Depuis le 1er août 2024, le règlement (UE) 2024/1689, communément appelé AI Act, est entré en vigueur. Ce texte constitue le premier cadre juridique mondial dédié aux systèmes d'intelligence artificielle et aux modèles d'IA à usage général (GPAI). Il s'applique à l'ensemble des opérateurs : fournisseurs et déployeurs de systèmes d'IA, qu'il s'agisse d'entreprises privées, d'administrations ou d'organismes publics.
Au-delà des exigences techniques, le cœur du texte réside dans ses exigences et obligations et son régime de sanctions, particulièrement strict. Les enjeux touchent directement la protection des données, la gouvernance algorithmique et la conformité réglementaire des organisations.
Le règlement repose sur une approche par niveaux de risque IA (risque inacceptable, élevé, limité et minimal), qui conditionne de manière graduée les obligations applicables aux systèmes d’IA en fonction de leur niveau d’impact sur la sécurité et les droits fondamentaux.
L'article 99 de l'AI Act : trois paliers de sanctions
Le régime de sanctions du règlement (UE) 2024/1689 est défini à l'article 99. Il repose sur trois niveaux d'amendes calculés sur la base du chiffre d'affaires annuel mondial total de l'entreprise.
Le principe directeur est le suivant : la sanction correspond toujours au montant le plus élevé entre une somme fixe et un pourcentage du chiffre d'affaires annuel mondial total.
1- Violation des pratiques interdites : jusqu'à 35 M€ ou 7 % du CA mondial
Ce palier concerne les violations les plus graves, soit les usages relevant du risque inacceptable au sens de l'article 5 du règlement.
Sont visés notamment :
- les systèmes de manipulation comportementale et d'exploitation de vulnérabilités
- les systèmes de notation sociale (social scoring) mis en œuvre par des autorités publiques
- les usages prohibés par les services répressifs (law enforcement)
- les systèmes affectant des infrastructures critiques
- les traitements d'identification biométrique à distance interdits
Ces pratiques portent atteinte aux droits fondamentaux et à la sûreté publique.
Sanction : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial Applicable depuis le 2 février 2025
2- Manquements aux obligations applicables aux systèmes à haut risque et aux modèles GPAI : jusqu'à 15 M€ ou 3 % du CA mondial
Ce palier sanctionne les manquements aux exigences techniques et organisationnelles imposées aux systèmes d'IA à haut risque (Chapitre III) et aux modèles GPAI (Chapitre V).
Manquements typiques :
- absence de documentation technique requise aux articles 11 et 53
- non-respect des obligations de transparence prévues à l'article 50
- absence de système de gestion des risques et de supervision humaine effective
- défaut de conformité aux exigences applicables aux systèmes d'IA à haut risque
- insuffisance des mesures d'atténuation des risques systémiques pour les modèles GPAI avancés (art. 55)
Secteurs particulièrement exposés : santé, éducation, justice, ressources humaines, infrastructures critiques (Annexe III).
Sanction : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial Obligations GPAI applicables depuis le 2 août 2025
3- Fourniture d'informations inexactes ou trompeuses aux autorités : jusqu'à 7,5 M€ ou 1 % du CA mondial
Ce palier sanctionne les manquements dans les relations avec les autorités de surveillance nationales et européennes.
Sont concernés :
- la fourniture d'informations incorrectes, incomplètes ou trompeuses
- l'obstruction aux contrôles diligentés par les autorités compétentes
- les manquements constatés lors des audits de conformité
Sanction : jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial
Supervision institutionnelle
L'application du règlement est assurée par :
- le Bureau de l'IA (AI Office), institué au sein de la Commission européenne, compétent pour la supervision des modèles GPAI
- les autorités nationales compétentes désignées par chaque État membre
Ces instances assurent la mise en œuvre du cadre juridique en coordination avec les régulateurs sectoriels.
Champ d'application personnel : qui est concerné ?
Le règlement s'applique à toute entité :
- développant un système d'IA destiné au marché de l'Union
- déployant un système d'IA dans le cadre de son activité professionnelle
- agissant en qualité de fournisseur, déployeur, importateur ou distributeur au sens de l'article 3
- intégrant des modèles GPAI dans ses produits ou services
- opérant dans des secteurs à infrastructure critique
Les utilisateurs professionnels peuvent également être qualifiés de déployeurs lorsqu'ils exploitent des systèmes d'IA dans des contextes sensibles.
Cumul des sanctions : AI Act et RGPD
Oui, le cumul est juridiquement possible. L'article 2, paragraphe 7 du règlement précise expressément que son application est sans préjudice du règlement (UE) 2016/679 (RGPD). Un même système d'IA peut donc faire l'objet de sanctions distinctes au titre de l'AI Act et du RGPD pour les mêmes faits.
Exemple : un système de reconnaissance faciale non conforme pourrait être sanctionné simultanément sur le fondement des deux règlements.
Sanctions applicables aux institutions de l'Union : article 100
Les institutions, organes et organismes de l'Union européenne ne sont pas exemptés. L'article 100 confie au Contrôleur européen de la protection des données (CEPD) le pouvoir d'infliger des amendes pouvant atteindre :
- 1,5 million d'euros pour violation des pratiques interdites
- 750 000 euros pour les autres infractions
Calendrier d'application
| Date | Dispositions applicables |
|---|---|
| 1er août 2024 | Entrée en vigueur du règlement |
| 2 février 2025 | Pratiques interdites (art. 5) + obligation de maîtrise des compétences IA (art. 4) |
| 2 août 2025 | Obligations GPAI (Chapitre V) + gouvernance + désignation des autorités nationales |
| 2 août 2026 | Obligations de transparence (art. 50) + systèmes à haut risque (Annexe III) |
| 2 décembre 2027 | Systèmes à haut risque révisés (Digital Omnibus accord provisoire mai 2026) |
Autorités françaises compétentes
En France, plusieurs autorités ont été désignées pour superviser l'application du règlement selon leur domaine de compétence, notamment :
- CNIL : traitements de données à caractère personnel liés aux systèmes d'IA
- DGCCRF : protection des consommateurs
- ARCOM : contenus en ligne et services de médias audiovisuels
Bonnes pratiques de mise en conformité
- Cartographier les systèmes d'IA utilisés ou déployés et établir leur classification (risque minimal, haut risque, GPAI, pratique interdite)
- Qualifier son rôle juridique : fournisseur, déployeur, importateur : les obligations varient selon le statut (art. 25 et suivants)
- Vérifier l'absence de pratiques interdites au sens de l'article 5, applicables depuis le 2 février 2025
- Établir la documentation technique requise pour les systèmes à haut risque (art. 11)
- Former les équipes : l'obligation de maîtrise des compétences IA (art. 4) est en vigueur depuis le 2 février 2025
- Mettre en place les mentions de transparence pour les systèmes génératifs et agents conversationnels (art. 50, applicable depuis le 2 août 2026)
Le règlement (UE) 2024/1689 n'est plus un texte prospectif. Ses sanctions les plus sévères sont applicables depuis le 2 février 2025, et les obligations relatives aux modèles GPAI depuis le 2 août 2025. Avec des plafonds d'amendes supérieurs à ceux du RGPD pour les infractions les plus graves, il s'impose comme l'instrument réglementaire technologique le plus contraignant jamais adopté par l'Union européenne.
La mise en conformité n'est pas une option : elle constitue une nécessité stratégique pour toute organisation qui développe, déploie ou utilise des systèmes d'intelligence artificielle dans l'Union.