux d'amendes administratives à l'article 99. Le montant applicable correspond au plus élevé entre le plafond fixe et le pourcentage du chiffre d'affaires mondial annuel pour les grandes entreprises, et au plus faible des deux pour les PME et les organisations de taille intermédiaire.

Catégorie de violation	Plafond fixe	% du CA mondial	Règle PME
Pratiques d'IA interdites (article 5)	35 000 000 €	7 %	Le plus faible des deux
Obligations fournisseur/déployeur pour les systèmes à haut risque ; violations IAGP	15 000 000 €	3 %	Le plus faible des deux
Informations incorrectes ou trompeuses fournies aux autorités	7 500 000 €	1 %	Le plus faible des deux

Le premier niveau cible les comportements les plus graves : déployer des systèmes d'IA que l'AI Act interdit explicitement. Ces pratiques comprennent la notation sociale par des autorités publiques, l'identification biométrique à distance en temps réel dans les espaces publics sans autorisation légale, et l'IA qui exploite des vulnérabilités psychologiques. Si votre système relève de ces catégories et que vous le déployez, vous êtes exposé à l'amende maximale, indépendamment de tout préjudice démontrable.

Le deuxième niveau couvre les obligations opérationnelles que la majorité des entreprises réglementées devront respecter : évaluations de conformité, documentation technique, surveillance post-commercialisation, mécanismes de supervision humaine et obligations de transparence pour les modèles d'IA à usage général. C'est là que se concentrera l'essentiel de l'activité d'application.

Le troisième niveau vise spécifiquement les entreprises qui tentent de gérer une enquête en fournissant des données inexactes, une documentation incomplète ou des réponses trompeuses aux demandes des autorités.

Astreintes périodiques (article 100)

Au-delà des amendes ponctuelles, l'article 100 donne aux autorités de contrôle le pouvoir d'imposer des astreintes périodiques pouvant atteindre 5 % du chiffre d'affaires journalier mondial moyen. Ces paiements se poursuivent jusqu'à ce que l'entreprise se mette en conformité. Pour une entreprise réalisant 100 millions d'euros de chiffre d'affaires annuel, cela représente environ 13 700 euros par jour. Les astreintes sont un outil visant à contraindre l'action, pas seulement à sanctionner des comportements passés.

Sanctions pénales

L'AI Act lui-même ne crée pas d'infractions pénales : cela reste une prérogative des États membres. Plusieurs États membres de l'UE devraient légiférer une responsabilité pénale pour les violations les plus graves de l'AI Act, en particulier celles impliquant des pratiques interdites causant un préjudice à des personnes. Les entreprises opérant en Allemagne, en France ou en Italie doivent notamment suivre l'évolution de la législation nationale de transposition.

Qui applique quoi : l'architecture de l'application

L'AI Act répartit délibérément l'application entre plusieurs organes selon le type de système d'IA concerné.

Le Bureau de l'IA de l'UE

Le Bureau de l'IA de l'UE, établi au sein de la Commission européenne, dispose d'un pouvoir d'application directe sur les fournisseurs de modèles d'intelligence artificielle à usage général (IAGP), en vertu des articles 88 à 94. Il s'agit de la seule autorité de contrôle disposant d'une compétence directe à l'échelle de l'UE sur une catégorie spécifique d'entreprises.

Si vous fournissez un modèle IAGP, c'est-à-dire un modèle entraîné sur de grandes quantités de données et capable d'accomplir un large éventail de tâches, le Bureau de l'IA peut initier des enquêtes, demander des documents, réaliser des évaluations et imposer des amendes directement. Les obligations IAGP sont entrées en vigueur en août 2025. Les pouvoirs d'application du Bureau de l'IA sont actifs depuis cette date.

Le Code de bonnes pratiques pour l'IAGP, élaboré sous la supervision du Bureau de l'IA, offre aux fournisseurs de modèles une voie structurée pour démontrer leur conformité. Le respect de ce Code est considéré comme un facteur atténuant dans les procédures d'application.

Les autorités nationales de surveillance du marché

Pour les systèmes d'IA à haut risque listés à l'annexe III, qui couvrent des domaines tels que la sélection de l'emploi, le scoring de crédit, l'identification biométrique, les infrastructures critiques, l'éducation et les forces de l'ordre, les autorités nationales de surveillance du marché (ASM) de chaque État membre constituent les principales autorités d'application.

Il s'agit généralement des mêmes organismes qui font respecter les réglementations relatives à la sécurité des produits. En Allemagne, cette fonction sera assurée par le BAuA et des régulateurs sectoriels. En France, la DGCCRF et l'ANSSI jouent des rôles pertinents. En Irlande, qui accueille les sièges sociaux européens de nombreuses grandes entreprises technologiques, le cadre d'application est encore en cours de finalisation.

Les cadres nationaux d'application doivent être pleinement opérationnels d'ici août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus), date à laquelle les obligations relatives aux systèmes d'IA à haut risque deviennent pleinement applicables. Jusqu'à cette date, les autorités nationales se préparent, mais une application systématique contre les fournisseurs d'IA à haut risque n'est pas encore attendue à grande échelle.

Les autorités de protection des données

Lorsqu'une violation de l'AI Act implique également le traitement de données personnelles, les autorités de protection des données (APD) peuvent agir de manière concomitante en vertu du RGPD. Plusieurs États membres ont désigné leur APD comme l'autorité compétente pour l'application de l'AI Act dans des domaines spécifiques, notamment lorsque le système d'IA traite des données personnelles à titre principal. La CNIL française, par exemple, a indiqué un intérêt actif pour l'audit des systèmes d'IA.

Les APD n'appliquent pas l'AI Act de manière indépendante : leur rôle est coordonné avec l'ASM nationale. Cependant, une entreprise faisant l'objet d'une enquête RGPD peut simultanément faire face à un examen au titre de l'AI Act.

Les régulateurs sectoriels

Certains secteurs disposent de leur propre couche d'application :

Services financiers : l'Autorité bancaire européenne (ABE), l'Autorité européenne des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP) fournissent des orientations et peuvent se coordonner avec les ASM nationales pour les systèmes d'IA utilisés dans les contextes de crédit, d'investissement et d'assurance.
Dispositifs médicaux : les organismes notifiés au titre du RDM et du RDIV évaluent les dispositifs intégrant de l'IA. Leurs conclusions peuvent déclencher des examens de conformité au titre de l'AI Act par l'autorité nationale compétente.
Aviation et automobile : les autorités de sécurité dans ces secteurs peuvent agir comme organismes de coordination pour les systèmes d'IA à haut risque déployés dans des infrastructures critiques.

Le Comité européen de l'IA

Le Comité européen de l'IA (article 65) est un organe de coordination, pas une autorité d'application directe. Il réunit les représentants des autorités de surveillance nationales et du Bureau de l'IA pour assurer une application cohérente de l'AI Act dans tous les États membres. Le Comité peut émettre des avis, coordonner des affaires transfrontalières et recommander des mesures d'application aux autorités nationales, mais il n'impose pas lui-même des amendes ni ne conduit des enquêtes.

Ce qui déclenche une enquête

Comprendre ce qui provoque une action de contrôle est au moins aussi important que de comprendre les sanctions.

Signalement des incidents graves

En vertu de l'article 73, les fournisseurs de systèmes d'IA à haut risque sont tenus de signaler les incidents graves à l'autorité nationale de surveillance du marché compétente, sans retard injustifié. Un incident grave est défini comme tout incident qui entraîne, ou pourrait entraîner, le décès ou un préjudice grave pour la santé de personnes, une perturbation grave et irréversible de la fourniture de services essentiels, ou un préjudice significatif pour les droits fondamentaux.

Les déployeurs de systèmes d'IA à haut risque ont une obligation parallèle au titre de l'article 74 : notifier le fournisseur et l'autorité compétente lorsqu'ils identifient un incident grave ou un dysfonctionnement.

Les rapports d'incidents constituent un déclencheur direct de l'examen réglementaire. Une entreprise qui se signale spontanément est dans une position sensiblement meilleure que celle où l'incident est découvert de manière indépendante.

Enquêtes de surveillance du marché

Les ASM nationales ont le pouvoir d'initier des enquêtes sur la base de leur propre renseignement, de contrôles sectoriels et d'évaluations des risques. Elles n'ont pas besoin d'une plainte spécifique pour ouvrir un dossier. Les affaires transfrontalières, où un système est fourni depuis un État membre et déployé dans plusieurs autres, sont coordonnées par le Comité européen de l'IA.

Plaintes de personnes et d'organisations

Toute personne physique ou morale qui estime avoir été affectée par un système d'IA non conforme peut déposer une plainte auprès de l'autorité compétente. Les organisations de la société civile, les syndicats et les associations de consommateurs développent déjà des mécanismes de plainte. L'AI Act exige explicitement que les autorités traitent ces plaintes et informent les plaignants des résultats.

Renvois du Bureau de l'IA et examens de sa propre initiative

Le Bureau de l'IA peut renvoyer des préoccupations liées à l'IAGP aux autorités nationales et peut initier ses propres examens des modèles IAGP de manière indépendante. À mesure que le Bureau de l'IA renforce sa capacité opérationnelle tout au long de 2025 et 2026, le volume des examens de sa propre initiative devrait augmenter.

Qui est réellement exposé aujourd'hui

Le risque d'application n'est pas uniforme. Voici une évaluation réaliste à mi-2026.

Risque à court terme le plus élevé : les fournisseurs de modèles IAGP ayant des utilisateurs dans l'UE. Le Bureau de l'IA est actif depuis août 2025, les obligations IAGP sont pleinement en vigueur, et le Bureau de l'IA a signalé son intention de donner la priorité aux modèles présentant un risque systémique. Si vous fournissez un modèle fondamental ou un modèle à usage général à grande échelle, vous êtes dans le champ d'application dès maintenant.

Risque à court terme moyen : les entreprises déployant des systèmes d'IA à haut risque dans des secteurs réglementés, notamment le crédit, la sélection de l'emploi et la santé, qui n'ont pas encore entamé leur processus d'évaluation de la conformité. Bien qu'une application nationale systématique ne commence qu'en août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus), les enquêtes déclenchées par des incidents peuvent survenir à tout moment.

Risque à court terme plus faible (mais croissant) : les déployeurs de systèmes d'IA à risque limité et les entreprises utilisant des outils d'IA achetés dans le commerce. Les obligations des déployeurs sont moins lourdes, mais elles ne sont pas nulles. Les déployeurs qui ne réalisent pas d'ADFR là où cela est requis, ou qui ne tiennent pas les journaux d'utilisation requis par l'article 26, accumulent un retard de conformité.

Facteurs atténuants

Les autorités de contrôle sont tenues de prendre en compte les facteurs atténuants lors du calcul des amendes. Il s'agit notamment :

Des efforts de conformité de bonne foi documentés : disposer d'un dossier technique, même incomplet, démontre une intention
La participation à un bac à sable réglementaire agréé (article 57)
La coopération volontaire avec l'autorité d'enquête
Le respect du Code de bonnes pratiques pour l'IAGP
La remédiation rapide des problèmes identifiés
Le signalement spontané des incidents graves plutôt que d'attendre d'être découvert

L'implication pratique est claire : entamer votre processus de conformité maintenant, et le documenter, réduit matériellement votre exposition même si votre conformité n'est pas encore complète.

Générer votre documentation de conformité

Les quatre documents qui comptent le plus dans un contexte d'application sont la Documentation technique (annexe IV), la Déclaration UE de conformité, l'Analyse d'impact sur les droits fondamentaux (ADFR) et l'Avis de transparence. Ensemble, ils démontrent que vous avez évalué votre système, compris ses risques et pris des mesures proportionnées pour les gérer.

DilAIg génère ces quatre documents à partir d'un audit structuré en 50 questions, vous fournissant ainsi la piste documentaire que les autorités de contrôle recherchent et que les évaluations des facteurs atténuants récompensent. Démarrez votre audit sur dilaig.com.

FAQ : Amendes et application de l'AI Act

Q : Puis-je recevoir une amende avant août 2026 ? Oui, si vous êtes un fournisseur de modèle IAGP. Les obligations IAGP s'appliquent depuis août 2025 et le Bureau de l'IA peut les faire respecter dès maintenant. Pour les systèmes d'IA à haut risque, le cadre national complet d'application s'applique à partir d'août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus), mais des enquêtes déclenchées par des incidents sont possibles à tout moment.

Q : Le pourcentage ou le montant fixe s'applique-t-il ? Pour les grandes entreprises, le plus élevé des deux s'applique. Pour les PME et les micro-entreprises, le plus faible des deux s'applique. La définition de « PME » suit ici la définition standard de l'UE : moins de 250 salariés et soit un chiffre d'affaires annuel inférieur à 50 millions d'euros, soit un bilan inférieur à 43 millions d'euros.

Q : Quelle est la différence entre un fournisseur et un déployeur pour les besoins de l'application ? Les fournisseurs, c'est-à-dire les entreprises qui développent et mettent des systèmes d'IA sur le marché, supportent les obligations les plus lourdes et font face aux amendes les plus élevées. Les déployeurs, c'est-à-dire les organisations qui utilisent un système d'IA dans leurs propres opérations, ont des obligations plus légères mais restent soumis aux amendes de l'article 99 pour les violations de leurs devoirs spécifiques, notamment l'absence de réalisation d'une ADFR là où elle est requise ou l'absence de tenue de journaux d'utilisation.

Q : Si j'achète un système d'IA auprès d'un fournisseur tiers, suis-je toujours exposé ? Oui, en tant que déployeur. Si le système du fournisseur n'est pas conforme et que vous le déployez, vous partagez la responsabilité de conformité. Vous devez exiger de vos fournisseurs d'IA qu'ils fournissent des preuves d'évaluation de la conformité et de documentation technique. L'allocation contractuelle de la responsabilité au titre de l'AI Act devient un élément standard des achats de logiciels d'entreprise.

Q : La coopération avec le Bureau de l'IA aide-t-elle si vous faites l'objet d'une enquête ? Oui, de manière significative. La coopération est explicitement listée comme facteur atténuant dans les calculs d'amendes. Fournir promptement une documentation complète, répondre avec précision aux demandes d'information et signaler spontanément les problèmes réduit à la fois la probabilité de l'amende maximale et la durée de l'enquête.

Principaux points à retenir

L'AI Act établit trois niveaux d'amendes : jusqu'à 35 M€/7 % pour les pratiques interdites, 15 M€/3 % pour les violations des obligations des fournisseurs et déployeurs, et 7,5 M€/1 % pour la fourniture d'informations incorrectes aux autorités.
Pour les grandes entreprises, le plus élevé entre le montant fixe et le pourcentage s'applique. Pour les PME, c'est le plus faible.
Le Bureau de l'IA de l'UE applique directement les règles aux fournisseurs de modèles IAGP. Les autorités nationales de surveillance du marché s'occupent des fournisseurs et déployeurs de systèmes d'IA à haut risque.
L'application des règles IAGP est active depuis août 2025. L'application nationale complète pour les systèmes à haut risque débute en août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus).
Les enquêtes peuvent être déclenchées par des signalements d'incidents graves, des contrôles de surveillance du marché, des plaintes individuelles ou des renvois du Bureau de l'IA.
Les efforts de conformité documentés, le signalement spontané d'incidents et la coopération avec les autorités sont tous des facteurs atténuants reconnus.
Les quatre documents obligatoires, à savoir la Documentation technique, la Déclaration de conformité, l'ADFR et l'Avis de transparence, constituent le socle probatoire de toute défense face à une procédure d'application.