Sanctions AI Act : jusqu'à 7% du CA mondial — êtes-vous en règle ?
Mis à jour le 15 mai 2026 · 8 min de lecture · Sources : règlement UE 2024/1689, CNIL, AI Office
Le chiffre qui fait réagir les directions générales est toujours le même : jusqu'à 7% du chiffre d'affaires mondial. Ce plafond, prévu par l'Article 99 de l'AI Act pour certaines infractions parmi les plus graves, suffit à faire comprendre que l'Union européenne ne traite pas l'IA comme un simple sujet d'éthique facultative. En 2026, la conformité devient un risque financier structurant, au même titre que la cybersécurité, la fraude ou la protection des données.
Pourtant, l'erreur la plus fréquente reste de réduire le sujet au montant théorique de l'amende. Dans la réalité d'une PME, l'exposition commence plus tôt : un grand compte qui demande vos preuves, une équipe RH qui ne sait pas expliquer un outil de présélection, un fournisseur incapable de fournir la documentation attendue, ou une décision influencée par l'IA devenue impossible à justifier. Les sanctions financières n'arrivent pas dans le vide ; elles sanctionnent des organisations déjà désordonnées.
Il faut donc lire l'Article 99 comme un signal de gouvernance. Le bon objectif n'est pas de mémoriser trois pourcentages, mais de comprendre quelles infractions exposent votre PME et comment les éviter avant août 2026.
Barème synthétique des sanctions Article 99
| Type d'infraction | Sanction max |
|---|---|
| Systèmes IA interdits (Article 5) | 35M€ ou 7% CA mondial |
| Non-conformité systèmes haut risque | 15M€ ou 3% CA mondial |
| Fausses informations aux autorités | 7,5M€ ou 1% CA mondial |
| PME : plafond au montant le plus bas | Oui |
Exemples concrets de violations qui exposent une PME
Premier exemple : un chatbot RH ou un moteur de tri de candidatures utilisé sans qualification haut risque, sans information claire des candidats et sans supervision humaine réelle. Ici, la PME pense souvent avoir "juste automatisé" une première étape. En pratique, elle influence l'accès à l'emploi sans registre Article 26, sans DPIA et sans preuve de contrôle.
Deuxième exemple : une entreprise de services financiers utilise un scoring d'origine SaaS pour prioriser des dossiers d'octroi sans avoir demandé la documentation fournisseur, sans vérifier les limites du modèle et sans documenter le rôle du conseiller humain. Le problème n'est pas seulement technique : c'est l'absence de gouvernance démontrable.
Troisième exemple : lors d'un contrôle ou d'une demande d'information, l'entreprise transmet des réponses incomplètes ou approximatives parce qu'elle n'a aucun dossier consolidé. Le risque de sanction pour informations fausses ou incomplètes apparaît alors non pas comme une erreur volontaire, mais comme la conséquence directe d'une conformité improvisée.
J-80 avant l'échéance AI Act
Évaluez votre conformité en 10 minutes avec notre Quick Check gratuit.
Commencer l'évaluation gratuite →Comment les sanctions s'appliquent aux PME
Le texte prévoit une proportionnalité, mais cette proportionnalité ne doit pas être confondue avec une indulgence générale. Pour les PME, le plafond au montant le plus bas limite certains scénarios, mais n'efface ni la possibilité de sanction, ni le risque de mise en conformité forcée, ni les impacts indirects sur la relation client, les investisseurs ou le marché.
C'est justement pour cela que l'accord politique du Digital Omnibus du 7 mai 2026 est important. L'élargissement des simplifications jusqu'à 750 salariés et l'allégement documentaire pour certaines structures devraient permettre une mise en conformité plus proportionnée. Mais la lecture correcte est la suivante : la proportionnalité aide à mieux documenter, elle ne permet jamais de ne rien documenter.
Dans la pratique, la meilleure protection d'une PME n'est pas la négociation d'une sanction future ; c'est la capacité à montrer aujourd'hui qu'elle a identifié ses usages, qualifié son rôle, demandé les pièces fournisseurs, défini une surveillance humaine et intégré le RGPD quand des données personnelles sont en jeu. Une PME capable de produire ce dossier se protège beaucoup mieux qu'une PME qui découvre le sujet le jour d'une demande externe.
Comment se protéger avant l'échéance 2026
Le premier réflexe consiste à cartographier les systèmes IA réellement utilisés. Pas seulement ceux achetés en direct, mais aussi ceux embarqués dans des outils SaaS déjà présents dans les RH, la relation client, la finance ou l'IT. Le deuxième réflexe est de repérer les usages qui tombent potentiellement sous l'Annexe III : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration et justice.
Ensuite, il faut aligner cinq briques : registre des usages, demande de documentation au fournisseur, analyse de risques, DPIA si données personnelles, et surveillance humaine. C'est ce socle qui transforme l'Article 99 d'une menace abstraite en risque pilotable. Une amende ne tombe pas parce qu'un texte existe ; elle tombe parce qu'aucune preuve de maîtrise n'est disponible.
En résumé, la meilleure stratégie face au "7%" n'est pas la peur. C'est la méthode. Plus vite votre PME passe d'une logique d'usage opportuniste à une logique de gouvernance, plus elle réduit son exposition financière et réputationnelle.
Pourquoi le coût réel dépasse largement le montant de l'amende
Une sanction AI Act ne se résume jamais à une ligne dans un tableau financier. Le premier coût caché est commercial. Une entreprise qui ne passe plus un audit fournisseur, qui ne sait pas répondre à une annexe conformité ou qui doit suspendre un outil critique en plein appel d'offres perd du chiffre d'affaires bien avant toute décision d'autorité. Pour une PME, cette perte peut être plus douloureuse qu'un montant théorique très élevé mais peu probable.
Le deuxième coût est organisationnel. Lorsqu'une mise en conformité est forcée dans l'urgence, les équipes travaillent en réaction : extraction de contrats, reconstruction du registre, revue express des prompts, réunions de crise avec le fournisseur, arbitrage juridique et technique sous contrainte. Tout ce temps est du temps non investi dans le produit, la vente ou l'opérationnel.
Le troisième coût est réputationnel. Si un salarié, un candidat ou un client découvre qu'une décision sensible a été fortement influencée par une IA mal encadrée, la discussion quitte immédiatement le terrain purement réglementaire. Elle devient une question de confiance, de gouvernance et parfois d'image de marque. Cette dimension explique pourquoi les PME doivent traiter le sujet tôt, même lorsqu'elles considèrent le risque de sanction administrative comme statistiquement modéré.
Checklist anti-sanction : les six preuves à sécuriser maintenant
Première preuve : un inventaire à jour de tous les usages IA. Sans inventaire, aucun arbitrage sérieux n'est possible. Deuxième preuve : une qualification claire du rôle de l'entreprise, fournisseur, déployeur ou combinaison des deux. Troisième preuve : la classification des usages selon l'Annexe III et le repérage des pratiques interdites de l'Article 5.
Quatrième preuve : un registre Article 26 qui documente l'usage, le service propriétaire, les personnes concernées, la date de mise en service, le fournisseur et les documents disponibles. Cinquième preuve : la supervision humaine, matérialisée par des responsables nommés, des seuils d'alerte et une procédure d'escalade. Sixième preuve : l'articulation avec le RGPD, notamment la DPIA quand le système traite des données personnelles dans un contexte à risque.
Cette checklist est volontairement simple. Elle reflète ce qu'une autorité, un client exigeant ou un partenaire grand compte cherchera en premier : savez-vous ce que fait votre système, qui il affecte, qui le contrôle et où sont vos preuves ? Une PME qui répond proprement à ces questions réduit immédiatement son exposition au scénario le plus coûteux : l'incapacité à démontrer la moindre maîtrise.
Questions fréquentes
Les sanctions AI Act sont-elles vraiment applicables aux PME ?
Oui. Le règlement prévoit une approche plus proportionnée pour les PME sur certains plafonds, mais il n'existe aucune immunité liée à la taille. Une PME reste exposée dès lors qu'elle déploie ou commercialise un système non conforme.
Quel est le risque le plus fréquent avant l'amende ?
Le risque commercial et réputationnel : questionnaire client bloquant, audit fournisseur négatif, incident RH, contestation d'une décision automatisée ou incapacité à fournir les preuves attendues.
Comment réduire rapidement le risque de sanction ?
En cartographiant les usages, en classant les cas haut risque, en sécurisant le registre Article 26, la supervision humaine, la DPIA quand nécessaire et les contrats fournisseurs. Le pire scénario reste l'absence totale de preuve.
Sources
- Règlement UE 2024/1689 (JOUE L 2024/1689)
- CNIL - conformité, IA et droits des personnes
- European AI Office - gouvernance et calendrier
- Accord politique Digital Omnibus du 7 mai 2026
Prêt à évaluer votre conformité AI Act ?
10 minutes · Gratuit · Rapport personnalisé immédiat
Démarrer l'évaluation gratuite →Audit complet PDF 16 pages disponible à 199€