Sanctions AI Act : montants et mecanismes d’application

Le regime de sanctions du reglement europeen sur l’intelligence artificielle (AI Act) constitue l’un des elements les plus structurants du dispositif de conformite. Inspire du regime sanctionnateur du RGPD, dont l’experience a demontre l’efficacite pour inciter a la conformite, le AI Act etablit un systeme d’amendes administratives a trois niveaux, proportionnels a la gravite des violations. Pour les entreprises developpant ou deployant des systemes d’IA en Europe, la comprehension de ce regime est indispensable a une gestion adequte des risques juridiques et financiers.

Les montants des amendes prevues par le AI Act figurent parmi les plus eleves du droit europeen, refletant la determination du legislateur a assurer l’effectivite du cadre reglementaire. Combine avec les sanctions RGPD, le risque financier global lie a un systeme d’IA non conforme peut atteindre des niveaux sans precedent.

Les trois niveaux de sanctions

Niveau 1 : violations des pratiques interdites (article 99, paragraphe 3)

Le plafond le plus eleve concerne les violations des pratiques d’IA interdites par l’article 5 du reglement. Ces pratiques, jugees contraires aux valeurs fondamentales de l’Union europeenne, font l’objet de la sanction la plus severe.

Les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total de l’exercice precedent, le montant le plus eleve etant retenu. Ce plafond depasse celui du RGPD (20 millions d’euros ou 4 % du chiffre d’affaires) et souligne la gravite particuliere que le legislateur attache aux pratiques d’IA interdites.

Les violations concernees incluent les systemes de manipulation subliminale, les systemes exploitant les vulnerabilites, les systemes de notation sociale, l’identification biometrique a distance en temps reel dans les espaces publics (hors exceptions), la categorisation biometrique fondee sur des donnees sensibles, le moissonnage non cible d’images faciales et la reconnaissance des emotions sur le lieu de travail et dans les etablissements d’enseignement (hors exceptions).

Niveau 2 : violations des obligations de conformite (article 99, paragraphe 4)

Le deuxieme niveau concerne les violations des obligations de conformite applicables aux systemes d’IA a haut risque et aux autres obligations du reglement.

Les amendes peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial total de l’exercice precedent. Ce plafond s’applique aux violations des obligations relatives au systeme de gestion des risques (article 9), a la qualite des donnees (article 10), a la documentation technique (article 11), a l’enregistrement automatique des evenements (article 12), a la transparence et a l’information des deployeurs (article 13), au controle humain (article 14), a la precision, la robustesse et la cybersecurite (article 15), au systeme de gestion de la qualite (article 17), a l’evaluation de conformite (articles 43 et suivants), aux obligations de transparence applicables a certains systemes d’IA (article 50) et aux obligations des fournisseurs de modeles d’IA a usage general (articles 53 et suivants).

Niveau 3 : fourniture d’informations inexactes (article 99, paragraphe 5)

Le troisieme niveau, le moins eleve, concerne la fourniture d’informations inexactes, incompletes ou trompeuses aux organismes notifies ou aux autorites nationales competentes.

Les amendes peuvent atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial total de l’exercice precedent. Cette sanction vise a garantir la fiabilite des informations communiquees aux autorites dans le cadre de la surveillance du marche et de l’evaluation de conformite, y compris les informations du registre des systemes IA.

Dispositions specifiques pour les PME et les startups

Le AI Act prevoit des dispositions d’adaptation pour les petites et moyennes entreprises et les startups. Les plafonds d’amendes sont ajustes : pour les PME (y compris les startups), le montant de l’amende retenu est le plus faible entre le montant forfaitaire et le pourcentage du chiffre d’affaires. Cette disposition vise a eviter que les sanctions ne soient disproportionnees au regard de la capacite financiere de l’entreprise.

Les criteres de determination du montant des amendes

Les facteurs d’appreciation

L’article 99, paragraphe 7, du AI Act enumere les facteurs que les autorites de controle doivent prendre en compte pour determiner le montant de l’amende. Ces facteurs, similaires a ceux prevus par l’article 83(2) du RGPD, incluent la nature, la gravite et la duree de la violation, en tenant compte de la finalite du systeme d’IA ainsi que du nombre de personnes affectees et du niveau de dommage subi, le caractere intentionnel ou negligent de la violation, les mesures prises pour attenuer le dommage subi par les personnes affectees, le degre de responsabilite du fournisseur ou du deployeur compte tenu des mesures techniques et organisationnelles mises en oeuvre, tout comportement anterieur pertinent du fournisseur ou du deployeur, le degre de cooperation avec les autorites et toute autre circonstance aggravante ou attenuante applicable.

La prise en compte de ces criteres confere aux autorites une marge d’appreciation significative, permettant d’adapter le montant de la sanction aux circonstances de chaque cas. L’experience du RGPD montre que cette marge d’appreciation est effectivement utilisee, les sanctions variant considerablement en fonction des circonstances.

Le principe de proportionnalite

Le AI Act rappelle que les amendes doivent etre effectives, proportionnees et dissuasives. Le principe de proportionnalite impose que le montant de l’amende soit adapte a la gravite de la violation et a la situation financiere de l’entreprise sanctionnee. Une amende disproportionnee peut etre contestee devant les juridictions competentes.

Les autorites competentes et les procedures

Les autorites nationales de surveillance du marche

Chaque Etat membre doit designer une ou plusieurs autorites nationales competentes pour la surveillance du marche et le controle de la conformite des systemes d’IA. Ces autorites sont responsables du controle du respect des obligations du AI Act, des enquetes, des procedures de sanction, du suivi de la mise en conformite et de la cooperation avec les autorites des autres Etats membres et le Bureau europeen de l’IA.

En France, les autorites competentes incluent la CNIL pour les aspects relatifs aux donnees personnelles, l’ARCEP et d’autres autorites sectorielles selon le domaine d’application du systeme d’IA. La designation precise des autorites competentes en France est en cours de finalisation dans le cadre de la transposition du AI Act.

Le Bureau europeen de l’IA (AI Office)

Le Bureau europeen de l’IA, cree par le AI Act au sein de la Commission europeenne, joue un role central dans la coordination et la surveillance. Il est directement competent pour le controle des fournisseurs de modeles d’IA a usage general et dispose de pouvoirs d’enquete et de sanction propres pour ces acteurs. Les informations relatives au Bureau europeen de l’IA sont disponibles sur le site de la strategie numerique europeenne.

Les pouvoirs d’enquete

Les autorites nationales competentes disposent de pouvoirs d’enquete etendus : acces aux systemes d’IA et aux donnees de test et d’entrainement, demande d’informations et de documents, realisation d’audits et d’inspections, prelevement d’echantillons de systemes d’IA pour analyse et tests, possibilite de requerer des tests et des evaluations de conformite.

Les mesures correctives

Outre les amendes administratives, les autorites competentes disposent de pouvoirs de mesures correctives : mise en demeure de mise en conformite dans un delai determine, restriction ou interdiction de mise a disposition du systeme, retrait ou rappel du systeme du marche, ordonnance de destruction du systeme ou des donnees, injonction de fournir des informations aux personnes affectees et publication de la decision (naming and shaming).

Le cumul des sanctions AI Act et RGPD

Le principe de non bis in idem

L’article 99, paragraphe 8, du AI Act prevoit un mecanisme de coordination avec le RGPD pour eviter le cumul disproportionne des sanctions. Lorsqu’une violation du AI Act concerne egalement une violation du RGPD, et que l’autorite de controle en matiere de protection des donnees est egalement l’autorite competente pour le AI Act, le montant total de l’amende ne peut exceder le montant le plus eleve applicable au titre de l’un ou l’autre reglement.

Toutefois, cette limitation ne s’applique que lorsque la meme autorite est competente pour les deux textes. Dans les cas ou des autorites differentes sont competentes pour le AI Act et le RGPD, le cumul des sanctions est theoriquement possible, bien que le principe general de proportionnalite impose une coordination.

L’exposition totale

Pour un systeme d’IA a haut risque traitant des donnees personnelles en violation a la fois du AI Act et du RGPD, l’exposition theorique maximale est considerable. Les violations des pratiques interdites (AI Act) exposent a 35 millions d’euros ou 7 % du chiffre d’affaires. Les violations des obligations de conformite systemes a haut risque (AI Act) exposent a 15 millions d’euros ou 3 % du chiffre d’affaires. Les violations des principes et droits fondamentaux du RGPD exposent a 20 millions d’euros ou 4 % du chiffre d’affaires.

L’audit algorithmique rigoureux et la documentation de la conformite constituent les meilleurs moyens de prevenir ces risques. La classification correcte des risques est la premiere etape indispensable pour determiner le regime de sanctions applicable.

Les enseignements du RGPD pour anticiper l’application du AI Act

La montee en puissance progressive des sanctions

L’experience du RGPD montre que les sanctions montent en puissance progressivement. Les premieres annees d’application sont generalement marquees par une approche pedagogique, avec des sanctions moderees visant a etablir la jurisprudence. Les sanctions augmentent ensuite significativement, a mesure que les autorites renforcent leurs capacites et que l’absence de conformite ne peut plus etre excusee par la nouveaute du cadre reglementaire.

Le meme schema est attendu pour le AI Act. Les premieres sanctions, attendues a partir de l’entree en application des differentes dispositions (les pratiques interdites a compter de fevrier 2025, les systemes a haut risque a compter d’aout 2026), seront probablement moderees. Mais l’experience du RGPD montre que les montants augmentent rapidement : les sanctions RGPD ont depasse le milliard d’euros annuel a partir de 2021.

L’importance de la documentation

L’experience du RGPD souligne l’importance de la documentation dans la determination des sanctions. Les autorites prennent systematiquement en compte les efforts de conformite documentes comme facteur attenuant. Inversement, l’absence de documentation est consideree comme un facteur aggravant. La documentation technique complete et a jour, les resultats des audits, le registre des systemes IA et les analyses d’impact constituent autant d’elements probatoires de la bonne foi de l’organisation.

La demarche d’ethique de l’IA et de conformite IA-RGPD integree est le meilleur moyen de minimiser le risque de sanctions.

Le texte integral du reglement, incluant les dispositions relatives aux sanctions, est disponible sur EUR-Lex.

FAQ

Les sanctions du AI Act peuvent-elles se cumuler avec les sanctions RGPD ?

Le cumul est possible mais encadre. Lorsque la meme autorite est competente pour les deux textes (par exemple la CNIL en France si elle est designee autorite competente pour le AI Act), le montant total de l’amende ne peut exceder le plafond le plus eleve applicable au titre de l’un ou l’autre reglement pour les memes faits. En revanche, lorsque des autorites differentes sont competentes, le cumul est theoriquement possible, sous reserve du principe general de proportionnalite. En pratique, les autorites devront se coordonner pour eviter les sanctions disproportionnees. Il convient de noter que des faits differents (par exemple, une violation de la documentation technique AI Act et une violation du droit d’acces RGPD) peuvent donner lieu a des sanctions distinctes, meme par la meme autorite.

Les PME beneficient-elles de sanctions alleger ?

Le AI Act prevoit un mecanisme d’adaptation pour les PME et les startups. Le montant de l’amende retenu est le plus faible entre le montant forfaitaire (35, 15 ou 7,5 millions d’euros selon le niveau) et le pourcentage du chiffre d’affaires (7 %, 3 % ou 1 %). Ainsi, pour une PME dont le chiffre d’affaires est inferieur a 500 millions d’euros, le plafond de l’amende pour violation des pratiques interdites sera de 35 millions d’euros (et non 7 % du chiffre d’affaires, qui serait inferieur). Inversement, pour une grande entreprise dont le chiffre d’affaires mondial depasse 500 millions d’euros, le plafond sera le pourcentage du chiffre d’affaires, soit un montant superieur a 35 millions d’euros. Ce mecanisme assure la proportionnalite des sanctions tout en maintenant leur caractere dissuasif.

A partir de quand les sanctions du AI Act peuvent-elles etre prononcees ?

Le calendrier d’entree en application des sanctions suit le calendrier general du AI Act. Les sanctions relatives aux pratiques interdites (article 5) sont applicables depuis fevrier 2025. Les sanctions relatives aux obligations de gouvernance et aux modeles d’IA a usage general sont applicables depuis aout 2025. Les sanctions relatives aux systemes a haut risque seront applicables a compter d’aout 2026 pour les systemes relevant de l’annexe III. Les sanctions relatives aux systemes integres dans des produits reglementes (annexe I) seront applicables a compter d’aout 2027. Les autorites nationales doivent avoir designe leurs autorites competentes et defini les regles de procedure applicables. En France, un projet de loi d’adaptation du droit national au AI Act est en cours d’elaboration.