Cabinet de stratégie IA · 100 % remote · France & Europe
CHAPITRE 8 / 8 12 min de lecture CHAPITRE FINAL

Sanctions,
contrôles,
posture.

"35 millions d'euros d'amende." Le chiffre fait peur. Mais c'est le maximum théorique pour le pire des cas.

Ce chapitre vous explique la réalité des sanctions pour les TPE et PME, comment se passe un contrôle CNIL, et la posture à adopter pour ne pas paniquer mais ne pas non plus être laxiste. C'est le dernier chapitre du cours.

1. Les 3 niveaux de sanctions sur le papier

Les articles 99 et 100 du règlement définissent une grille de sanctions à 3 niveaux selon la gravité du manquement. Voici les chiffres exacts :

NiveauManquementAmende max
1 (le plus grave)Usage d'une pratique interdite (article 5)35 M€ ou 7 % du CA mondial
2Manquements sur systèmes haut risque, Article 50, fournisseurs GPAI15 M€ ou 3 % du CA mondial
3 (le moins grave)Information incorrecte fournie aux autorités7,5 M€ ou 1 % du CA mondial

Pour chacun, c'est le montant le plus élevé qui s'applique entre l'amende fixe et le pourcentage du CA. C'est volontaire : les Big Tech avec des CA de centaines de milliards prennent les pourcentages, les PME prennent les montants fixes (qu'elles ne peuvent évidemment pas payer).

2. La proportionnalité pour les TPE et PME

L'article 99, paragraphe 7, est crucial pour vous : il prévoit explicitement que les sanctions doivent être proportionnées. Et pour les microentreprises et PME, le règlement dit qu'il faut "tenir compte de la situation économique" et permettre des amendes allégées.

Concrètement, pour une TPE ou PME française en infraction, les sanctions probables sont bien loin des 35 millions :

  • Mise en demeure : 80 % des cas en première intention. La CNIL constate, vous demande de corriger sous délai (1 à 6 mois). Si vous corrigez, pas d'amende.
  • Sanction pécuniaire mineure : 1 000 à 50 000 € pour des manquements modérés et de bonne foi. C'est le scénario typique pour une PME qui a négligé la conformité mais qui n'a pas créé de préjudice grave.
  • Sanction pécuniaire significative : 50 000 à 500 000 € pour des manquements caractérisés (absence totale de prise au sérieux, mauvaise foi avérée, préjudice à des tiers).
  • Sanctions millionnaires : réservées aux cas graves, récidive, mauvaise foi avérée, préjudice massif. Rarissime pour une TPE/PME.

La grille RGPD comme repère. Le règlement RGPD est en place depuis 2018 avec une grille similaire (jusqu'à 20 M€ ou 4 % du CA). En 7 ans, la CNIL a sanctionné principalement des grandes entreprises (Amazon, Google, Carrefour, Free, etc.). Les PME mises en cause ont reçu des amendes typiques de 5 000 à 50 000 €, presque toujours après mise en demeure non suivie d'effet. La logique sera très probablement la même pour l'IA Act.

3. Qui peut vous sanctionner ?

Trois acteurs principaux peuvent intervenir sur l'IA Act en France :

La CNIL (Commission nationale de l'informatique et des libertés)

Désignée comme l'autorité principale en France pour l'IA Act en 2025. Elle reprend ses méthodes éprouvées du RGPD : enquête sur plainte, contrôle programmé, mise en demeure, sanction. C'est elle qui frappera le plus souvent à votre porte.

L'AI Office (autorité européenne)

Basée à Bruxelles, opérationnelle depuis août 2025. Elle traite essentiellement les sujets transfrontaliers et les fournisseurs de modèles à risque systémique (Big Tech). Très peu de chance qu'elle vous contacte directement en tant que PME française.

La DGCCRF et les autorités sectorielles

Pour certains secteurs (santé, automobile, finance), des autorités sectorielles peuvent intervenir en complément. La DGCCRF peut intervenir sur les pratiques commerciales déloyales liées à l'IA (manipulation, faux avis générés par IA, etc.).

4. Comment se passe un contrôle CNIL ?

Trois scénarios principaux selon le RGPD (qui sert de modèle pour l'IA Act).

Scénario 1 : Le contrôle sur plainte

Le plus fréquent. Un client, candidat ou ex-salarié dépose une plainte à la CNIL. La plainte est qualifiée par les services de la CNIL. Si elle est recevable, vous recevez un courrier (de plus en plus souvent dématérialisé) qui décrit la plainte et vous demande de répondre sous 1 à 2 mois.

Ce qu'on attend de vous : répondre point par point, fournir les éléments de preuve (registre IA, mentions appliquées, documentation interne), expliquer ce que vous avez mis en place ou ce que vous comptez mettre en place pour corriger.

Issue typique : classement sans suite si vous êtes en règle, mise en demeure avec délai si manquements modérés, sanction si manquements graves ou non-réponse.

Scénario 2 : Le contrôle programmé

Plus rare pour les TPE/PME. La CNIL choisit chaque année des thématiques prioritaires (ex : en 2026, probablement "IA en recrutement" ou "chatbots et transparence"). Elle contrôle un échantillon d'entreprises dans ces thématiques.

Vous recevez un courrier officiel annonçant un contrôle, avec date et thèmes couverts. Vous avez 8 à 30 jours pour préparer la documentation demandée. Le contrôle peut être sur pièces (échange par email/courrier) ou sur place (rare pour les TPE/PME).

Scénario 3 : Le contrôle inopiné sur place

Très rare pour les TPE/PME, presque toujours dans des cas graves (suspicion de manquement majeur, plainte multiple). Les agents de la CNIL arrivent sans préavis. Vous devez les recevoir, leur fournir l'accès aux documents demandés (registre, contrats, logs).

En pratique pour une PME normale, ce scénario n'arrivera pas sauf en cas de scandale public ou de plainte massive et avérée. Si vous appliquez les chapitres 1 à 7, vous n'êtes pas dans cette zone.

5. La posture intelligente face à un contrôle

Si la CNIL vous contacte, voici la posture qui maximise vos chances de bonne issue.

Règle 1 : Répondre dans les délais, toujours

Ne pas répondre à un courrier de la CNIL est l'erreur n°1. Même si vous ne savez pas quoi dire, répondez : "Nous accusons réception et travaillons à vous fournir les éléments demandés sous X jours." Le silence est interprété comme de la mauvaise foi.

Règle 2 : Être factuel, pas défensif

Décrivez ce que vous faites concrètement, sans chercher à minimiser. La CNIL valorise la transparence. Si vous reconnaissez un manquement et expliquez ce que vous mettez en place pour le corriger, c'est mieux qu'un récit défensif qui se contredit.

Règle 3 : Documenter vos actions

Le registre IA (chapitre 6) est votre meilleur ami ici. Si vous pouvez prouver que vous avez identifié le risque, mis en place des mesures, et assurez un suivi, même imparfait, vous êtes dans une bonne posture. Le pire, c'est l'absence totale de documentation.

Règle 4 : Faire-vous accompagner si nécessaire

Pour une simple mise en demeure sur un sujet mineur, vous pouvez répondre seul. Pour une enquête approfondie ou un risque de sanction significative, faites appel à un avocat spécialisé en droit du numérique. Coût typique d'un accompagnement complet : 3 000 à 15 000 € selon la complexité. Bien moins que l'amende potentielle.

Règle 5 : Coopérer pleinement

Fournir les documents demandés, faciliter les vérifications, ne pas tenter d'effacer ou modifier des preuves. La coopération de bonne foi est explicitement valorisée par la CNIL et peut faire la différence entre une mise en demeure et une sanction.

6. Bonnes pratiques continues

Une fois en conformité, comment rester en conformité ? Voici les routines à mettre en place.

Veille réglementaire

Le règlement va évoluer dans les années à venir : FAQ officielles, lignes directrices de l'AI Office, jurisprudence française. Pour rester informé sans y passer du temps :

  • Newsletter de la CNIL (gratuite, mensuelle)
  • Blog AzenFlow (on couvre les évolutions importantes pour les PME)
  • LinkedIn de quelques avocats référents en droit du numérique
  • Site officiel artificialintelligenceact.eu (anglais, mais référence)

Communication client transparente

Faites de votre conformité un argument commercial, pas un secret. Ajoutez une page "Notre approche IA et conformité IA Act" sur votre site. Mentionnez votre engagement dans vos plaquettes B2B. Vos clients le verront comme un signal de sérieux.

7. Récapitulatif final du cours

Vous avez parcouru les 8 chapitres. Voici ce que vous devriez avoir construit ou compris :

8. Et maintenant ?

Si vous avez fait l'exercice en parallèle de la lecture, vous avez probablement déjà 50 % de votre conformité prête. Pour finir le travail :

  1. Reprenez le chapitre 1, exercice "Lister tous les usages IA" si vous ne l'avez pas fait
  2. Faites le quiz du chapitre 5 pour confirmer votre classe de risque
  3. Implémentez les mentions du chapitre 3 d'ici 4 à 6 semaines
  4. Démarrez le registre du chapitre 6 (Excel suffit pour démarrer)
  5. Si l'IA est centrale dans vos workflows, étudiez sérieusement n8n auto-hébergé (chapitre 7)
  6. Mettez en place les routines du chapitre 8

Si vous voulez un accompagnement pour ne pas le faire seul, AzenFlow propose :

  • Audit gratuit 45 min · cartographie initiale, identification de votre classe de risque, plan d'action high-level
  • Audit de conformité approfondi · analyse complète, documentation, recommandations détaillées (à partir de 1 500 €)
  • Mise en conformité accompagnée · 1 à 2 semaines, on travaille avec vos équipes, vous repartez avec tout le dispositif en place
  • Architecture n8n auto-hébergé clé en main · setup, workflows métier, formation, maintenance

9. Le mot de la fin

L'IA Act peut sembler intimidant. La presse en parle souvent en agitant les amendes record et les obligations complexes pour les Big Tech. La réalité pour une TPE ou PME française est très différente.

Pour 95 % des PME, la conformité IA Act tient en quelques actions concrètes qui prennent 1 à 2 jours répartis sur quelques mois. Ce cours vous a donné l'essentiel : la compréhension, les outils, les templates, les contacts.

Le règlement n'est pas votre ennemi. Il vous pousse à être responsable et transparent dans vos usages IA, ce qui est aussi ce que vos clients attendent de plus en plus. Faites-en un atout, pas un boulet.

Bonne mise en conformité, et n'hésitez pas à nous contacter si vous bloquez sur un point précis. La porte d'AzenFlow est ouverte.

Matthias Marin, fondateur AzenFlow

QUESTIONS FRÉQUENTES

Sur les sanctions et contrôles.

Y a-t-il déjà eu des sanctions IA Act ?

À fin avril 2026, très peu : les sanctions ne sont applicables que depuis le 2 août 2025 pour certains aspects, et seront pleinement opérationnelles à partir du 2 août 2026. Quelques mises en demeure ont été émises par des autorités européennes (Italie, Allemagne) sur des cas spécifiques de transparence chatbot et de modèles fondationnels. Aucune amende significative pour une TPE/PME française à notre connaissance. Mais ça arrivera dans les 12-24 mois qui viennent.

Combien de temps après une plainte avant que la CNIL agisse ?

Le délai typique est de 3 à 12 mois entre le dépôt de plainte et le premier courrier que vous recevez. La CNIL filtre les plaintes recevables, instruit les dossiers prioritaires, et contacte ensuite les entreprises concernées. Cela vous laisse du temps, mais ne comptez pas dessus pour ne pas vous mettre en règle. Une plainte qui dort dans une file peut être réveillée à tout moment.

Mon entreprise est-elle assurée contre une amende IA Act ?

En général non. La plupart des contrats d'assurance Responsabilité Civile Professionnelle excluent explicitement les amendes administratives (RGPD, IA Act, droit de la consommation). Vérifiez votre contrat. Certains assureurs proposent depuis 2025 des extensions "cyber et conformité" qui couvrent les frais d'avocat et parfois une partie des sanctions. Mais c'est récent et coûteux. Mieux vaut prévenir que guérir : la conformité préventive est moins chère que toute assurance.

Si j'ai utilisé l'IA de manière non conforme avant 2026, je risque quoi ?

Pour la plupart des obligations (Article 50 notamment), elles s'appliquent à compter du 2 août 2026 pour les usages futurs. Les usages passés ne sont pas rétroactivement sanctionnables. Mais si un usage non conforme continue après l'échéance, là vous êtes en infraction. Pour les interdictions (article 5), elles sont actives depuis février 2025 et un usage interdit avant cette date n'était pas conforme à d'autres règles (RGPD, déontologie). En pratique, mettez-vous en conformité avant le 2 août 2026 et tout va bien.

Comment savoir si on est sur la liste des contrôles thématiques de la CNIL ?

La CNIL publie chaque année son programme de contrôles. Pour 2026, les thématiques annoncées incluent l'IA dans le recrutement et les chatbots commerciaux. Si votre activité touche directement à un thème prioritaire, considérez que vous avez une probabilité supérieure d'être contrôlé et préparez-vous en conséquence. Le programme est sur cnil.fr.

🎉 VOUS AVEZ TERMINÉ LE COURS

8 chapitres. Conformité IA Act maîtrisée.

Vous avez parcouru les ~25 000 mots qui couvrent l'essentiel pour mettre votre TPE ou PME en conformité avec le règlement européen sur l'IA.

Retour au sommaire Voir les autres cours →
PASSER À L'ACTION ?

Audit conformité IA Act en 45 minutes.

Vous avez fini le cours, prêt à mettre tout ça en place. Si vous voulez un accompagnement personnalisé pour démarrer du bon pied, on peut en parler.

Réserver l'audit gratuit

45 min · Gratuit · Sans engagement