L'article 100 du Règlement (UE) 2024/1689 établit un régime de sanctions administratives spécifique applicable aux institutions, organes et organismes de l'Union européenne lorsqu'ils agissent en tant que fournisseurs ou déployeurs de systèmes d'intelligence artificielle. Cette disposition crée un cadre de responsabilité symétrique garantissant que les institutions européennes elles-mêmes sont soumises à des obligations et à des sanctions comparables à celles imposées aux acteurs privés et aux États membres.
L'article 100 confie au Contrôleur européen de la protection des données (CEPD) le pouvoir d'imposer des amendes administratives aux institutions de l'Union en cas de violation du règlement. Cette attribution de compétence au CEPD s'inscrit dans le prolongement de son rôle de superviseur de la protection des données au sein des institutions européennes, désormais étendu à la supervision de leurs systèmes d'IA.
Les montants des amendes prévus pour les institutions européennes sont plafonnés à des montants forfaitaires (1,5 million d'euros et 750 000 euros selon la gravité) plutôt qu'à un pourcentage du chiffre d'affaires comme pour les entreprises privées. Cette différence s'explique par la nature non commerciale des institutions de l'Union et par l'impossibilité de définir un « chiffre d'affaires » pertinent pour des entités financées par le budget européen.
Texte officiel de l'article 100 de l'AI Act
L'article 100 de l'AI Act dispose :
Amendes administratives aux institutions, organes et organismes de l'Union
« 1. Le Contrôleur européen de la protection des données peut imposer des amendes administratives aux institutions, organes et organismes de l'Union relevant du champ d'application du règlement (UE) 2018/1725.
2. Lorsqu'il décide d'imposer une amende administrative et d'en déterminer le montant dans chaque cas d'espèce, le Contrôleur européen de la protection des données tient dûment compte des éléments suivants :
a) la nature, la gravité et la durée de l'infraction, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes affectées et le niveau de dommage qu'elles ont subi ;
b) le caractère intentionnel ou négligent de l'infraction ;
c) toute mesure prise par l'institution, l'organe ou l'organisme de l'Union pour atténuer le dommage subi par les personnes affectées ;
d) le degré de responsabilité de l'institution, de l'organe ou de l'organisme de l'Union, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre ;
e) toute infraction pertinente commise précédemment par l'institution, l'organe ou l'organisme de l'Union ;
f) le degré de coopération avec le Contrôleur européen de la protection des données en vue de remédier à l'infraction et d'en atténuer les éventuels effets négatifs ;
g) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce.
3. Le non-respect de l'interdiction des pratiques en matière d'intelligence artificielle visées à l'article 5 est passible d'une amende administrative pouvant aller jusqu'à 1 500 000 EUR.
4. Le non-respect de toute autre disposition du présent règlement est passible d'une amende administrative pouvant aller jusqu'à 750 000 EUR. »
Cet article établit donc un régime de sanctions spécifique aux institutions européennes, avec deux niveaux d'amendes forfaitaires (jusqu'à 1,5M€ pour les pratiques interdites, jusqu'à 750K€ pour les autres violations) imposées par le CEPD.
Analyse juridique de l'article 100
Compétence du Contrôleur européen de la protection des données
L'article 100, paragraphe 1, confie au Contrôleur européen de la protection des données (CEPD) la compétence d'imposer des amendes administratives aux institutions, organes et organismes de l'Union. Cette attribution de compétence est logique et cohérente avec le rôle déjà dévolu au CEPD par le règlement (UE) 2018/1725 en matière de protection des données au sein des institutions européennes.
Le CEPD dispose ainsi d'une compétence étendue couvrant à la fois la protection des données personnelles et la supervision des systèmes d'IA utilisés par les institutions de l'Union. Cette concentration des compétences garantit une approche cohérente et intégrée, particulièrement importante étant donné les liens étroits entre IA et protection des données.
Critères de détermination du montant des amendes
L'article 100, paragraphe 2, énumère les critères que le CEPD doit prendre en compte pour déterminer le montant des amendes dans chaque cas d'espèce. Ces critères sont similaires à ceux de l'article 99 pour les entreprises privées et incluent la nature, gravité et durée de l'infraction, le caractère intentionnel ou négligent, les mesures d'atténuation prises, le degré de coopération avec le CEPD, et les antécédents d'infractions.
Cette énumération de critères garantit que les sanctions imposées aux institutions européennes sont proportionnées et tiennent compte des circonstances spécifiques de chaque cas. Elle assure également la prévisibilité et la sécurité juridique du régime de sanctions.
Montants forfaitaires des amendes
L'article 100 prévoit deux niveaux d'amendes forfaitaires : jusqu'à 1,5 million d'euros pour le non-respect des pratiques interdites de l'article 5 (paragraphe 3), et jusqu'à 750 000 euros pour le non-respect de toute autre disposition du règlement (paragraphe 4).
Ces montants forfaitaires diffèrent significativement du système de sanctions de l'article 99 qui prévoit des montants indexés sur le chiffre d'affaires des entreprises. Cette différence s'explique par la nature non commerciale des institutions de l'Union : elles ne réalisent pas de chiffre d'affaires au sens économique et sont financées par le budget européen, rendant inadaptée une sanction proportionnelle au « chiffre d'affaires ».
Les montants forfaitaires de 1,5M€ et 750K€, bien qu'inférieurs aux plafonds prévus pour les grandes entreprises privées, restent substantiels et suffisamment dissuasifs pour des institutions publiques soumises à des contraintes budgétaires et à l'exigence d'exemplarité.
Symétrie et exemplarité des institutions européennes
L'existence même de l'article 100 reflète un principe fondamental de l'AI Act : les institutions européennes ne sont pas au-dessus des règles qu'elles édictent. Elles sont soumises aux mêmes interdictions et obligations que les autres acteurs, et peuvent être sanctionnées en cas de non-respect.
Cette symétrie réglementaire renforce la légitimité et la crédibilité du règlement. Elle garantit que les institutions européennes, qui peuvent être amenées à développer ou déployer des systèmes d'IA pour leurs propres besoins opérationnels (gestion des ressources humaines, aide à la décision administrative, traduction automatique, etc.), respectent les standards élevés qu'elles imposent aux acteurs privés et publics des États membres.
Exemples concrets d'application
Exemple concret d'application de l'article 100 de l'AI Act
Sanction d'une institution européenne pour système RH non conforme
Contexte (hypothétique, 2027) :
La Direction générale des ressources humaines de la Commission européenne déploie un système d'intelligence artificielle destiné à faciliter le processus de recrutement des fonctionnaires européens. Ce système analyse automatiquement les candidatures reçues, attribue des scores de pertinence aux candidats, et recommande aux recruteurs les profils à convoquer en entretien.
Ce système d'IA de recrutement constitue un « système d'IA à haut risque » au sens de l'Annexe III, point 4, du règlement (systèmes d'IA utilisés pour le recrutement ou la sélection de personnes). Il est donc soumis aux obligations strictes du Titre III, notamment en matière de qualité des données, de documentation technique, de surveillance humaine, d'exactitude, et de prévention des biais discriminatoires.
1. Découverte des violations :
En mai 2027, plusieurs candidats évincés saisissent le Contrôleur européen de la protection des données (CEPD), alléguant que le système d'IA de recrutement présente des biais discriminatoires basés sur la nationalité et le genre. Ils fournissent des analyses statistiques montrant que les candidats de certaines nationalités et les candidates féminines reçoivent systématiquement des scores inférieurs à compétences égales.
Le CEPD ouvre une investigation formelle conformément à ses pouvoirs de supervision prévus par le règlement.
2. Investigation du CEPD :
Entre juin et septembre 2027, le CEPD mène une investigation approfondie, incluant :
- Demande de documentation technique du système
- Audition des responsables du projet au sein de la DG Ressources humaines
- Analyse indépendante par des experts techniques du fonctionnement du système
- Examen des données d'entraînement et des résultats de sortie
3. Constats du CEPD :
L'investigation révèle plusieurs violations graves du règlement :
a) Absence d'évaluation de conformité (violation article 43) : Le système a été déployé sans l'évaluation de conformité obligatoire pour les systèmes à haut risque. La Commission a considéré, à tort, qu'en tant qu'institution de l'Union, elle n'était pas soumise à cette exigence.
b) Documentation technique insuffisante (violation article 11) : La documentation technique du système est incomplète : elle ne décrit pas précisément les données d'entraînement utilisées, ni les mesures prises pour prévenir les biais discriminatoires.
c) Biais discriminatoires (violation article 10 sur qualité des données) : Les données d'entraînement du système sont biaisées : elles contiennent une surreprésentation de profils masculins et de certaines nationalités (reflétant la composition historique du personnel), conduisant le système à perpétuer et amplifier ces biais dans ses recommandations.
d) Surveillance humaine inadéquate (violation article 14) : Les recruteurs suivent presque systématiquement les recommandations du système sans exercer un véritable contrôle critique, transformant de facto une « aide à la décision » en décision automatisée.
4. Décision de sanction (article 100, paragraphe 4) :
En octobre 2027, le CEPD adopte une décision imposant une amende de 600 000 euros à la Commission européenne pour l'ensemble de ces violations, sur la base de l'article 100, paragraphe 4 (non-respect d'autres dispositions que l'article 5).
Le CEPD considère plusieurs facteurs aggravants :
- Durée de l'infraction (18 mois d'utilisation non conforme)
- Nombre de personnes affectées (plusieurs milliers de candidats)
- Gravité des biais discriminatoires constatés (atteinte à l'égalité de traitement)
- Négligence plutôt qu'ignorance excusable (la Commission aurait dû connaître ses obligations)
Mais également des facteurs atténuants :
- Absence d'intention malveillante
- Coopération complète avec l'investigation du CEPD
- Suspension immédiate du système dès les premiers signalements
- Engagement formel de la Commission à mettre en conformité tous ses systèmes d'IA
5. Mesures correctives ordonnées :
Au-delà de l'amende, le CEPD ordonne à la Commission :
- Suspension définitive du système actuel
- Développement d'un nouveau système conforme, avec consultation du CEPD à chaque étape
- Audit complet de tous les autres systèmes d'IA utilisés par les institutions européennes
- Formation obligatoire sur l'AI Act pour tous les agents impliqués dans le développement ou l'utilisation de systèmes d'IA
- Publication d'un rapport public sur les mesures prises
6. Impact et enseignements :
Cette sanction historique – la première imposée à une institution européenne pour violation de l'AI Act – envoie un signal fort :
- Les institutions européennes ne bénéficient d'aucune immunité ni exemption
- L'exemplarité des institutions est essentielle pour la crédibilité du règlement
- Les violations, même sans intention malveillante, sont sanctionnées dès lors qu'elles portent atteinte aux droits fondamentaux
Toutes les institutions, organes et organismes de l'Union lancent immédiatement des audits de leurs systèmes d'IA pour éviter des sanctions similaires. Le CEPD publie des lignes directrices spécifiques pour accompagner les institutions européennes dans leur conformité.
Articulation avec les autres dispositions de l'AI Act
L'article 100 s'articule avec l'article 99 qui établit le régime de sanctions pour les entreprises privées et les autorités des États membres, et avec l'article 101 qui prévoit des sanctions spécifiques pour les fournisseurs de modèles d'IA à usage général. Ensemble, ces trois articles forment un cadre de sanctions complet et cohérent couvrant l'ensemble des acteurs soumis au règlement.
L'article 100 s'articule également avec le règlement (UE) 2018/1725 relatif à la protection des données au sein des institutions européennes, qui confie déjà au CEPD des pouvoirs de supervision et de sanction. L'AI Act étend ces compétences du CEPD au domaine de l'intelligence artificielle.
Enfin, l'article 100 doit être lu en cohérence avec les dispositions du Titre III qui établissent les obligations applicables aux systèmes à haut risque : les institutions européennes, lorsqu'elles développent ou déploient de tels systèmes, sont soumises aux mêmes obligations que les autres acteurs et peuvent être sanctionnées par le CEPD en cas de non-respect.
Implications pratiques pour les institutions européennes
Pour les institutions, organes et organismes de l'Union européenne, l'article 100 constitue un rappel sans équivoque qu'ils sont pleinement soumis aux obligations de l'AI Act et peuvent faire l'objet de sanctions substantielles en cas de non-respect. Les montants d'amendes prévus – jusqu'à 1,5 million d'euros – sont significatifs pour des entités soumises à des contraintes budgétaires strictes et à l'obligation de bonne gestion des fonds publics européens.
Les institutions européennes doivent mettre en place des procédures rigoureuses de conformité à l'AI Act pour tous leurs systèmes d'IA, qu'ils soient développés en interne ou acquis auprès de fournisseurs externes. Elles doivent désigner des responsables de la conformité IA, réaliser des audits réguliers, et maintenir une documentation complète et à jour de leurs systèmes.
Le rôle du CEPD comme superviseur et autorité de sanction implique également pour les institutions une obligation de coopération proactive : signalement des incidents, consultation préalable pour les systèmes à haut risque, transparence sur les systèmes déployés. Cette coopération constructive avec le CEPD peut constituer un facteur atténuant significatif en cas de problème.
L'article 100 de l'AI Act établit un régime de sanctions administratives spécifique et adapté aux institutions, organes et organismes de l'Union européenne, confiant au Contrôleur européen de la protection des données le pouvoir d'imposer des amendes pouvant atteindre jusqu'à 1,5 million d'euros en cas de violation du règlement. Cette disposition traduit le principe fondamental selon lequel les institutions européennes elles-mêmes doivent respecter les règles qu'elles édictent et peuvent être sanctionnées au même titre que les autres acteurs en cas de manquement.
L'attribution de cette compétence au CEPD s'inscrit dans la continuité de son rôle de superviseur de la protection des données au sein des institutions européennes, désormais étendu au domaine de l'intelligence artificielle. Les montants forfaitaires des amendes, adaptés à la nature non commerciale des institutions, restent suffisamment dissuasifs pour garantir le respect effectif des obligations du règlement.
Pour les institutions européennes, l'article 100 constitue à la fois un rappel de leurs responsabilités et un appel à l'exemplarité. En tant que gardiennes de l'ordre juridique européen et promotrices d'une IA digne de confiance, elles doivent démontrer par leurs pratiques que les standards élevés de l'AI Act sont applicables et réalistes, contribuant ainsi à la légitimité et à l'acceptation du règlement par l'ensemble des acteurs de l'écosystème européen de l'intelligence artificielle.