Quelles sont les sanctions prévues par l'AI Act en cas de non-conformité ?
Réponse courte
L'AI Act prévoit un régime de sanctions graduées selon la gravité de l'infraction. Les amendes les plus élevées concernent le non-respect des pratiques interdites (article 5) : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel. Le non-respect des obligations pour les systèmes à haut risque est sanctionné jusqu'à 15 millions d'euros ou 3 % du CA mondial. La fourniture d'informations inexactes aux autorités peut entraîner des amendes jusqu'à 7,5 millions d'euros ou 1 % du CA mondial.
Ces sanctions s'appliquent tant aux fournisseurs qu'aux déployeurs de systèmes d'IA. Au Luxembourg, l'autorité nationale compétente pour l'application de l'AI Act doit être désignée conformément à l'article 70 du règlement. Les sanctions AI Act se cumulent avec les sanctions RGPD en cas de violation concomitante, mais le même fait ne peut être sanctionné deux fois (principe ne bis in idem).
Définition
Les sanctions de l'AI Act désignent l'ensemble des mesures coercitives prévues par le Règlement UE 2024/1689 pour assurer le respect des obligations relatives aux systèmes d'intelligence artificielle. Ce régime de sanctions s'inspire du modèle du RGPD, avec des amendes administratives proportionnées, dissuasives et effectives.
Le règlement distingue trois niveaux de risque et de sanctions selon la nature de l'infraction : les pratiques interdites (niveau le plus élevé), les obligations pour systèmes à haut risque (niveau intermédiaire) et les obligations d'information (niveau de base). Les PME et start-ups bénéficient de dispositions spécifiques avec des plafonds adaptés.
Questions fréquentes
Conditions d’exercice
Le régime de sanctions de l'AI Act s'articule autour de trois paliers et s'applique à différentes catégories d'acteurs.
| Critère | Détail |
|---|---|
| Palier 1 - Pratiques interdites | Jusqu'à 35 millions d'euros ou 7 % du CA mondial (le plus élevé) ; non-respect de l'article 5 : reconnaissance des émotions, scoring social, manipulation subliminale, exploitation de vulnérabilités |
| Palier 2 - Systèmes à haut risque | Jusqu'à 15 millions d'euros ou 3 % du CA mondial ; non-respect des articles 9-15 : gestion des risques, documentation, traçabilité, supervision humaine, qualité des données |
| Palier 3 - Obligations d'information | Jusqu'à 7,5 millions d'euros ou 1 % du CA mondial ; fourniture d'informations inexactes aux autorités ; non-respect des obligations de transparence |
| PME et start-ups | Plafonds réduits : le montant le plus bas entre le pourcentage du CA et le montant fixe ; dispositions spécifiques pour les micro, petites et moyennes entreprises |
| Personnes concernées | Fournisseurs, déployeurs, importateurs, distributeurs de systèmes d'IA ; l'employeur qui déploie un système d'IA est un déployeur |
| Cumul avec le RGPD | Cumul possible des sanctions AI Act et RGPD ; principe ne bis in idem : un même fait ne peut être sanctionné deux fois ; coordination entre autorités requise |
Modalités pratiques
La prévention des sanctions AI Act nécessite une démarche proactive de mise en conformité.
| Étape | Détail |
|---|---|
| Inventaire et classification | Identifier tous les systèmes d'IA déployés ; classer selon la grille de risque AI Act (interdit, haut risque, risque limité, risque minimal) ; documenter la classification |
| Vérification des interdictions | S'assurer qu'aucun système ne relève des pratiques interdites (art. 5) ; vérifier l'absence de reconnaissance des émotions ; contrôler les systèmes biométriques |
| Conformité haut risque | Pour chaque système à haut risque : documentation technique, gestion des risques, supervision humaine, traçabilité des logs ; calendrier : exigences complètes au 2 août 2026 |
| Formation et sensibilisation | Former les équipes aux obligations AI Act ; désigner un responsable conformité IA ; mettre en place une veille réglementaire |
| Préparation aux contrôles | Constituer un dossier de conformité accessible ; préparer les éléments de preuve (documentation, logs, audits) ; identifier l'autorité nationale compétente |
Pratiques et recommandations
Prioriser la mise en conformité par niveau de risque : vérifier immédiatement l'absence de pratiques interdites (sanctions les plus lourdes), puis se conformer aux exigences pour les systèmes à haut risque avant l'échéance du 2 août 2026.
Documenter exhaustivement la conformité pour chaque système d'IA déployé, en conservant les éléments de preuve (classification, documentation technique, audits, formations) dans un dossier accessible en cas de contrôle.
Anticiper le cumul des sanctions AI Act et RGPD en mettant en place une gouvernance unifiée qui couvre simultanément les deux réglementations, sous la coordination du DPO et du responsable conformité IA.
Surveiller la désignation de l'autorité nationale compétente au Luxembourg pour l'AI Act, ainsi que les lignes directrices et les critères de sanction qui seront publiés par cette autorité.
Évaluer les risques financiers en tenant compte du cumul potentiel des amendes : un même manquement peut théoriquement entraîner des sanctions AI Act (jusqu'à 35 M EUR) et RGPD (jusqu'à 20 M EUR) si des violations distinctes sont caractérisées.
Cadre juridique
| Référence | Objet |
|---|---|
| AI Act (UE 2024/1689) - Article 99 | Amendes administratives : montants et critères de détermination |
| AI Act - Article 5 | Pratiques interdites (palier de sanctions le plus élevé) |
| AI Act - Articles 9-15 | Obligations pour systèmes à haut risque (palier intermédiaire) |
| AI Act - Article 70 | Désignation des autorités nationales compétentes |
| AI Act - Article 113 | Calendrier d'application et périodes transitoires |
| RGPD - Article 83 | Amendes administratives RGPD (cumul possible) |
| Charte des droits fondamentaux de l'UE - Article 50 | Principe ne bis in idem |
Note
L'AI Act met en place un régime de sanctions parmi les plus sévères du droit européen, comparable à celui du RGPD. L'application progressive du règlement (interdictions depuis février 2025, obligations complètes haut risque en août 2026) donne aux entreprises un temps de mise en conformité. Les employeurs luxembourgeois doivent anticiper la désignation de l'autorité nationale et se préparer aux premiers contrôles dès 2026.