Sanctions AI Act : montants et mécanismes

Le régime de sanctions du règlement européen sur l’intelligence artificielle (AI Act) constitue l’un des éléments les plus structurants du dispositif de conformité. Inspire du régime sanctionnateur du RGPD, dont l’expérience a démontre l’efficacité pour inciter à la conformité, le AI Act établit un système d’amendes administratives a trois niveaux, proportionnels à la gravité des violations. Pour les entreprises développant ou déployant des systèmes d’IA en Europe, la compréhension de ce régime est indispensable à une gestion adequte des risques juridiques et financiers.

Les montants des amendes prévues par le AI Act figurent parmi les plus élevés du droit européen, reflétant la détermination du législateur à assurer l’effectivité du cadre réglementaire. Combine avec les sanctions RGPD, le risque financier global lié à un système d’IA non conforme peut atteindre des niveaux sans précédent.

Les trois niveaux de sanctions

Niveau 1 : violations des pratiques interdites (article 99, paragraphe 3)

Le plafond le plus élevé concerne les violations des pratiques d’IA interdites par l’article 5 du règlement. Ces pratiques, jugées contraires aux valeurs fondamentales de l’Union européenne, font l’objet de la sanction la plus sévère.

Les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Ce plafond dépasse celui du RGPD (20 millions d’euros ou 4 % du chiffre d’affaires) et souligne la gravité particulière que le législateur attache aux pratiques d’IA interdites.

Les violations concernées incluent les systèmes de manipulation subliminale, les systèmes exploitant les vulnérabilités, les systèmes de notation sociale, l’identification biométrique à distance en temps réel dans les espaces publics (hors exceptions), la categorisation biométrique fondée sur des données sensibles, le moissonnage non ciblé d’images faciales et la reconnaissance des emotions sur le lieu de travail et dans les établissements d’enseignement (hors exceptions).

Niveau 2 : violations des obligations de conformité (article 99, paragraphe 4)

Le deuxième niveau concerne les violations des obligations de conformité applicables aux systèmes d’IA à haut risque et aux autres obligations du règlement.

Les amendes peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial total de l’exercice précédent. Ce plafond s’appliqué aux violations des obligations relatives au système de gestion des risques (article 9), à la qualité des données (article 10), à la documentation technique (article 11), à l’enregistrement automatique des évènements (article 12), à la transparence et à l’information des deployeurs (article 13), au contrôle humain (article 14), à la précision, la robustesse et la cybersécurité (article 15), au système de gestion de la qualité (article 17), à l’évaluation de conformité (articles 43 et suivants), aux obligations de transparence applicables à certains systèmes d’IA (article 50) et aux obligations des fournisseurs de modèles d’IA a usage général (articles 53 et suivants).

Niveau 3 : fourniture d’informations inexactes (article 99, paragraphe 5)

Le troisième niveau, le moins élevé, concerne la fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifies ou aux autorités nationales compétentes.

Les amendes peuvent atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial total de l’exercice précédent. Cette sanction vise à garantir la fiabilité des informations communiquées aux autorités dans le cadre de la surveillance du marché et de l’évaluation de conformité, y compris les informations du registre des systèmes IA.

Dispositions spécifiques pour les PME et les startups

Le AI Act prévoit des dispositions d’adaptation pour les petites et moyennes entreprises et les startups. Les plafonds d’amendes sont ajustés : pour les PME (y compris les startups), le montant de l’amende retenu est le plus faible entre le montant forfaitaire et le pourcentage du chiffre d’affaires. Cette disposition vise à éviter que les sanctions ne soient disproportionnées au regard de la capacité financière de l’entreprise.

Les critères de détermination du montant des amendes

Les facteurs d’appréciation

L’article 99, paragraphe 7, du AI Act énumère les facteurs que les autorités de contrôle doivent prendre en compte pour déterminer le montant de l’amende. Ces facteurs, similaires a ceux prévus par l’article 83(2) du RGPD, incluent la nature, la gravité et la durée de la violation, en tenant compte de la finalité du système d’IA ainsi que du nombre de personnes affectées et du niveau de dommage subi, le caractère intentionnel ou negligent de la violation, les mesures prises pour atténuer le dommage subi par les personnes affectées, le degré de responsabilité du fournisseur ou du deployeur compte tenu des mesures techniques et organisationnelles mises en oeuvre, tout comportement antérieur pertinent du fournisseur ou du deployeur, le degré de coopération avec les autorités et toute autre circonstance aggravante ou atténuante applicable.

La prise en compte de ces critères confère aux autorités une marge d’appréciation significative, permettant d’adapter le montant de la sanction aux circonstances de chaque cas. L’expérience du RGPD montre que cette marge d’appréciation est effectivement utilisée, les sanctions variant considérablement en fonction des circonstances.

Le principe de proportionnalité

Le AI Act rappelle que les amendes doivent être effectives, proportionnées et dissuasives. Le principe de proportionnalité impose que le montant de l’amende soit adapte à la gravité de la violation et à la situation financière de l’entreprise sanctionnée. Une amende disproportionnée peut être contestee devant les juridictions compétentes.

Les autorités compétentes et les procédures

Les autorités nationales de surveillance du marché

Chaque État membre doit désigner une ou plusieurs autorités nationales compétentes pour la surveillance du marché et le contrôle de la conformité des systèmes d’IA. Ces autorités sont responsables du contrôle du respect des obligations du AI Act, des enquêtes, des procédures de sanction, du suivi de la mise en conformité et de la coopération avec les autorités des autres États membres et le Bureau européen de l’IA.

En France, les autorités compétentes incluent la CNIL pour les aspects relatifs aux données personnelles, l’ARCEP et d’autres autorités sectorielles selon le domaine d’application du système d’IA. La désignation précise des autorités compétentes en France est en cours de finalisation dans le cadre de la transposition du AI Act.

Le Bureau européen de l’IA (AI Office)

Le Bureau européen de l’IA, cree par le AI Act au sein de la Commission européenne, joué un rôle central dans la coordination et la surveillance. Il est directement compétent pour le contrôle des fournisseurs de modèles d’IA a usage général et dispose de pouvoirs d’enquête et de sanction propres pour ces acteurs. Les informations relatives au Bureau européen de l’IA sont disponibles sur le site de la stratégie numérique européenne.

Les pouvoirs d’enquête

Les autorités nationales compétentes disposent de pouvoirs d’enquête étendus : accès aux systèmes d’IA et aux données de test et d’entraînement, demande d’informations et de documents, réalisation d’audits et d’inspections, prélèvement d’échantillons de systèmes d’IA pour analyse et tests, possibilité de requerer des tests et des évaluations de conformité.

Les mesures correctives

Outre les amendes administratives, les autorités compétentes disposent de pouvoirs de mesures correctives : mise en demeure de mise en conformité dans un délai détermine, restriction ou interdiction de mise à disposition du système, retrait ou rappel du système du marché, ordonnance de destruction du système ou des données, injonction de fournir des informations aux personnes affectées et publication de la décision (naming and shaming).

Le cumul des sanctions AI Act et RGPD

Le principe de non bis in idem

L’article 99, paragraphe 8, du AI Act prévoit un mécanisme de coordination avec le RGPD pour éviter le cumul disproportionné des sanctions. Lorsqu’une violation du AI Act concerne également une violation du RGPD, et que l’autorité de contrôle en matière de protection des données est également l’autorité compétente pour le AI Act, le montant total de l’amende ne peut excéder le montant le plus élevé applicable au titre de l’un ou l’autre règlement.

Toutefois, cette limitation ne s’applique que lorsque la même autorité est compétente pour les deux textes. Dans les cas où des autorités différentes sont compétentes pour le AI Act et le RGPD, le cumul des sanctions est théoriquement possible, bien que le principe général de proportionnalité impose une coordination.

L’exposition totale

Pour un système d’IA à haut risque traitant des données personnelles en violation à la fois du AI Act et du RGPD, l’exposition théorique maximale est considérable. Les violations des pratiques interdites (AI Act) exposent à 35 millions d’euros ou 7 % du chiffre d’affaires. Les violations des obligations de conformité systèmes à haut risque (AI Act) exposent à 15 millions d’euros ou 3 % du chiffre d’affaires. Les violations des principes et droits fondamentaux du RGPD exposent à 20 millions d’euros ou 4 % du chiffre d’affaires.

L’audit algorithmique rigoureux et la documentation de la conformité constituent les meilleurs moyens de prévenir ces risques. La classification correcte des risques est la première étape indispensable pour déterminer le régime de sanctions applicable.

Les enseignements du RGPD pour anticiper l’application du AI Act

La montée en puissance progressive des sanctions

L’expérience du RGPD montre que les sanctions montent en puissance progressivement. Les premières années d’application sont généralement marquées par une approche pédagogique, avec des sanctions moderees visant à établir la jurisprudence. Les sanctions augmentent ensuite significativement, à mesure que les autorités renforcent leurs capacités et que l’absence de conformité ne peut plus être excusee par la nouveauté du cadre réglementaire.

Le même schéma est attendu pour le AI Act. Les premières sanctions, attendues à partir de l’entrée en application des différentes dispositions (les pratiques interdites à compter de février 2025, les systèmes à haut risque à compter d’août 2026), seront probablement moderees. Mais l’expérience du RGPD montre que les montants augmentent rapidement : les sanctions RGPD ont dépasse le milliard d’euros annuel à partir de 2021.

L’importance de la documentation

L’expérience du RGPD souligne l’importance de la documentation dans la détermination des sanctions. Les autorités prennent systématiquement en compte les efforts de conformité documentés comme facteur atténuant. Inversement, l’absence de documentation est considérée comme un facteur aggravant. La documentation technique complète et à jour, les résultats des audits, le registre des systèmes IA et les analyses d’impact constituent autant d’éléments probatoires de la bonne foi de l’organisation.

La démarche d’éthique de l’IA et de conformité IA-RGPD intégrée est le meilleur moyen de minimiser le risque de sanctions.

Le texte intégral du règlement, incluant les dispositions relatives aux sanctions, est disponible sur EUR-Lex.

FAQ

Les sanctions du AI Act peuvent-elles se cumuler avec les sanctions RGPD ?

Le cumul est possible mais encadré. Lorsque la même autorité est compétente pour les deux textes (par exemple la CNIL en France si elle est désignée autorité compétente pour le AI Act), le montant total de l’amende ne peut excéder le plafond le plus élevé applicable au titre de l’un ou l’autre règlement pour les mêmes faits. En revanche, lorsque des autorités différentes sont compétentes, le cumul est théoriquement possible, sous reserve du principe général de proportionnalité. En pratique, les autorités devront se coordonner pour éviter les sanctions disproportionnées. Il convient de noter que des faits différents (par exemple, une violation de la documentation technique AI Act et une violation du droit d’accès RGPD) peuvent donner lieu à des sanctions distinctes, même par la même autorité.

Les PME bénéficient-elles de sanctions alleger ?

Le AI Act prévoit un mécanisme d’adaptation pour les PME et les startups. Le montant de l’amende retenu est le plus faible entre le montant forfaitaire (35, 15 ou 7,5 millions d’euros selon le niveau) et le pourcentage du chiffre d’affaires (7 %, 3 % ou 1 %). Ainsi, pour une PME dont le chiffre d’affaires est inférieur à 500 millions d’euros, le plafond de l’amende pour violation des pratiques interdites sera de 35 millions d’euros (et non 7 % du chiffre d’affaires, qui serait inférieur). Inversement, pour une grande entreprise dont le chiffre d’affaires mondial dépasse 500 millions d’euros, le plafond sera le pourcentage du chiffre d’affaires, soit un montant supérieur à 35 millions d’euros. Ce mécanisme assure la proportionnalité des sanctions tout en maintenant leur caractère dissuasif.

À partir de quand les sanctions du AI Act peuvent-elles être prononcées ?

Le calendrier d’entrée en application des sanctions suit le calendrier général du AI Act. Les sanctions relatives aux pratiques interdites (article 5) sont applicables depuis février 2025. Les sanctions relatives aux obligations de gouvernance et aux modèles d’IA a usage général sont applicables depuis août 2025. Les sanctions relatives aux systèmes à haut risque seront applicables à compter d’août 2026 pour les systèmes relevant de l’annexe III. Les sanctions relatives aux systèmes intégrés dans des produits réglementés (annexe I) seront applicables à compter d’août 2027. Les autorités nationales doivent avoir désigné leurs autorités compétentes et défini les règles de procédure applicables. En France, un projet de loi d’adaptation du droit national au AI Act est en cours d’élaboration.