L'article 89 du Règlement (UE) 2024/1689 établit le régime des sanctions administratives applicables en cas de non-conformité au règlement. Ces sanctions, potentiellement très élevées, visent à garantir l'effectivité des obligations.

Texte officiel de l'article 89 de l'AI Act (extraits)

1. Les États membres établissent les règles relatives aux sanctions administratives applicables aux infractions au présent règlement et prennent toutes les mesures nécessaires pour assurer leur mise en œuvre.

2. Les sanctions sont effectives, proportionnées et dissuasives, en tenant compte notamment :

a) de la nature, de la gravité et de la durée de l'infraction ;

b) du caractère intentionnel ou négligent de l'infraction ;

c) des mesures prises pour atténuer le préjudice subi ;

d) de la coopération avec l'autorité compétente.

3. Les amendes administratives maximales sont :

a) 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial total pour les pratiques d'IA interdites ;

b) 15 millions d'euros ou 3% du chiffre d'affaires pour les obligations des fournisseurs ;

c) 7,5 millions d'euros ou 1,5% du chiffre d'affaires pour les autres obligations.

Analyse juridique

Hiérarchie des sanctions

Le règlement établit trois niveaux de sanctions selon la gravité des manquements :

  • Niveau 1 (maximum) : Pratiques d'IA interdites (jusqu'à 35M€ ou 7%)
  • Niveau 2 : Non-respect des obligations des fournisseurs de systèmes à haut risque (15M€ ou 3%)
  • Niveau 3 : Autres obligations (7,5M€ ou 1,5%)

Critères d'appréciation

Les autorités doivent tenir compte de multiples facteurs pour déterminer le montant de la sanction : gravité, durée, intention, coopération, efforts de remédiation. Cette approche permet une individualisation des sanctions.

Chiffre d'affaires mondial

Comme le RGPD, l'AI Act base le plafond des amendes sur le chiffre d'affaires mondial, permettant des sanctions significatives même pour les grandes entreprises technologiques.

PME et startups

L'article prévoit une prise en compte de la taille de l'entreprise, notamment pour les PME et startups, qui peuvent bénéficier de sanctions réduites en fonction de leur situation financière.

Exemple d'application

📋 Cas de sanction

Une entreprise déploie un système de scoring social interdit en Europe. L'autorité prononce une amende de 25 millions d'euros (niveau 1). Dans un autre cas, un fournisseur de système à haut risque ne respecte pas ses obligations de documentation. L'autorité, tenant compte de la coopération de l'entreprise et de la correction rapide, prononce une amende de 500 000 euros (bien en-deçà du maximum de niveau 2).

L'article 89 dote les autorités d'un pouvoir de sanction dissuasif, sur le modèle du RGPD, tout en prévoyant une gradation proportionnée à la gravité des infractions et aux circonstances de chaque cas.