L'article 99 du Règlement (UE) 2024/1689 établit le régime de sanctions administratives applicables en cas de violation des dispositions de l'AI Act. Cette disposition constitue le principal outil de dissuasion et de mise en conformité du règlement, en prévoyant des amendes administratives substantielles pouvant atteindre jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial, selon le montant le plus élevé.
L'article 99 organise un système de sanctions proportionnées et différenciées selon la gravité des violations. Les infractions les plus graves - notamment le déploiement de pratiques d'IA interdites par l'article 5 - sont sanctionnées par les amendes les plus lourdes. Les violations des obligations des opérateurs de systèmes à haut risque font l'objet d'amendes intermédiaires, tandis que la fourniture d'informations incorrectes ou incomplètes aux autorités est punie plus légèrement.
Cette gradation des sanctions reflète l'approche proportionnée et basée sur les risques qui caractérise l'ensemble du règlement. Elle vise à garantir un niveau de dissuasion suffisant pour assurer le respect effectif des obligations, tout en adaptant la sévérité des sanctions à la gravité réelle des manquements. L'article 99 prévoit également des mesures d'atténuation pour les PME et les startups, reconnaissant leurs contraintes spécifiques.
Texte officiel de l'article 99 de l'AI Act
L'article 99 de l'AI Act dispose (extraits principaux) :
Sanctions pénales
« 1. Les États membres établissent les règles relatives aux sanctions pénales applicables aux infractions au présent règlement et prennent toutes les mesures nécessaires pour assurer leur mise en œuvre. Les sanctions prévues doivent être effectives, proportionnées et dissuasives. Les États membres notifient sans délai ces dispositions à la Commission et lui notifient également, dans les meilleurs délais, toute modification ultérieure.
2. Les infractions suivantes sont passibles d'une amende administrative pouvant aller jusqu'à 35 000 000 EUR ou, si l'auteur de l'infraction est une entreprise, jusqu'à 7 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu :
a) le non-respect de l'interdiction des pratiques en matière d'intelligence artificielle visées à l'article 5 ;
b) le non-respect des exigences ou obligations incombant aux fournisseurs en application de l'article 16 et aux déployeurs en application de l'article 26.
3. Le non-respect de toute autre exigence ou obligation du présent règlement est passible d'une amende administrative pouvant aller jusqu'à 15 000 000 EUR ou, si l'auteur de l'infraction est une entreprise, jusqu'à 3 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
4. La fourniture d'informations incorrectes, incomplètes ou trompeuses aux organismes notifiés et aux autorités compétentes en réponse à une demande est passible d'une amende administrative pouvant aller jusqu'à 7 500 000 EUR ou, si l'auteur de l'infraction est une entreprise, jusqu'à 1 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
5. Pour les PME, y compris les jeunes pousses, les montants maximaux des amendes visés aux paragraphes 2, 3 et 4 sont limités à 1 %, 2 % et 0,5 % respectivement de leur chiffre d'affaires annuel mondial total de l'exercice précédent.
6. Lorsque l'infraction a été commise par une personne physique, le montant maximal de l'amende est fixé conformément aux paragraphes 2, 3 et 4.
7. Lorsqu'il est décidé d'imposer une amende administrative et d'engager des poursuites pour des infractions pénales pour le même acte ou la même omission, l'autorité compétente tient compte de cela pour éviter que le montant total des sanctions ne soit disproportionné. »
Cet article établit donc un régime de sanctions gradué avec trois niveaux d'amendes (jusqu'à 35M€/7%, 15M€/3%, et 7,5M€/1% du CA mondial), avec des montants réduits pour les PME et un principe de non-cumul disproportionné des sanctions.
Analyse juridique de l'article 99
Sanctions maximales pour les pratiques interdites et violations majeures
L'article 99, paragraphe 2, prévoit le niveau de sanction le plus élevé pour deux catégories d'infractions considérées comme les plus graves : le non-respect des interdictions de l'article 5 (pratiques d'IA prohibées) et le non-respect des obligations essentielles des fournisseurs et déployeurs de systèmes à haut risque (articles 16 et 26).
Ces infractions sont passibles d'amendes pouvant atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Cette formulation signifie que pour les grandes entreprises technologiques réalisant des milliards d'euros de chiffre d'affaires, l'amende peut largement dépasser les 35 millions d'euros et atteindre des centaines de millions voire des milliards d'euros.
Le non-respect de l'article 5 inclut notamment le déploiement de systèmes de notation sociale par les autorités publiques, l'utilisation de techniques subliminales de manipulation, l'exploitation des vulnérabilités de groupes spécifiques, ou l'identification biométrique à distance en temps réel dans des espaces publics sans autorisation. Ces pratiques, considérées comme incompatibles avec les valeurs européennes et les droits fondamentaux, justifient le niveau maximal de sanction.
Sanctions intermédiaires pour autres violations
L'article 99, paragraphe 3, prévoit un niveau de sanction intermédiaire pour le non-respect de toute autre exigence ou obligation du règlement non couverte par le paragraphe 2. Ces infractions sont passibles d'amendes pouvant atteindre 15 millions d'euros ou 3% du chiffre d'affaires annuel mondial.
Cette catégorie couvre notamment les violations des obligations de documentation technique, de tenue de registres, de transparence vis-à-vis des utilisateurs, de surveillance humaine, ou de notification d'incidents graves. Bien que sérieuses, ces violations sont considérées comme moins graves que le déploiement de pratiques interdites ou que la violation des obligations fondamentales des articles 16 et 26.
Sanctions pour fourniture d'informations trompeuses
L'article 99, paragraphe 4, prévoit un troisième niveau de sanction pour la fourniture d'informations incorrectes, incomplètes ou trompeuses aux organismes notifiés et aux autorités compétentes. Ces infractions sont passibles d'amendes pouvant atteindre 7,5 millions d'euros ou 1% du chiffre d'affaires annuel mondial.
Cette disposition vise à garantir la coopération loyale des opérateurs avec les autorités de surveillance et les organismes d'évaluation de la conformité. Elle sanctionne non pas une violation substantielle des obligations techniques, mais une entrave au contrôle et à la supervision, comportement considéré comme gravement préjudiciable à l'effectivité du règlement.
Mesures d'atténuation pour les PME et startups
L'article 99, paragraphe 5, prévoit des plafonds d'amendes réduits pour les PME, y compris les jeunes pousses (startups). Pour ces entreprises, les montants maximaux sont limités respectivement à 1%, 2% et 0,5% de leur chiffre d'affaires annuel mondial (au lieu de 7%, 3% et 1% pour les grandes entreprises).
Cette différenciation reflète la volonté du législateur européen de ne pas étouffer l'innovation et la compétitivité des PME européennes par des sanctions disproportionnées. Elle reconnaît que les PME et startups disposent de ressources limitées et que des amendes trop lourdes pourraient compromettre leur viabilité économique, alors même qu'elles constituent un moteur essentiel d'innovation en matière d'IA.
Toutefois, même avec ces plafonds réduits, les amendes restent substantielles et dissuasives. Une startup réalisant 10 millions d'euros de chiffre d'affaires reste passible d'une amende de 700 000 euros (7% × 10M€) en cas de pratique interdite, soit un montant significatif.
Principe de proportionnalité et non-cumul excessif
L'article 99, paragraphe 7, prévoit que lorsqu'une amende administrative est imposée et que des poursuites pénales sont engagées pour le même acte, l'autorité compétente doit tenir compte de cette double sanction pour éviter que le montant total ne soit disproportionné. Ce principe de proportionnalité globale garantit que la sanction finale reste cohérente avec la gravité réelle de l'infraction.
Cette disposition reflète le principe général du droit européen selon lequel nul ne peut être sanctionné deux fois pour les mêmes faits (ne bis in idem), tout en permettant le cumul de sanctions administratives et pénales sous réserve de proportionnalité globale.
Comparaison avec le RGPD
Le régime de sanctions de l'article 99 s'inspire largement de celui du RGPD (article 83), tout en présentant des spécificités. Les amendes maximales de l'AI Act pour les infractions les plus graves (35M€ ou 7% du CA mondial) sont supérieures à celles du RGPD (20M€ ou 4% du CA mondial), reflétant la gravité particulière que le législateur attache aux pratiques d'IA interdites.
Comme le RGPD, l'AI Act prévoit une gradation des sanctions selon la gravité des violations et impose aux autorités de tenir compte de divers facteurs pour fixer le montant des amendes (nature, gravité et durée de l'infraction, caractère intentionnel ou négligent, mesures prises pour atténuer le dommage, degré de coopération avec l'autorité, etc.).
Exemples concrets d'application
Exemple concret d'application de l'article 99 de l'AI Act
Cas 1 : Sanction maximale pour pratique interdite
Une grande entreprise technologique (chiffre d'affaires mondial : 100 milliards d'euros) déploie dans plusieurs villes européennes un système de reconnaissance faciale biométrique en temps réel dans des espaces publics (rues, places, transports en commun) pour identifier automatiquement des individus recherchés par les autorités, sans avoir obtenu les autorisations judiciaires ou administratives prévues par l'article 5, paragraphe 1, point h).
Ce système est utilisé pendant 18 mois avant d'être détecté par les autorités de surveillance. Les investigations révèlent que des centaines de milliers de personnes ont été scannées quotidiennement, que plusieurs fausses identifications ont conduit à des interpellations injustifiées, et que l'entreprise avait connaissance de l'interdiction mais a délibérément choisi de ne pas s'y conformer pour des raisons commerciales.
L'autorité nationale compétente impose une amende de 7 milliards d'euros (7% du chiffre d'affaires mondial de 100 milliards d'euros), conformément à l'article 99, paragraphe 2, point a). Cette amende record envoie un signal fort à l'ensemble de l'industrie technologique sur le caractère non négociable des interdictions de l'article 5.
Cas 2 : Sanction pour PME - plafonnement appliqué
Une startup française (effectif : 25 personnes, chiffre d'affaires : 2 millions d'euros) développe un système d'IA de recrutement classé à haut risque. Ce système est mis sur le marché sans avoir respecté les obligations de l'article 16 : pas d'évaluation de conformité, documentation technique incomplète, absence de système de gestion de la qualité, pas de surveillance humaine appropriée.
L'autorité de surveillance découvre ces manquements lors d'un contrôle et constate également que le système présente des biais discriminatoires significatifs liés au genre et à l'âge des candidats, en violation du principe d'équité.
En application de l'article 99, paragraphe 2, point b), la violation justifierait normalement une amende pouvant atteindre jusqu'à 7% du CA mondial. Toutefois, l'article 99, paragraphe 5, plafonne l'amende à 1% du CA pour les PME.
L'autorité impose une amende de 20 000 euros (1% de 2 millions d'euros), tenant compte de plusieurs facteurs atténuants : absence d'intention malveillante (négligence plutôt que mauvaise foi), absence de dommages constatés (le système a été retiré rapidement), coopération pleine et entière avec l'autorité, et engagement de la startup à se mettre en conformité sous supervision.
Bien que substantiellement réduite par rapport au plafond théorique, cette amende représente un montant significatif pour une startup et remplit son rôle dissuasif sans compromettre sa viabilité économique.
Cas 3 : Informations trompeuses aux autorités
Une entreprise européenne (CA : 500 millions d'euros) fournit délibérément des documents falsifiés et des informations mensongères à l'organisme notifié chargé d'évaluer la conformité de son système d'IA à haut risque, dans le but d'obtenir frauduleusement le marquage CE.
La fraude est découverte lors d'un contrôle de marché par l'autorité nationale. L'enquête révèle que les données de performance du système ont été artificiellement améliorées dans les documents présentés, que des tests obligatoires n'ont en réalité jamais été effectués, et que des risques identifiés ont été dissimulés.
En application de l'article 99, paragraphe 4, l'autorité impose une amende de 5 millions d'euros (1% du CA de 500 millions d'euros), soit le maximum prévu pour ce type d'infraction. L'autorité considère que la fourniture intentionnelle d'informations trompeuses constitue une violation grave sapant les fondements du système de surveillance et justifiant le montant maximal.
L'entreprise fait également l'objet d'une interdiction temporaire de commercialisation pendant 6 mois et doit retirer tous les systèmes déjà déployés pour réévaluation complète.
Articulation avec les autres dispositions de l'AI Act
L'article 99 s'articule étroitement avec l'article 5 qui établit les pratiques d'IA interdites, les articles 16 et 26 qui définissent les obligations des fournisseurs et déployeurs de systèmes à haut risque, et l'ensemble des dispositions techniques du Titre III qui précisent les exigences de conformité dont la violation peut être sanctionnée.
L'article 99 doit être lu conjointement avec les articles 100 et 101 qui établissent des régimes de sanctions spécifiques pour les institutions de l'Union européenne et pour les fournisseurs de modèles d'IA à usage général. Ensemble, ces trois articles forment le cadre complet de sanctions de l'AI Act.
L'article 99 s'articule également avec les dispositions du Titre VII relatives à la gouvernance et à l'application du règlement, qui désignent les autorités compétentes pour imposer les sanctions et organisent les procédures de contrôle et d'investigation.
Implications pratiques pour les organisations
Pour les organisations développant ou déployant des systèmes d'intelligence artificielle, l'article 99 constitue un puissant incitatif à la conformité. Les montants des amendes prévus, particulièrement pour les grandes entreprises, sont substantiels et peuvent avoir un impact financier significatif, voire compromettre la réputation et la valorisation de l'entreprise.
Les organisations doivent intégrer dans leur analyse de risques juridiques les sanctions potentielles de l'article 99. La perspective d'amendes pouvant atteindre 7% du chiffre d'affaires mondial justifie amplement les investissements nécessaires pour assurer une conformité rigoureuse au règlement, tant du point de vue économique que réputationnel.
Les PME et startups, bien que bénéficiant de plafonds d'amendes réduits, ne doivent pas sous-estimer les risques : même avec les montants atténués, les sanctions restent dissuasives et peuvent mettre en péril leur viabilité. Elles doivent privilégier une approche proactive de conformité plutôt que de considérer les sanctions réduites comme une forme de tolérance.
Enfin, les organisations doivent être conscientes que la coopération loyale avec les autorités et les organismes notifiés est essentielle : la fourniture d'informations trompeuses, en plus d'être sanctionnée spécifiquement, constitue un facteur aggravant susceptible d'alourdir considérablement les sanctions pour d'autres infractions.
L'article 99 de l'AI Act établit un régime de sanctions administratives gradué, proportionné et dissuasif, capable d'assurer le respect effectif des obligations du règlement par l'ensemble des acteurs de l'écosystème de l'IA. En prévoyant des amendes pouvant atteindre jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial pour les infractions les plus graves, il place le niveau de sanction au-dessus de celui du RGPD, reflétant l'importance que le législateur européen attache à la régulation de l'intelligence artificielle.
La gradation des sanctions en trois niveaux selon la gravité des violations, combinée aux mesures d'atténuation pour les PME et au principe de non-cumul disproportionné, traduit la recherche d'un équilibre entre dissuasion efficace et proportionnalité. Ce système de sanctions vise à garantir que la conformité au règlement ne soit pas perçue comme optionnelle, tout en évitant d'étouffer l'innovation et la compétitivité des entreprises européennes.
Pour les organisations, l'article 99 constitue un rappel sans équivoque que la conformité à l'AI Act est une obligation juridique contraignante dont la violation peut avoir des conséquences financières et réputationnelles majeures. La meilleure stratégie face à ce régime de sanctions consiste à investir préventivement dans une conformité rigoureuse, documentée et vérifiable, plutôt que de risquer les amendes substantielles prévues par l'article 99.