Cabinet · Format expert unique · France
STRATÉGIE 11 min de lecture

Sanctions AI Act
ce qu'une PME risque vraiment

L'AI Act prévoit des sanctions allant jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial. Mais en pratique, qu'est-ce qu'une PME risque vraiment en cas de non-conformité ? Voici l'échelle des sanctions réelles, leur logique, et comment ne pas les déclencher.

L'AI Act et son arsenal de sanctions

L'AI Act prévoit l'arsenal de sanctions le plus dur de tous les textes IA dans le monde. Plus élevé que le RGPD (qui plafonne à 4% du CA). Plus précis que les lois US (qui sont sectorielles). Cela en fait un texte effrayant à première lecture, mais comme toutes les régulations européennes, il est conçu pour être proportionné.

Voici les 3 niveaux de sanctions, leur logique, et ce qu'une PME française risque vraiment en pratique.

Niveau 1 : 35M€ ou 7% du CA (les interdictions)

Quoi. Pour les pratiques d'IA classées "risque inacceptable" et donc interdites : social scoring, manipulation cognitive, reconnaissance des émotions sur le lieu de travail (sauf sécurité/médical), catégorisation biométrique sensible, etc.

Sanction maximale. Jusqu'à 35 millions d'euros OU 7% du chiffre d'affaires annuel mondial total, selon le plus élevé.

Cas concret pour une PME. Très rare. Si vous n'utilises pas de social scoring ou de manipulation cognitive (ce qui est probablement le cas), vous n'es pas concerné par ce niveau. La majorité des cas relèveront du niveau 2 ou 3.

Niveau 2 : 15M€ ou 3% du CA (haut risque non conforme)

Quoi. Pour les manquements aux obligations sur les systèmes IA haut risque : pas de DPIA, pas de supervision humaine effective, pas de documentation technique, pas de tests de robustesse, etc. C'est le niveau le plus probable pour une PME en non-conformité.

Sanction maximale. Jusqu'à 15 millions d'euros OU 3% du chiffre d'affaires annuel mondial total.

Cas concret pour une PME. Imagine une PME à 5M€ de CA qui utilise un outil IA de tri CV sans DPIA, sans information candidats, sans supervision humaine effective. Le 3% du CA = 150 000€ maximum. En pratique, sanction réelle probable : 5 000 à 50 000€ pour un premier manquement, plus élevée si récidive.

Niveau 3 : 7.5M€ ou 1.5% du CA (informations incomplètes)

Quoi. Pour les manquements à l'obligation de fournir des informations correctes ou complètes aux autorités de surveillance.

Sanction maximale. Jusqu'à 7.5 millions d'euros OU 1.5% du chiffre d'affaires annuel mondial total.

Cas concret pour une PME. Si vous réponds tardivement ou de manière incomplète à une enquête de la CNIL ou de la future autorité IA, vous pouvez te prendre une sanction de niveau 3 en plus de la sanction de fond.

L'adaptation aux PME : ce que la loi prévoit

L'AI Act prévoit explicitement une adaptation pour les PME et startups. Article 99-7 :

  • Pour les PME et startups, c'est le pourcentage du CA qui s'applique, pas le montant absolu.
  • Les autorités doivent prendre en compte la situation économique de l'entreprise.
  • Les autorités doivent privilégier la pédagogie et la mise en conformité pour les premiers manquements de bonne foi.

Concrètement, pour une PME à 1M€ de CA :

  • Niveau 1 max : 70 000€ (au lieu de 35M€).
  • Niveau 2 max : 30 000€ (au lieu de 15M€).
  • Niveau 3 max : 15 000€ (au lieu de 7.5M€).

Ces montants sont les plafonds maximums. La sanction réelle est généralement inférieure et tient compte de la gravité, de la durée, de la coopération, des circonstances.

La procédure : mise en demeure puis sanction

Comme pour le RGPD, la procédure est graduelle :

  1. Plainte ou autosaisine : déclenchement par une plainte (candidat refusé, employé, concurrent) ou par auto-saisine de l'autorité.
  2. Enquête : l'autorité te demande des éléments (documentation, logs, contrats fournisseurs).
  3. Mise en demeure : l'autorité te demande de te mettre en conformité dans un délai (3-6 mois typiquement).
  4. Vérification : l'autorité vérifie votre mise en conformité.
  5. Sanction uniquement si vous n'avez pas corrigé dans le délai donné.

En pratique, les sanctions sont rares au premier manquement de bonne foi. Les autorités privilégient la mise en conformité. Sauf cas grave (manipulation délibérée, atteinte aux personnes), vous auras le temps de corriger avant sanction.

Comment éviter une sanction AI Act

  1. Inventaire de vos systèmes IA et classification des niveaux de risque. Documentation à jour.
  2. DPIA pour les systèmes haut risque. Avant déploiement.
  3. Information explicite aux personnes concernées (candidats, employés, clients).
  4. Supervision humaine effective sur les décisions IA, documentée.
  5. Information CSE en amont des déploiements impactant les conditions de travail.
  6. Audit fournisseurs : DPA AI Act + RGPD avec chaque fournisseur IA.
  7. Monitoring et logs des incidents.
  8. Désignation d'un responsable AI Act dans l'entreprise.
  9. Formation des équipes aux obligations qui les concernent.
  10. Réaction rapide en cas de plainte ou d'enquête : fournir tout ce qui est demandé, dans les délais.

Le vrai risque pour une PME en 2026

Soyons honnêtes : la probabilité d'une sanction réelle AI Act pour une PME française en 2026 est faible. Les autorités sont en train de se mettre en place. La première mise en demeure significative est attendue début 2027. Le premier vrai dossier de sanction probablement courant 2027.

Mais attention : l'absence de sanction ne signifie pas absence de risque. Les vrais risques en 2026 sont plutôt :

  • Plainte CSE ou syndicat qui paralyse un projet IA RH (temps de gestion + image interne).
  • Plainte candidat via la CNIL pour usage IA non transparent en recrutement.
  • Demande client BtoB de prouver votre conformité AI Act avant de signer un contrat.
  • Image et réputation en cas de scandale public sur usage IA non maîtrisé.

Ces risques sont plus immédiats que le risque sanction et méritent autant d'attention.

Pour aller plus loin : guide complet AI Act PME et calendrier des obligations.

Audit conformité personnalisé : 45 minutes gratuites.

QUESTIONS FRÉQUENTES

Questions fréquentes.

Une PME a-t-elle déjà été sanctionnée au titre de l'AI Act ?

Non, pas à la date de cet article (avril 2026). Les obligations 'haut risque' sont applicables depuis août 2026, donc les premières sanctions réelles ne sont pas attendues avant fin 2026 ou plus probablement courant 2027. Quelques mises en demeure ont été signalées au niveau européen sur les modèles fondationnels (obligations applicables depuis août 2025), mais aucune sanction PME à ce jour.

Si je découvre qu'un système IA que j'utilise n'est pas conforme, que faire ?

1) Audit du gap : qu'est-ce qui manque concrètement ? 2) Plan de mise en conformité avec deadline. 3) Information du fournisseur : si c'est lui qui n'est pas conforme, mise en demeure de se mettre en conformité. 4) Si la non-conformité est sur votre périmètre utilisateur (DPIA, supervision), correction interne sous 3-6 mois. 5) Documentation de toute la démarche : c'est ce qui prouvera la bonne foi en cas d'enquête. La règle : ne JAMAIS cacher une non-conformité, c'est ce qui transforme une mise en demeure en sanction.

Mes fournisseurs IA (Claude, ChatGPT, Mistral) sont-ils conformes à l'AI Act ?

En 2026, les principaux fournisseurs ont travaillé leur conformité : Anthropic (Claude), OpenAI, Mistral et Google publient leurs documentations AI Act conformes. Les contrats Pro/Team incluent des clauses DPA et engagements no-training. Cependant, c'est à VOUS de demander ces documents et de les conserver dans votre dossier de conformité. Aucun fournisseur ne vous les enverra spontanément.

Comment justifier d'une 'supervision humaine effective' aux yeux de l'autorité ?

L'article 14 demande 4 éléments : 1) Désignation explicite des personnes en charge de la supervision. 2) Formation appropriée de ces personnes. 3) Capacité réelle d'intervention (accès aux logs, possibilité de stopper le système, possibilité de revoir une décision). 4) Documentation des interventions. La preuve par documents : organigramme avec noms et rôles, certificats de formation, logs d'intervention sur les 12 derniers mois, rapports d'audit interne semestriels.

Si je suis sous-traitant et que je déploie un système IA fourni par mon client, qui est responsable ?

Cas fréquent dans l'IT et le conseil. La responsabilité est partagée selon les rôles AI Act : le 'fournisseur' (qui développe le système) a des obligations spécifiques, le 'déployeur' (qui l'utilise pour ses propres usages) en a d'autres. Le sous-traitant peut être 'déployeur' pour le compte du client (alors le client a les obligations déployeur). Clé : contractualiser explicitement les responsabilités AI Act dans la convention de prestation. Sans clause, ambiguïté et risque pour les deux parties.

🛠️ Outils gratuits pour passer à l'action

Avant d'attaquer un audit payant, évaluez-vous gratuitement avec ces outils interactifs sans email-gate.

AI ACT · 5 MIN

Calculateur risque AI Act

10 questions, score sur 100 + classification (minimal / limité / haut risque). Sans email.

 CHECKLIST · 15 MIN

Checklist IA Act 35 points

Cases à cocher persistantes : auto-évaluation, registre, transparence, sous-traitants. Imprimable.

 TEMPLATE

Template registre AI Act

Mini-éditeur interactif, 13 champs par système. Export JSON, Markdown, PDF.

📚 POUR APPROFONDIR · COURS GRATUIT · 8 chapitres

IA Act 2026 pour TPE-PME

4 classes de risque, calendrier, registre, sanctions, bonnes pratiques. Conformité opérationnelle.

Suivre le cours →
POUR ALLER PLUS LOIN

Conformité IA Act + RGPD : nos ressources dédiées

HUB COMPLET

Hub conformité IA Act + RGPD

Articles, méthodologie, ressources gratuites (registre, calculateur, checklist), forfaits.

AUDIT PROFESSIONNEL

Audit conformité IA Act

3 forfaits publics : 1 500 € (1j), 6 000 € (4j), 10 500 € (7j). Inventaire + classification + plan d'action.

FORMATION 1 JOUR

Formation IA Act 2026

1 jour pour comprendre le cadre, classifier vos systèmes, monter votre conformité en interne.
PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier les bons cas d'usage IA et automatisation pour votre PME.

Réserver l'audit