EU AI Act 2026 : les 5 amendes les plus lourdes qui menacent votre entreprise

Le compte à rebours est lancé. À partir du 2 août 2026, l'essentiel du règlement européen sur l'intelligence artificielle devient pleinement applicable aux systèmes d'IA à haut risque et aux obligations opérationnelles qui concernent les entreprises. Pour beaucoup de directions françaises, le sujet reste encore rangé dans la catégorie « veille réglementaire ». C'est une erreur. Pour un DPO, une DSI, une direction juridique ou une DAF, l'EU AI Act doit désormais être traité comme un risque financier, contractuel et de gouvernance.

Le niveau des sanctions suffit à changer de grille de lecture. Le texte prévoit un plafond pouvant atteindre 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les infractions les plus graves. Même lorsque l'on ne se situe pas dans ce niveau maximal, les montants intermédiaires restent significatifs et peuvent s'ajouter à d'autres expositions : blocage d'un projet, injonction de mise en conformité, revue contractuelle urgente, contentieux avec un client, ou contrôle RGPD lorsque des données personnelles sont en jeu.

Qui est concerné ? Bien plus d'acteurs qu'on ne le croit. Le règlement ne vise pas uniquement les grands éditeurs de modèles. Une banque qui automatise une partie du scoring de crédit, un groupe qui déploie un outil RH enrichi à l'IA, une clinique qui intègre un système d'aide au diagnostic, un opérateur qui expérimente la biométrie ou un site e-commerce qui déploie un chatbot conversationnel sont déjà dans le champ d'analyse. Si vous utilisez un système d'IA sous votre propre autorité, vous pouvez être déployeur. Si vous le développez, le marquez ou le mettez sur le marché sous votre nom, vous pouvez aussi devenir fournisseur. Dans les deux cas, votre exposition n'est plus théorique.

Si vous avez besoin d'une vue d'ensemble sur les échéances, commencez par consulter notre calendrier AI Act. Mais si votre priorité est de comprendre où les amendes peuvent tomber et pourquoi, voici la lecture la plus utile pour préparer 2026.

1. Les 3 niveaux d'amendes à connaître avant le 2 août 2026

Le règlement distingue trois grands paliers de sanctions administratives. Pour une entreprise, le bon réflexe n'est pas seulement de mémoriser les montants, mais de relier chaque palier à une famille de manquements.

35 M€ ou 7 % du chiffre d'affaires mondial : les pratiques interdites

Le palier maximal vise les violations de l'article 5, c'est-à-dire les usages d'IA considérés comme inacceptables au regard des droits fondamentaux. C'est le cas de certaines pratiques biométriques ou manipulatoires explicitement interdites par le texte. Dès qu'un projet entre dans cette zone rouge, il ne s'agit plus d'un simple chantier de conformité : il faut requalifier l'usage ou l'arrêter.

15 M€ ou 3 % du chiffre d'affaires mondial : les manquements sur les systèmes à haut risque

Ce deuxième palier concerne l'essentiel des manquements opérationnels que rencontrent les entreprises : absence de gestion des risques, documentation technique incomplète, défaut de supervision humaine, gouvernance des données insuffisante, journalisation lacunaire ou instructions d'usage trop faibles. C'est le niveau de sanction qui menace le plus directement les organisations françaises déployant des outils IA dans les RH, la santé, le crédit ou les services essentiels. Si vos usages touchent le recrutement, l'accès à un financement, la santé ou des décisions sensibles, vous devez aussi regarder vos pages sectorielles dédiées : finance, RH et santé.

7,5 M€ ou 1 % du chiffre d'affaires mondial : les informations inexactes remises à l'autorité

Ce troisième niveau est souvent sous-estimé. Il vise la fourniture d'informations inexactes, incomplètes ou trompeuses à une autorité compétente ou à un organisme notifié en réponse à une demande. En pratique, cela signifie qu'un dossier préparé dans l'urgence, un inventaire IA incomplet, des réponses contradictoires entre conformité, RSSI et métier, ou une documentation fournisseur insuffisamment revue peuvent aggraver fortement votre exposition lors d'un contrôle.

Autrement dit, la conformité EU AI Act n'est pas seulement une affaire de juristes. C'est un sujet transversal qui engage la finance, la cybersécurité, les achats, les métiers et les responsables de traitement. L'entreprise qui ne sait pas expliquer quels systèmes elle utilise, à quoi ils servent, qui les supervise et sur quelle documentation elle s'appuie se met elle-même en risque.

2. Cinq scénarios concrets de sanction pour une entreprise française

Les scénarios ci-dessous sont volontairement concrets. Ils parlent à des usages déjà présents dans les organisations. Le barème exact dépendra toujours du rôle de l'entreprise, des articles violés et de son degré de coopération avec l'autorité. Mais ils montrent très clairement où le risque financier devient tangible.

Scénario n°1 : un scoring de crédit non conforme dans une banque ou une fintech

Le règlement classe les systèmes utilisés pour évaluer la solvabilité ou la capacité de remboursement d'une personne physique parmi les usages à haut risque. Concrètement, si un établissement s'appuie sur un moteur de scoring pour accepter, refuser ou tarifer un crédit, il ne peut pas se contenter d'une logique « boîte noire » fournie par un prestataire.

Le risque apparaît lorsque l'entreprise ne peut pas démontrer la qualité des données d'entrée, la logique de supervision humaine, les limites du modèle, le traitement des biais ou les conditions d'usage. Une revue humaine purement formelle ne suffit pas. Si l'analyste se contente de valider mécaniquement la recommandation du système, l'argument de supervision devient difficile à tenir.

Dans ce scénario, l'exposition se situe typiquement dans le palier 15 M€ / 3 % pour non-respect des obligations applicables aux systèmes à haut risque. Et si l'autorité demande des explications sur les variables retenues, les journaux ou la documentation, la réponse approximative peut créer un second risque au titre des informations inexactes.

Scénario n°2 : un outil de recrutement automatisé sans véritable supervision humaine

Le cas RH est l'un des plus concrets pour les entreprises françaises. Les systèmes utilisés pour trier des candidatures, analyser des CV, noter des entretiens vidéo ou assister une décision de recrutement figurent dans les catégories explicitement sensibles. Beaucoup d'organisations pensent limiter le risque parce qu'un recruteur garde la décision finale. En pratique, cela ne suffit pas si la chaîne réelle de décision reste structurée par l'outil.

Le scénario classique est connu : l'éditeur promet un gain de temps, l'équipe RH active les filtres par défaut, les managers ne comprennent pas la logique de classement, et personne n'est en mesure d'expliquer a posteriori pourquoi certains profils ont été évincés. Vous avez alors un sujet de gouvernance des données, de transparence interne, de supervision humaine et potentiellement de discrimination.

Là encore, l'exposition principale relève du niveau 15 M€ / 3 %. En France, ce type de dossier intéresse aussi immédiatement la fonction DPO et les équipes relations sociales, car l'AI Act ne remplace pas le RGPD ni le droit du travail : il s'y superpose. Si votre exposition RH n'est pas encore cartographiée, commencez par notre page conformité IA RH.

Scénario n°3 : un diagnostic médical assisté par IA sans documentation technique exploitable

Le secteur santé cumule plusieurs niveaux de vigilance. Une solution d'aide au diagnostic, à la priorisation clinique ou à l'interprétation d'images peut relever d'un régime exigeant, souvent en lien avec les produits régulés, et exiger une documentation technique beaucoup plus robuste que ce que les équipes projet obtiennent réellement au moment de l'achat.

Le risque concret n'est pas seulement l'absence de dossier chez le fournisseur. Il apparaît aussi lorsque l'établissement déploie l'outil sans savoir quelles performances ont été validées, dans quelles conditions, pour quelle population, avec quelles limites connues, et avec quel protocole de surveillance humaine. Si vous ne pouvez pas reconstituer la chaîne de preuve, vous êtes vulnérable à un contrôle.

Pour un établissement de santé, une medtech ou un intégrateur, ce scénario se rattache le plus souvent au palier 15 M€ / 3 %. Il illustre une réalité simple : une IA médicale ne se « sécurise » pas avec une fiche commerciale et une démo éditeur. Elle se gouverne comme un système critique, documenté, auditable et supervisé. Pour cadrer ce sujet, consultez aussi notre page conformité IA santé.

Scénario n°4 : un projet de reconnaissance faciale temps réel déployé hors cadre autorisé

C'est le scénario le plus sensible en matière d'image, de libertés publiques et de sanction maximale. Le règlement prévoit une interdiction de principe pour certains usages de reconnaissance biométrique à distance en temps réel dans des espaces accessibles au public, avec un encadrement extrêmement étroit des exceptions. Dès qu'une entreprise travaille sur un dispositif de sûreté, de contrôle d'accès massif ou de surveillance reposant sur cette logique, elle entre dans une zone juridique à très haut risque.

Le point important est le suivant : même lorsqu'un projet n'entre pas exactement dans le coeur des interdictions de l'article 5, il reste en pratique exposé à une combinaison dangereuse de contraintes AI Act, RGPD, biométrie, sécurité et contrats publics. Mais si l'usage relève bien d'une pratique prohibée, l'exposition bascule dans le niveau 35 M€ / 7 %. C'est le type de projet qu'une direction générale doit faire remonter immédiatement avant tout pilote opérationnel.

Pour une DSI ou une direction sûreté, la bonne question n'est donc pas « le fournisseur sait-il faire ? » mais « avons-nous une base légale, un cadre d'usage autorisé, une qualification réglementaire solide et une position formalisée sur les droits fondamentaux ? ». Sans cela, le projet peut devenir indéfendable très vite.

Scénario n°5 : un chatbot B2C qui n'indique pas clairement qu'il s'agit d'une IA

Ce scénario paraît plus léger. Il ne l'est pas. Le règlement impose, sauf évidence pour l'utilisateur, que les personnes soient informées qu'elles interagissent avec un système d'IA. Beaucoup d'entreprises déploient aujourd'hui des assistants commerciaux, SAV ou préqualification sans signalétique claire, avec des formulations ambiguës du type « conseiller virtuel » ou des parcours où l'utilisateur croit dialoguer avec un humain.

Le premier risque est un risque de transparence. Le second est un risque probatoire : lorsqu'une autorité demande comment l'information est fournie, à quel moment, sur quels canaux, avec quelle version du script et quelle conservation des preuves, l'entreprise doit être capable de répondre proprement. Si elle improvise, elle s'expose non seulement aux mesures de mise en conformité, mais aussi au risque lié à des réponses inexactes ou incomplètes.

Dans les faits, ce cas ne débouche pas automatiquement sur le niveau maximal. En revanche, il illustre très bien la logique du règlement : même un usage B2C apparemment banal exige des contrôles documentés. Pour une direction marketing ou service client, le bon réflexe est d'intégrer la transparence AI dans le design du parcours et dans la gouvernance de la relation client, pas en post-scriptum juridique.

3. Qui sanctionne en France ? CNIL, ANSSI et autorités compétentes

En France, vous ne devez pas raisonner comme si une seule autorité allait tout contrôler. Le règlement européen prévoit la désignation d'autorités compétentes au niveau national. Côté français, la coordination de la surveillance s'organise autour de la DGCCRF, avec une articulation entre autorités de contrôle, expertise technique et régulateurs sectoriels selon les cas d'usage concernés.

Pour les entreprises, trois idées pratiques doivent être retenues. Premièrement, la CNIL reste un interlocuteur déterminant dès qu'un système d'IA traite des données personnelles ou soulève des enjeux de droits fondamentaux. Même lorsque le contrôle principal relève de l'AI Act, le volet RGPD ne disparaît pas. Deuxièmement, l'ANSSI a vocation à peser sur les enjeux de robustesse technique, de cybersécurité, d'architecture et d'expertise de sécurité lorsque le système ou son contexte d'usage le justifie. Troisièmement, l'entreprise doit s'attendre à une lecture coordonnée, et non cloisonnée, des risques.

En pratique, cela signifie qu'une réponse fragmentée ne tiendra pas. Si la conformité conserve un inventaire, la DSI gère la sécurité, les achats conservent les pièces fournisseur et le métier pilote le cas d'usage, il faut que l'ensemble soit cohérent. L'autorité ne regardera pas seulement votre politique interne ; elle regardera votre capacité réelle à démontrer la maîtrise du système, la clarté des rôles et la fiabilité des preuves remises.

4. Comment vous protéger avant août 2026 : la checklist en 5 actions

Le sujet est exigeant, mais il reste traitable si vous structurez votre démarche maintenant. Voici la checklist minimale à engager avant le 2 août 2026.

1. Cartographiez tous les systèmes IA réellement utilisés. Ne vous limitez pas aux projets officiellement étiquetés « IA ». Incluez les modules fournis par des éditeurs SaaS, les fonctions automatiques intégrées dans les ATS, CRM, outils de scoring, assistants internes ou dispositifs métiers.
2. Qualifiez chaque cas d'usage par rôle et par niveau de risque. Êtes-vous fournisseur, déployeur, intégrateur, simple utilisateur ? Le système relève-t-il d'un usage interdit, haut risque, transparence limitée ou faible risque ? Cette qualification doit être documentée et revue avec les métiers.
3. Constituez votre dossier de preuve. Contrats, documentation technique, notices d'utilisation, logs, procédures de supervision humaine, gouvernance des données, critères d'escalade, points de contrôle sécurité : tout doit être rassemblé avant le contrôle, pas pendant.
4. Organisez une gouvernance transversale. Le pilotage ne peut pas reposer uniquement sur le juridique ou le DPO. Finance, DSI, RSSI, achats, métiers et conformité doivent partager une même grille de décision, sinon vos réponses aux autorités seront incohérentes.
5. Testez vos cas les plus sensibles avant l'échéance. Commencez par le crédit, les RH, la santé, la biométrie et les chatbots externes. Ce sont les sujets qui concentrent le plus vite les risques financiers, réputationnels et contractuels.

Cette checklist n'est pas une formalité. Elle constitue votre meilleure protection contre le scénario le plus coûteux : découvrir trop tard qu'un outil déjà en production n'est ni qualifié, ni documenté, ni véritablement supervisé.

Conclusion : les amendes EU AI Act sont d'abord un test de gouvernance

Le vrai message de l'EU AI Act n'est pas seulement le montant des amendes. C'est le niveau d'attente vis-à-vis des entreprises. À compter du 2 août 2026, vous devrez être capable d'expliquer clairement quels systèmes IA vous utilisez, sur quelle base vous les avez qualifiés, comment vous les supervisez et quelles preuves vous pouvez produire. Les entreprises qui travaillent dès maintenant sur leur inventaire, leur documentation et leur gouvernance réduisent fortement leur risque. Les autres entreront dans 2026 avec un angle mort coûteux.

Auditez vos systèmes IA maintenant → /audit