Skip to main content

Amendes EU AI Act 2026 : que coûte une infraction ?

L'article 99 de l'EU AI Act prévoit trois niveaux d'amende : jusqu'à 35 M EUR pour les pratiques d'IA interdites, jusqu'à 15 M EUR en l'absence de documentation pour l'IA à haut risque, jusqu'à 7,5 M EUR pour fausses déclarations. Tableau complet avec exemples chiffrés pour les PME.

Audit de conformité EU AI ActWito Digital Audit (WDA) gratuit

Amendes au titre de l'EU AI Act : de quoi s'agit-il ?

L'EU AI Act (règlement (UE) 2024/1689 du 13 juin 2024) est la première réglementation complète au monde encadrant l'intelligence artificielle. Son article 99 fixe le régime de sanctions — trois niveaux d'amende, gradués selon la nature et la gravité de l'infraction. Le montant retenu est toujours le plus élevé des deux : le montant absolu en EUR ou le pourcentage du chiffre d'affaires annuel mondial. Selon la Commission européenne (présentation de l'EU AI Act 2024), les plafonds de sanction ont été délibérément fixés au-dessus du niveau du DSGVO afin de renforcer l'incitation à la conformité.

Les trois niveaux d'amende expliqués (art. 99 EU AI Act)

Niveau 1 : pratiques d'IA interdites (art. 5) — jusqu'à 35 M EUR ou 7 %

Le niveau de sanction le plus élevé s'applique aux infractions aux interdictions de l'article 5 de l'EU AI Act. Ces interdictions sont en vigueur depuis le 2 février 2025 et visent les pratiques d'IA jugées contraires aux droits fondamentaux : manipulation subliminale, exploitation des vulnérabilités, reconnaissance des émotions sur le lieu de travail ou identification biométrique en temps réel dans les espaces publics par les autorités. Le montant de l'amende atteint, selon l'article 99, paragraphe 1, de l'EU AI Act, jusqu'à 35 000 000 EUR ou, pour les entreprises, 7 % du chiffre d'affaires annuel mondial total de l'exercice précédent — le montant le plus élevé étant retenu.

Pour une PME réalisant 25 M EUR de chiffre d'affaires annuel, cela signifie : l'amende peut atteindre 1,75 M EUR (7 % × 25 M EUR). Ce montant étant inférieur à 35 M EUR, c'est le pourcentage qui s'applique. Pour une entreprise réalisant 600 M EUR de chiffre d'affaires, c'est en revanche le montant absolu de 35 M EUR qui s'appliquerait, car 7 % × 600 M EUR = 42 M EUR — et le montant le plus élevé prévaut. La Heinrich-Böll-Stiftung (analyse de l'EU AI Act 2024) souligne que cette logique de sanction vise explicitement à produire un effet dissuasif, y compris à l'égard des grands groupes.

Niveau 2 : obligations relatives au haut risque et exigences générales — jusqu'à 15 M EUR ou 3 %

Le niveau intermédiaire s'applique aux infractions aux exigences relatives aux systèmes d'IA à haut risque (art. 6 à 55 de l'EU AI Act) ainsi qu'aux obligations générales telles que la transparence, l'évaluation de la conformité, l'enregistrement et les obligations de notification. L'amende atteint ici, selon l'article 99, paragraphe 3, de l'EU AI Act, jusqu'à 15 000 000 EUR ou 3 % du chiffre d'affaires annuel mondial — là encore, le montant le plus élevé s'applique. C'est le niveau le plus directement pertinent pour la plupart des PME : qui déploie des systèmes d'IA dans les ressources humaines, l'octroi de crédit ou l'éducation sans tenir à disposition la documentation prescrite s'expose à ces sanctions.

Selon le guide Bitkom sur les sanctions de l'EU AI Act 2024, l'absence de systèmes de gestion des risques, des documentations techniques incomplètes et le non-respect des obligations de transparence constituent les manquements de conformité les plus fréquents dans les PME allemandes — tous sanctionnés au niveau 2.

Niveau 3 : fausses déclarations aux autorités — jusqu'à 7,5 M EUR ou 1,5 %

Le niveau le plus bas, mais nullement négligeable, concerne les informations trompeuses, incomplètes ou fausses communiquées aux autorités nationales compétentes ou à la Commission européenne, notamment dans le cadre d'évaluations de la conformité ou d'enquêtes administratives. L'amende atteint, selon l'article 99, paragraphe 4, de l'EU AI Act, jusqu'à 7 500 000 EUR ou 1,5 % du chiffre d'affaires annuel mondial — là encore le montant le plus élevé. Exemple : qui, lors d'une demande des autorités relative à un système d'IA à haut risque, transmet des documents incomplets ou délibérément trompeurs relève de ce niveau.

Le principe « le montant le plus élevé prévaut » est un élément central de l'architecture du régime de sanctions : il empêche les grands groupes à fort chiffre d'affaires de plafonner les seuils en pourcentage en invoquant les plafonds absolus — et, dans le même temps, évite que de petites entreprises ne soient exposées à des amendes disproportionnées du seul fait du montant absolu, lorsque le pourcentage est plus faible.

35 M EUR

Maximum — art. 99, par. 1, EU AI Act

Quelle: Règlement (UE) 2024/1689, 2024
7%

du CA annuel mondial — art. 99, par. 1

Quelle: Règlement (UE) 2024/1689, 2024
4%

Comparaison DSGVO — art. 83 DSGVO

Quelle: Règlement (UE) 2016/679, 2016
9

Facteurs de modulation — art. 99, par. 7

Quelle: Règlement (UE) 2024/1689, 2024

Qu'entend-on par « chiffre d'affaires annuel mondial » ? Consolidation et liens de groupe

La question de savoir ce qu'il faut précisément entendre par « chiffre d'affaires annuel mondial total » au sens de l'article 99 de l'EU AI Act revêt une portée pratique considérable — surtout pour les entreprises appartenant à un groupe ou détenant des filiales. La Commission européenne (FAQ sur l'EU AI Act 2024) a publié de premières lignes directrices d'interprétation à ce sujet.

Règle de base : le critère retenu est le chiffre d'affaires consolidé total de l'ensemble de l'entreprise au sens économique au cours de l'exercice précédent. Autrement dit : pour une filiale appartenant à un groupe plus large, on ne retient pas son seul chiffre d'affaires propre, mais le chiffre d'affaires consolidé de l'ensemble du groupe. Cette règle suit la pratique de groupe bien établie en droit européen de la concurrence et de la protection des données (comparer l'art. 83 du DSGVO et le droit de la concurrence, art. 101/102 du TFUE).

Pour les PME liées à un groupe : une entreprise détenue à 25 % ou plus par un grand groupe n'est plus considérée comme une PME autonome au sens de la définition européenne. Dans ce cas, c'est le chiffre d'affaires consolidé de la maison mère qui sert de base au calcul de l'amende — et non le seul chiffre d'affaires de la filiale. Cela peut accroître considérablement le montant maximal de la sanction.

Sur la question du chiffre d'affaires net ou brut : le règlement EU AI Act renvoie au « chiffre d'affaires total » sans précision explicite. Par analogie avec la pratique d'interprétation du DSGVO et selon le document d'orientation du BMWK sur la transposition de l'EU AI Act 2024, il y a lieu de considérer que c'est le chiffre d'affaires net avant impôts (hors TVA) qui constitue la base de calcul — conformément à la définition comptable du chiffre d'affaires net. L'autorité nationale de surveillance et, en dernier ressort, la CJUE trancheront définitivement cette question.

Conseil pratique pour les PME : si votre entreprise fait partie d'un groupe, vous devriez calculer les plafonds de sanction sur la base du chiffre d'affaires consolidé du groupe — et non sur celle de votre seul chiffre d'affaires individuel. Cela peut modifier sensiblement le niveau de risque réel.

Les infractions à l'article 5 sont passibles d'amendes pouvant atteindre 35 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 7 % de son chiffre d'affaires mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Parlement européen et Conseil de l'Union européenne, Règlement (UE) 2024/1689 — EU AI Act, art. 99, par. 1, EUR-Lex / Journal officiel de l'Union européenne, 2024

Facteurs de modulation : quand l'amende augmente-t-elle, quand diminue-t-elle ? (art. 99, par. 7)

L'article 99, paragraphe 7, de l'EU AI Act énumère neuf facteurs que l'autorité nationale doit prendre en compte pour fixer le montant concret de l'amende. Ces facteurs peuvent aussi bien alourdir qu'alléger l'amende — ils créent une marge d'appréciation qui doit être exercée dans un souci de proportionnalité. Selon le guide Bitkom sur les sanctions de l'EU AI Act 2024, les autorités réagiront en pratique de manière favorable, en particulier, à la coopération et à l'autodénonciation.

Facteurs qui alourdissent l'amende

  • Gravité et durée de l'infraction : plus un système interdit est exploité longtemps et plus l'infraction est étendue, plus l'amende est élevée. Un système de reconnaissance des émotions par IA exploité pendant des années sans interruption sera sanctionné plus sévèrement qu'un usage ponctuel arrêté immédiatement après signalement.
  • Intention ou négligence grave : qui enfreint sciemment les interdictions ou ignore systématiquement les exigences de conformité doit s'attendre à la fourchette haute de l'amende. L'intention avérée est le facteur aggravant le plus fort.
  • Part de marché de l'entreprise : qui détient une part de marché importante cause davantage de dommages en cas d'infraction — l'autorité peut retenir cet élément comme facteur aggravant.
  • Récidive : qui a déjà été sanctionné pour des infractions à l'EU AI Act ou à des règles comparables relatives à l'IA et récidive s'expose à des amendes nettement plus élevées.

Facteurs qui allègent l'amende

  • Coopération avec l'autorité : une coopération active et proactive avec l'autorité nationale de surveillance — incluant la divulgation transparente de toutes les informations pertinentes et la cessation immédiate des infractions — est le principal facteur d'atténuation. La FAQ de la Commission européenne 2024 le souligne expressément.
  • Faible gravité et courte durée : une infraction brève, non intentionnelle et rapidement corrigée par l'entreprise elle-même est sanctionnée plus légèrement.
  • Comportement responsable après l'infraction : qui, après avoir constaté une infraction, engage sans délai des mesures correctives, informe les personnes concernées et démontre des mesures préventives pour l'avenir améliore sensiblement sa position face à la sanction.
  • Degré de responsabilité : qui n'a pas causé l'infraction lui-même, mais dépendait par exemple, en tant que déployeur, d'informations erronées du fournisseur d'IA, porte une responsabilité atténuée — à condition d'avoir rempli ses obligations de vérification au mieux de ses connaissances.

Règle spéciale pour les PME

L'article 99, paragraphe 6, de l'EU AI Act prévoit expressément que, pour la fixation de l'amende des PME et des start-up, c'est le plus bas des deux seuils qui s'applique. Cela signifie : une PME réalisant 5 M EUR de chiffre d'affaires paie, dans un cas de haut risque, au maximum 3 % × 5 M EUR = 150 000 EUR — et non le plafond absolu de 15 M EUR. Cette règle protège contre des amendes disproportionnées, mais n'est pas un blanc-seing : 150 000 EUR menacent aussi l'existence d'une petite entreprise.

Exemples chiffrés : que coûte concrètement une infraction pour une PME ?

Les fourchettes d'amende abstraites deviennent plus concrètes lorsqu'on les rapporte à des scénarios réalistes de PME. Les trois exemples suivants illustrent le fonctionnement du principe « le montant le plus élevé prévaut » en pratique — et pourquoi même de petites PME supportent des risques considérables.

Exemple 1 : niveau 1 — PME réalisant 25 M EUR de chiffre d'affaires

Une entreprise de prestations de services en ressources humaines réalisant 25 M EUR de chiffre d'affaires annuel déploie un système d'IA de présélection automatisée des candidats qui, à l'insu de tous, discrimine les candidats selon l'origine ethnique — une infraction à l'article 5 (catégorisation biométrique interdite fondée sur des caractéristiques protégées). Calcul de l'amende : 7 % × 25 M EUR = 1,75 M EUR. Comme 1,75 M EUR est inférieur au plafond absolu de 35 M EUR, c'est le pourcentage qui s'applique. Même avec tous les facteurs atténuants, une amende à six chiffres reste réaliste.

Exemple 2 : niveau 2 — microentreprise réalisant 5 M EUR de chiffre d'affaires

Un cabinet d'avocats réalisant 5 M EUR de chiffre d'affaires annuel déploie un système d'IA de prévision des risques contentieux sans tenir à disposition la documentation technique prescrite ni le système de gestion des risques exigé par l'article 9 de l'EU AI Act — une infraction aux exigences relatives au haut risque (niveau 2). Calcul de l'amende : 3 % × 5 M EUR = 150 000 EUR. Le plafond absolu de 15 M EUR ne s'applique pas, le montant en pourcentage (150 000 EUR) étant plus faible. Grâce à la règle spéciale PME, c'est ici le montant le plus bas qui s'applique. Pour autant : 150 000 EUR menacent l'existence d'un cabinet de taille moyenne.

Exemple 3 : niveau 1 — entreprise réalisant 100 M EUR de chiffre d'affaires

Une entreprise de distribution réalisant 100 M EUR de chiffre d'affaires annuel exploite un système d'IA d'influence comportementale dans la publicité, qui exploite délibérément les vulnérabilités psychologiques des publics âgés — une infraction manifeste à l'article 5, paragraphe 1, point b), de l'EU AI Act. Calcul de l'amende : 7 % × 100 M EUR = 7 M EUR. Comme 7 M EUR est inférieur à 35 M EUR, c'est le pourcentage qui s'applique. S'y ajoutent d'éventuels dommages-intérêts au civil au titre de l'article 82 du DSGVO et du futur EU AI Liability Act.

Comparaison avec les amendes DSGVO

À titre de comparaison : l'amende DSGVO la plus élevée, au titre de l'article 83, paragraphe 5, du DSGVO, atteint au maximum 4 % du chiffre d'affaires annuel mondial ou 20 M EUR — le montant le plus élevé. Avec 7 % pour le niveau 1, l'EU AI Act se situe donc 75 % au-dessus de l'amende maximale du DSGVO. Selon la Heinrich-Böll-Stiftung (analyse de l'EU AI Act 2024), ce dépassement a été délibérément choisi pour refléter le potentiel de danger plus élevé d'une IA non maîtrisée par rapport au traitement de données classique.

Qui inflige les sanctions ? La structure des autorités en Allemagne

L'application de l'EU AI Act incombe aux autorités nationales de surveillance du marché, que chaque État membre doit désigner lui-même. En Allemagne, la répartition des compétences n'est pas encore définitivement arrêtée — mais, selon le document d'orientation du BMWK sur la transposition de l'EU AI Act 2024, la structure suivante est envisagée :

  • Bundesnetzagentur (BNetzA) : autorité nationale chef de file de surveillance du marché pour l'EU AI Act en Allemagne. Elle doit assurer la supervision générale, recevoir les plaintes et engager les procédures d'amende.
  • Commissaire fédéral à la protection des données et à la liberté d'information (BfDI) : compétent pour les infractions à l'AI Act ayant simultanément des implications en matière de protection des données (art. 74, par. 8, EU AI Act).
  • EU AI Office : pour les affaires transfrontalières, les fournisseurs de GPAI (modèles d'IA à usage général) et les risques systémiques, c'est l'AI Office institué au niveau européen au sein de la Commission qui est compétent. Il coordonne les autorités nationales et peut agir lui-même dans les affaires d'envergure.

Voies de recours : les entreprises peuvent former un recours contre les décisions d'amende, puis saisir la juridiction administrative. Au niveau européen, la CJUE est compétente. Les procédures peuvent s'étendre sur plusieurs années — ce qui ne signifie pas pour autant que l'amende est suspendue jusqu'à leur issue.

Questions fréquentes sur les amendes de l'EU AI Act

Les amendes pour infraction aux pratiques d'IA interdites (art. 5 EU AI Act, niveau 1) sont en vigueur depuis le 2 février 2025. Les amendes pour absence de conformité au haut risque et non-respect des obligations de transparence (niveaux 2 et 3) s'appliquent à compter du 2 août 2026, lorsque toutes les exigences relatives au haut risque seront pleinement applicables. Les autorités nationales de surveillance du marché deviennent opérationnelles à partir d'août 2025. Les premières amendes en Allemagne sont attendues pour 2026/2027.
L'article 99, paragraphe 6, de l'EU AI Act prévoit une règle spéciale pour les PME et les start-up : c'est toujours le plus bas des deux montants qui s'applique (montant absolu en EUR ou pourcentage du chiffre d'affaires). Une PME réalisant 5 M EUR de chiffre d'affaires paie, dans un cas de haut risque, au maximum 3 % × 5 M EUR = 150 000 EUR — et non le plafond absolu de 15 M EUR. Cette règle protège contre des sanctions disproportionnées, mais n'est pas un blanc-seing : 150 000 EUR menacent l'existence d'une petite entreprise.
Oui. L'article 99, paragraphe 7, de l'EU AI Act désigne expressément la coopération avec l'autorité comme un facteur d'atténuation de l'amende. Qui signale une infraction de manière proactive, divulgue toutes les informations en toute transparence, met fin sans délai à l'infraction et démontre des mesures correctives peut obtenir une réduction substantielle du montant de l'amende. La FAQ 2024 de la Commission européenne recommande aux entreprises, en cas de lacunes de conformité identifiées, de rechercher tôt le dialogue avec l'autorité — plutôt que d'attendre une découverte extérieure.
Selon le document d'orientation du BMWK 2024, la Bundesnetzagentur (BNetzA) est désignée comme autorité nationale chef de file de surveillance du marché. En cas de recoupements avec la protection des données, le Commissaire fédéral à la protection des données (BfDI) doit être associé. Pour les affaires transfrontalières et les fournisseurs de GPAI, c'est l'EU AI Office de la Commission européenne qui est compétent. Le cadre légal définitif de la structure de surveillance allemande reste à arrêter (état : mai 2026).
Selon toute vraisemblance oui — mais avec une phase de démarrage. L'expérience du DSGVO montre que les autorités nationales privilégient d'abord le conseil et les injonctions de mise en conformité, puis infligent des amendes en cas d'infractions répétées ou graves. Les premières amendes au titre de l'EU AI Act en Allemagne sont réalistes à partir de 2027. Les entreprises incapables de démontrer le moindre effort de conformité courent un risque nettement plus élevé que celles qui œuvrent activement à la mise en œuvre.
Le DSGVO prévoit, au titre de l'article 83, paragraphe 5, pour les infractions graves, un maximum de 4 % du chiffre d'affaires annuel mondial ou de 20 M EUR — le montant le plus élevé étant retenu. L'EU AI Act se situe, pour les pratiques interdites (niveau 1), à 7 % ou 35 M EUR — soit 75 % au-dessus de l'amende maximale du DSGVO. Pour les infractions au haut risque (niveau 2, 3 % ou 15 M EUR), le niveau est comparable aux amendes intermédiaires du DSGVO au titre de l'article 83, paragraphe 4.
Le principe signifie : pour chaque amende, il existe un plafond absolu en EUR et un plafond en pourcentage rapporté au chiffre d'affaires annuel mondial. C'est toujours le plus élevé des deux montants calculés qui s'applique. Exemple : niveau 1 (7 % ou 35 M EUR). Pour une entreprise réalisant 20 M EUR de chiffre d'affaires : 7 % × 20 M = 1,4 M EUR — inférieur à 35 M, donc 1,4 M EUR s'applique. Pour 600 M EUR de chiffre d'affaires : 7 % × 600 M = 42 M EUR — supérieur à 35 M, donc le plafonnement à 35 M EUR s'applique.
Oui. Les décisions d'amende ouvrent la voie au plein contentieux administratif : d'abord un recours auprès de l'autorité émettrice, puis une action devant le tribunal administratif compétent, jusqu'à la Cour administrative fédérale et, pour les questions de droit de l'Union, la CJUE. Pendant les procédures de recours en cours, l'exécution de l'amende peut, sous certaines conditions, être suspendue par voie de référé. En pratique, il est recommandé, dès réception d'une décision d'amende, de faire appel sans délai à un avocat spécialisé en droit de l'IA.

Audit de conformité EU AI Act — réduire les risques d'amende

Wito AI analyse vos systèmes d'IA selon les niveaux de risque de l'EU AI Act, identifie les lacunes de conformité et établit une liste d'actions priorisées. Connaître ses risques d'amende et les réduire de façon ciblée — avant que l'autorité ne pose la question.

Demander l'audit de conformité EU AI ActWito Digital Audit (WDA) gratuit
  • Classification du risque de tous les systèmes d'IA
  • Combler les lacunes de conformité avant l'échéance 2026
  • Réduire de façon démontrable le risque d'amende

Amendes EU AI Act 2026 : que coûte une infraction ? Tableau complet

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen