Amendes et sanctions du règlement IA de l'UE : que risquent réellement les PME de l'UE ?
Publié 18 juillet 2026 · 5 min de lecture
Les chiffres mis en avant font peur : jusqu'à 35 millions d'euros, ou 7 % du chiffre d'affaires mondial. Mais ce sont des plafonds réservés aux pires infractions commises par les plus grandes entreprises. Si vous dirigez une PME, le règlement IA de l'UE contient une règle qui inverse le calcul en votre faveur. Voici en quoi consistent réellement les sanctions, et ce qu'elles signifient pour une petite entreprise.
Les trois niveaux de sanction
Le règlement IA de l'UE (règlement (UE) 2024/1689) fixe trois plafonds pour les amendes administratives, selon la nature du manquement :
- Jusqu'à EUR 35M ou 7 % du chiffre d'affaires annuel mondial pour le recours à l'une des pratiques d'IA interdites prohibées au titre de l'article 5 (article 99, paragraphe 3).
- Jusqu'à EUR 15M ou 3 % pour le manquement à la plupart des autres obligations : les devoirs des fournisseurs et des déployeurs de systèmes à haut risque, les règles de transparence ou les exigences relatives aux organismes notifiés (article 99, paragraphe 4).
- Jusqu'à EUR 7.5M ou 1 % pour la fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités ou aux organismes notifiés (article 99, paragraphe 5).
Pour une entreprise qui n'est pas une PME, chaque amende correspond au montant le plus élevé des deux : le montant fixe en euros ou le pourcentage du chiffre d'affaires annuel mondial total de l'exercice précédent, calculé au niveau du groupe, sur le chiffre d'affaires et non sur le bénéfice.
La règle PME que la plupart des titres oublient
L'article 99, paragraphe 6, inverse cette règle pour les entreprises de plus petite taille. Pour les PME et les start-ups, chaque amende est plafonnée au plus faible du pourcentage ou du montant fixe, et non au plus élevé. Ce simple mot change tout pour une petite entreprise.
Prenons le niveau le plus élevé. Un grand groupe s'expose au plus élevé des deux : EUR 35M ou 7 % du chiffre d'affaires. Une PME réalisant, par exemple, EUR 2M de chiffre d'affaires annuel s'expose au plus faible des deux : 7 % de EUR 2M représente 140 000 EUR, bien en dessous de EUR 35M, de sorte que 140 000 EUR constitue le plafond. C'est le pourcentage, et non le montant fixe vertigineux, qui borne l'exposition d'une PME.
Modèles d'IA à usage général : sanctionnés par la Commission
Il existe un régime distinct pour les fournisseurs de modèles d'IA à usage général (GPAI). En vertu de l'article 101, c'est la Commission européenne, et non une autorité nationale, qui peut infliger à un fournisseur de GPAI une amende pouvant atteindre EUR 15M ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu, en cas de manquement intentionnel ou par négligence. Ces amendes peuvent faire l'objet d'un recours devant la Cour de justice de l'UE.
Les amendes sont des plafonds, pas des tarifs
Chaque chiffre ci-dessus est un maximum : la loi indique « jusqu'à ». Il n'existe pas d'amende fixe ni minimale. Lorsqu'une autorité fixe un montant réel, l'article 99, paragraphe 7, lui impose de prendre en compte plusieurs facteurs, notamment :
- la nature, la gravité et la durée du manquement ainsi que ses conséquences ;
- la taille, le chiffre d'affaires et la part de marché de l'opérateur ;
- le caractère intentionnel ou négligent du manquement ;
- le degré de coopération de l'opérateur et les mesures techniques et organisationnelles qu'il avait mises en place ;
- le fait que l'opérateur ait signalé lui-même le problème et agi pour limiter le préjudice.
Autrement dit, un effort de conformité documenté et de bonne foi réduit directement l'amende qu'une autorité est susceptible d'infliger.
Qui prononce l'amende
L'application de la réglementation est répartie entre trois acteurs : les autorités nationales de surveillance du marché infligent aux entreprises les amendes prévues à l'article 99 ; la Commission européenne, par l'intermédiaire du Bureau de l'IA, sanctionne les fournisseurs de modèles GPAI au titre de l'article 101 ; et le Contrôleur européen de la protection des données sanctionne les institutions de l'UE au titre de l'article 100 (plafonné à EUR 1.5M ou 750 000 EUR).
Quand les amendes commencent-elles à s'appliquer ?
Certaines s'appliquent déjà. Les interdictions de l'article 5 sont applicables depuis le 2 février 2025. Les obligations relatives aux GPAI s'appliquent à compter du 2 août 2025, le pouvoir de sanction de la Commission entrant en vigueur le 2 août 2026. Les obligations relatives aux systèmes à haut risque, principale source d'exposition pour la plupart des PME, ont été reportées par le Digital Omnibus au 2 décembre 2027 pour les systèmes relevant de l'annexe III (adopté, en attente de publication au Journal officiel). Consultez notre guide des échéances pour le calendrier complet.
Comment réduire votre exposition
Le moyen le moins coûteux de réduire le risque de sanction est de pouvoir démontrer une traçabilité de la conformité : la classification, un dossier technique, le contrôle humain et la surveillance, car ce sont précisément les facteurs atténuants que récompense l'article 99, paragraphe 7. Vous ne savez pas lesquels de vos systèmes entrent seulement dans le champ d'application ? Commencez par le EU AI Act Snapshot gratuit, deux minutes, sans inscription, puis parcourez notre check-list de conformité en 9 étapes. Les offres démarrent à EUR 0.