Cabinet de stratégie IA · 100 % remote · France & Europe
STRATÉGIE 11 min de lecture

Sanctions AI Act
ce qu'une PME risque vraiment

L'AI Act prevoit des sanctions allant jusqu'a 35 millions d'euros ou 7% du chiffre d'affaires mondial. Mais en pratique, qu'est-ce qu'une PME risque vraiment en cas de non-conformite ? Voici l'echelle des sanctions reelles, leur logique, et comment ne pas les decleancher.

L'AI Act et son arsenal de sanctions

L'AI Act prevoit l'arsenal de sanctions le plus dur de tous les textes IA dans le monde. Plus eleve que le RGPD (qui plafonne a 4% du CA). Plus precis que les lois US (qui sont sectorielles). Cela en fait un texte effrayant a premiere lecture, mais comme toutes les regulations europeennes, il est concu pour etre proportionne.

Voici les 3 niveaux de sanctions, leur logique, et ce qu'une PME francaise risque vraiment en pratique.

Niveau 1 : 35M€ ou 7% du CA (les interdictions)

Quoi. Pour les pratiques d'IA classees "risque inacceptable" et donc interdites : social scoring, manipulation cognitive, reconnaissance des emotions sur le lieu de travail (sauf securite/medical), categorisation biometrique sensible, etc.

Sanction maximale. Jusqu'a 35 millions d'euros OU 7% du chiffre d'affaires annuel mondial total, selon le plus eleve.

Cas concret pour une PME. Tres rare. Si tu n'utilises pas de social scoring ou de manipulation cognitive (ce qui est probablement le cas), tu n'es pas concerne par ce niveau. La majorite des cas releveront du niveau 2 ou 3.

Niveau 2 : 15M€ ou 3% du CA (haut risque non conforme)

Quoi. Pour les manquements aux obligations sur les systemes IA haut risque : pas de DPIA, pas de supervision humaine effective, pas de documentation technique, pas de tests de robustesse, etc. C'est le niveau le plus probable pour une PME en non-conformite.

Sanction maximale. Jusqu'a 15 millions d'euros OU 3% du chiffre d'affaires annuel mondial total.

Cas concret pour une PME. Imagine une PME a 5M€ de CA qui utilise un outil IA de tri CV sans DPIA, sans information candidats, sans supervision humaine effective. Le 3% du CA = 150 000€ maximum. En pratique, sanction reelle probable : 5 000 a 50 000€ pour un premier manquement, plus elevee si recidive.

Niveau 3 : 7.5M€ ou 1.5% du CA (informations incompletes)

Quoi. Pour les manquements a l'obligation de fournir des informations correctes ou completes aux autorites de surveillance.

Sanction maximale. Jusqu'a 7.5 millions d'euros OU 1.5% du chiffre d'affaires annuel mondial total.

Cas concret pour une PME. Si tu reponds tardivement ou de maniere incomplete a une enquete de la CNIL ou de la future autorite IA, tu peux te prendre une sanction de niveau 3 en plus de la sanction de fond.

L'adaptation aux PME : ce que la loi prevoit

L'AI Act prevoit explicitement une adaptation pour les PME et startups. Article 99-7 :

  • Pour les PME et startups, c'est le pourcentage du CA qui s'applique, pas le montant absolu.
  • Les autorites doivent prendre en compte la situation economique de l'entreprise.
  • Les autorites doivent privilegier la pedagogie et la mise en conformite pour les premiers manquements de bonne foi.

Concretement, pour une PME a 1M€ de CA :

  • Niveau 1 max : 70 000€ (au lieu de 35M€).
  • Niveau 2 max : 30 000€ (au lieu de 15M€).
  • Niveau 3 max : 15 000€ (au lieu de 7.5M€).

Ces montants sont les plafonds maximums. La sanction reelle est generalement inferieure et tient compte de la gravite, de la duree, de la cooperation, des circonstances.

La procedure : mise en demeure puis sanction

Comme pour le RGPD, la procedure est graduelle :

  1. Plainte ou autosaisine : declenchement par une plainte (candidat refuse, employe, concurrent) ou par auto-saisine de l'autorite.
  2. Enquete : l'autorite te demande des elements (documentation, logs, contrats fournisseurs).
  3. Mise en demeure : l'autorite te demande de te mettre en conformite dans un delai (3-6 mois typiquement).
  4. Verification : l'autorite verifie ta mise en conformite.
  5. Sanction uniquement si tu n'as pas corrige dans le delai donne.

En pratique, les sanctions sont rares au premier manquement de bonne foi. Les autorites privilegient la mise en conformite. Sauf cas grave (manipulation deliberee, atteinte aux personnes), tu auras le temps de corriger avant sanction.

Comment eviter une sanction AI Act

  1. Inventaire de tes systemes IA et classification des niveaux de risque. Documentation a jour.
  2. DPIA pour les systemes haut risque. Avant deploiement.
  3. Information explicite aux personnes concernees (candidats, employes, clients).
  4. Supervision humaine effective sur les decisions IA, documentee.
  5. Information CSE en amont des deploiements impactant les conditions de travail.
  6. Audit fournisseurs : DPA AI Act + RGPD avec chaque fournisseur IA.
  7. Monitoring et logs des incidents.
  8. Designation d'un responsable AI Act dans l'entreprise.
  9. Formation des equipes aux obligations qui les concernent.
  10. Reaction rapide en cas de plainte ou d'enquete : fournir tout ce qui est demande, dans les delais.

Le vrai risque pour une PME en 2026

Soyons honnetes : la probabilite d'une sanction reelle AI Act pour une PME francaise en 2026 est faible. Les autorites sont en train de se mettre en place. La premiere mise en demeure significative est attendue debut 2027. Le premier vrai dossier de sanction probablement courant 2027.

Mais attention : l'absence de sanction ne signifie pas absence de risque. Les vrais risques en 2026 sont plutot :

  • Plainte CSE ou syndicat qui paralyse un projet IA RH (temps de gestion + image interne).
  • Plainte candidat via la CNIL pour usage IA non transparent en recrutement.
  • Demande client BtoB de prouver ta conformite AI Act avant de signer un contrat.
  • Image et reputation en cas de scandale public sur usage IA non maitrise.

Ces risques sont plus immediats que le risque sanction et meritent autant d'attention.

Pour aller plus loin : guide complet AI Act PME et calendrier des obligations.

Audit conformite personnalise : 45 minutes gratuites.

QUESTIONS FRÉQUENTES

Questions fréquentes.

Une PME a-t-elle deja ete sanctionnee au titre de l'AI Act ?

Non, pas a la date de cet article (avril 2026). Les obligations 'haut risque' sont applicables depuis aout 2026, donc les premieres sanctions reelles ne sont pas attendues avant fin 2026 ou plus probablement courant 2027. Quelques mises en demeure ont ete signalees au niveau europeen sur les modeles fondationnels (obligations applicables depuis aout 2025), mais aucune sanction PME a ce jour.

Si je decouvre qu'un systeme IA que j'utilise n'est pas conforme, que faire ?

1) Audit du gap : qu'est-ce qui manque concretement ? 2) Plan de mise en conformite avec deadline. 3) Information du fournisseur : si c'est lui qui n'est pas conforme, mise en demeure de se mettre en conformite. 4) Si la non-conformite est sur ton perimetre utilisateur (DPIA, supervision), correction interne sous 3-6 mois. 5) Documentation de toute la demarche : c'est ce qui prouvera la bonne foi en cas d'enquete. La regle : ne JAMAIS cacher une non-conformite, c'est ce qui transforme une mise en demeure en sanction.

Mes fournisseurs IA (Claude, ChatGPT, Mistral) sont-ils conformes a l'AI Act ?

En 2026, les principaux fournisseurs ont travaille leur conformite : Anthropic (Claude), OpenAI, Mistral et Google publient leurs documentations AI Act conformes. Les contrats Pro/Team incluent des clauses DPA et engagements no-training. Cependant, c'est a TOI de demander ces documents et de les conserver dans ton dossier de conformite. Aucun fournisseur ne te les enverra spontanement.

Comment justifier d'une 'supervision humaine effective' aux yeux de l'autorite ?

L'article 14 demande 4 elements : 1) Designation explicite des personnes en charge de la supervision. 2) Formation appropriee de ces personnes. 3) Capacite reelle d'intervention (acces aux logs, possibilite de stopper le systeme, possibilite de revoir une decision). 4) Documentation des interventions. La preuve par documents : organigramme avec noms et roles, certificats de formation, logs d'intervention sur les 12 derniers mois, rapports d'audit interne semestriels.

Si je suis sous-traitant et que je deploie un systeme IA fourni par mon client, qui est responsable ?

Cas frequent dans l'IT et le conseil. La responsabilite est partagee selon les roles AI Act : le 'fournisseur' (qui developpe le systeme) a des obligations specifiques, le 'deployeur' (qui l'utilise pour ses propres usages) en a d'autres. Le sous-traitant peut etre 'deployeur' pour le compte du client (alors le client a les obligations deployeur). Cle : contractualiser explicitement les responsabilites AI Act dans la convention de prestation. Sans clause, ambiguite et risque pour les deux parties.

PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier les bons cas d'usage IA et automatisation pour votre PME.

Réserver l'audit