35 millions d’euros. Ou 7% de votre chiffre d’affaires mondial.
Le plus élevé des deux. C’est ce que l’AI Act peut vous coûter si vous ne respectez pas les règles.
Et contrairement à ce que beaucoup pensent, ce n’est pas réservé à Google ou Meta.
À retenir
- 3 niveaux de sanctions : de 7,5 M€ à 35 M€ selon l’infraction
- Toutes les entreprises utilisant l’IA sont concernées, pas que les géants
- 89% des PME ignorent leurs obligations de formation IA
- 73% des entreprises européennes utilisent au moins un système IA soumis au règlement
- Août 2026 : échéance majeure pour les obligations systèmes à haut risque
Les 3 niveaux de sanctions : de l’amende record aux infractions mineures
L’AI Act ne fait pas dans la dentelle. Le règlement européen établit une grille tarifaire à trois niveaux, calibrée selon la gravité de l’infraction.
Niveau 1 : les pratiques interdites (35 M€ ou 7% du CA mondial)
Les infractions les plus graves concernent les systèmes IA considérés comme inacceptables :
- Manipulation comportementale (techniques subliminales)
- Exploitation des vulnérabilités (âge, handicap, situation sociale)
- Notation sociale généralisée
- Identification biométrique en temps réel dans l’espace public (sauf exceptions sécuritaires)
Exemple concret : une entreprise qui déploierait un chatbot utilisant des techniques psychologiques pour pousser les salariés à accepter des conditions défavorables risquerait la sanction maximale.
Niveau 2 : non-respect des obligations (15 M€ ou 3% du CA)
Cette catégorie vise les manquements aux obligations pour les systèmes à haut risque :
- Absence de formation du personnel utilisateur (obligation depuis février 2025)
- Documentation insuffisante
- Défaut de surveillance humaine
- Non-tenue des registres d’utilisation
Cas pratique : une PME de 50 salariés utilise un logiciel IA pour le recrutement (système à haut risque). Si elle n’a pas formé ses RH aux 15 heures minimum requises par l’article 14 de l’AI Act, elle s’expose à une amende pouvant atteindre 15 millions d’euros.
Niveau 3 : informations erronées (7,5 M€ ou 1% du CA)
Le niveau « minimal » concerne les entreprises qui fournissent des informations incorrectes ou incomplètes aux autorités de surveillance.
| Niveau d’infraction | Montant maximum | % CA mondial | Principaux cas |
|---|---|---|---|
| Niveau 1 (Pratiques interdites) | 35 millions € | 7% | Manipulation, notation sociale |
| Niveau 2 (Haut risque) | 15 millions € | 3% | Formation manquante, documentation |
| Niveau 3 (Information) | 7,5 millions € | 1% | Fausses déclarations |
Qui peut être sanctionné ? Tous les maillons de la chaîne IA
L’AI Act ne se contente pas de viser les développeurs d’IA. Le règlement européen ratisse large et distingue quatre catégories d’acteurs responsables.
Les fournisseurs : ceux qui créent l’IA
OpenAI, Anthropic, mais aussi la start-up française qui développe un chatbot pour l’immobilier. Tous sont fournisseurs au sens du règlement et doivent respecter les obligations de conception.
Les déployeurs : ceux qui utilisent l’IA (votre entreprise ?)
C’est probablement votre cas. Déployeur = toute organisation qui utilise un système IA dans le cadre de son activité professionnelle. Une agence immobilière qui utilise ChatGPT pour rédiger ses annonces ? Déployeur. Un cabinet de recrutement avec un outil de tri automatique des CV ? Déployeur.
Les obligations des déployeurs incluent :
- Former le personnel utilisateur
- Tenir un registre des systèmes IA utilisés
- Évaluer l’impact sur les droits fondamentaux (pour les systèmes à haut risque)
- Assurer une surveillance humaine
Importateurs et distributeurs : la chaîne de responsabilité
Même ceux qui se contentent d’importer ou de revendre des solutions IA ont des obligations de vérification et de traçabilité.
Comment les autorités détectent-elles les infractions ?
En France, la surveillance de l’AI Act se répartit entre plusieurs autorités : ANSSI, CNIL et DGCCRF selon la nature des systèmes. Mais comment repèrent-elles les manquements ?
Les audits programmés
Les autorités peuvent déclencher des contrôles, particulièrement dans les secteurs sensibles : recrutement, crédit, assurance, santé, éducation. Une PME utilisant un scoring client automatisé peut recevoir une visite de contrôle.
Les signalements et plaintes
Salariés, clients, concurrents : n’importe qui peut signaler un usage d’IA suspect. Un candidat recalé par un algorithme de recrutement peut déposer plainte s’il soupçonne une discrimination.
Les incidents médiatisés
Un bug d’IA qui fait le tour des réseaux sociaux attire automatiquement l’attention des régulateurs. L’actualité récente l’a montré : chaque « fail » d’IA devient viral.
Cas pratiques : qui risque gros en 2026
Certains secteurs cumulent les facteurs de risque. Voici les profils d’entreprises les plus exposés aux sanctions de niveau 2.
Recrutement et RH : zone rouge
Cas type : cabinet de conseil en recrutement, 30 salariés, utilise un logiciel de tri automatique des CV.
Risques identifiés :
- Personnel RH non formé aux 15 heures obligatoires
- Aucune documentation sur les critères de l’algorithme
- Pas d’évaluation d’impact sur les discriminations
Sanction potentielle : jusqu’à 15 M€ pour non-respect des obligations de formation et documentation.
Finance et assurance : surveillance accrue
Les systèmes de scoring client, détection de fraude, ou tarification automatisée sont classés haut risque. Une compagnie d’assurance qui automatise l’acceptation des sinistres doit :
- Former ses gestionnaires aux spécificités de l’IA utilisée
- Maintenir une supervision humaine sur les décisions automatisées
- Documenter les biais potentiels de l’algorithme
Surveillance des salariés : terrain miné
L’IA de monitoring de la productivité, analyse des emails, ou reconnaissance faciale dans les bureaux cumule les risques. Entre RGPD et AI Act, le cadre réglementaire devient très strict.
La jurisprudence en construction : qu’attendre des premières décisions
L’AI Act est récent. Les premières sanctions tombent en 2026, créant la jurisprudence qui guidera les années suivantes.
Le précédent RGPD comme indicateur
Les amendes RGPD donnent un aperçu : les autorités européennes n’hésitent pas à infliger des sanctions lourdes. Amazon (746 M€), WhatsApp (225 M€), Google (90 M€) ont payé cash leurs manquements.
Pour l’AI Act, attendez-vous à un schéma similaire : quelques sanctions exemplaires sur des cas médiatisés pour marquer les esprits, puis une application plus systématique.
Les PME ne seront pas épargnées
Contrairement aux idées reçues, les régulateurs européens sanctionnent aussi les PME. Le RGPD l’a prouvé : des entreprises de 20-50 salariés ont écopé d’amendes à six chiffres.
L’AI Act prévoit des obligations allégées pour les PME, mais pas d’exemption totale. Une entreprise de 30 personnes utilisant un système de recrutement IA reste soumise aux obligations de formation.
Comment passer à l’action : se mettre en conformité
Face aux 2,3 milliards d’euros de coût estimé de mise en conformité AI Act en France selon France Stratégie, l’action préventive devient urgente.
Audit de vos systèmes IA actuels
Première étape : inventorier tous vos usages d’IA. ChatGPT pour la rédaction, outil de gestion de leads, logiciel de comptabilité avec IA intégrée : tout compte.
Classez chaque système selon son niveau de risque :
- Risque minimal : pas d’obligation spécifique
- Risque limité : obligation d’information aux utilisateurs
- Haut risque : formation obligatoire + documentation + surveillance
- Risque inacceptable : interdiction pure
Formation du personnel : l’urgence absolue
Avec 89% des PME françaises qui ignorent leurs obligations selon le Baromètre BPI France Digital, la formation devient l’enjeu numéro un.
Les 15 heures minimum pour les utilisateurs de systèmes à haut risque ne sont pas négociables. Cette formation doit couvrir :
- Le fonctionnement du système IA utilisé
- Les biais potentiels et leurs implications
- Les procédures de surveillance humaine
- La gestion des incidents
Notre formation « Développer son activité avec l’IA » intègre ces exigences réglementaires. Financement CPF possible (reste à charge 150€), prise en charge OPCO pour les entreprises.
Documentation et registres : la paperasse qui sauve
Tenir un registre des systèmes IA utilisés n’est pas optionnel. Ce document doit tracer :
- L’identification de chaque système
- Son usage dans l’organisation
- Les personnes formées à son utilisation
- Les incidents éventuels
En cas de contrôle, ce registre fait la différence entre une mise en demeure et une amende immédiate.
2026 : l’année de tous les dangers… ou de toutes les opportunités
L’AI Act divise le monde des affaires en deux camps. D’un côté, ceux qui subissent la réglementation comme une contrainte coûteuse. De l’autre, ceux qui y voient un avantage concurrentiel : être en conformité quand vos concurrents ne le sont pas.
73% des entreprises européennes utilisent au moins un système IA soumis au règlement. Mais combien maîtrisent réellement leurs obligations ? Les premiers à se mettre en conformité prendront une longueur d’avance.
L’échéance d’août 2026 pour les systèmes à haut risque approche. Entre formation des équipes, audit des systèmes et mise en place des processus de surveillance, le délai se resserre.
Face aux sanctions qui peuvent atteindre 35 millions d’euros, l’investissement dans la conformité AI Act n’est plus une option. C’est une assurance contre un risque qui pourrait détruire votre entreprise.
La question n’est plus de savoir si vous devez vous former à l’IA réglementaire. La question est de savoir si vous préférez le faire maintenant, ou l’apprendre devant un contrôleur de l’ANSSI.
