RÈGLEMENT (UE) 2024/1689 - ENTRÉE EN VIGUEUR PROGRESSIVE

AI Act : cartographiez
vos usages avant qu'on vous les demande

Le règlement européen sur l'intelligence artificielle encadre progressivement les systèmes d'IA, y compris ceux déjà intégrés à vos outils du quotidien (Microsoft 365 Copilot, par exemple). SYAGA vous aide à recenser vos usages réels, comprendre les obligations qui vous concernent et construire un plan d'action, sans jargon et sans promesse chiffrée qui ne serait pas vérifiée.

2024
Règlement publié (2024/1689)
Paliers
Application progressive dans le temps
UE
Portée horizontale, tous secteurs
Copilot
IA déjà présente dans vos outils M365

Le contexte

Un règlement européen qui s'applique déjà, souvent sans que l'entreprise l'ait remarqué

Le règlement européen sur l'IA est déjà publié

Le Règlement (UE) 2024/1689 (source EUR-Lex) encadre la gouvernance des systèmes d'intelligence artificielle au sein de l'Union européenne. Son entrée en application se fait par paliers successifs selon le type d'obligation concernée.

🤖

De l'IA est déjà dans vos outils actuels

Des fonctionnalités d'intelligence artificielle sont déjà intégrées à des suites bureautiques largement déployées en entreprise, comme Microsoft 365 Copilot. Beaucoup d'organisations les utilisent sans avoir formellement recensé ce périmètre.

📋

Peu d'entreprises ont cartographié leurs usages IA

Entre les outils fournis par des éditeurs, les développements internes et les agents automatisés déployés sur des plateformes existantes, le périmètre réel des systèmes d'IA utilisés est rarement documenté de manière centralisée.

🔐

Anticiper vaut mieux que subir

Comme pour toute réglementation nouvelle, mieux vaut clarifier tôt son périmètre d'exposition que de découvrir une obligation au moment d'un contrôle ou d'une demande d'un client, d'un assureur ou d'un partenaire.

La démarche AIACT-Express

Un accompagnement en 5 étapes, calibré avec vous selon votre périmètre réel de systèmes d'IA

1
Étape 1 - Cadrage

Entretien avec la direction ou le responsable SI

Comprendre le contexte, les outils déjà en place et les projets IA en cours ou envisagés. Objectif : délimiter un périmètre d'analyse réaliste, pas une liste théorique.

2
Étape 2 - Cartographie

Recensement des systèmes d'IA utilisés

Outils éditeurs (dont les fonctionnalités IA déjà incluses dans vos suites bureautiques), développements internes, automatisations et agents déployés sur vos plateformes existantes.

3
Étape 3 - Analyse

Qualification de votre rôle et des obligations associées

Déterminer, pour chaque système identifié, dans quelle mesure vous en êtes fournisseur ou déployeur au sens du règlement, et quelles obligations générales s'en dégagent pour votre organisation.

4
Étape 4 - Plan d'action

Priorisation des actions de mise en conformité

Un plan d'action structuré, priorisé selon le risque et l'effort, sans promesse de résultat juridique : les points sensibles sont signalés pour vérification par un conseil juridique spécialisé.

5
Étape 5 - Restitution

Présentation du diagnostic et transfert

Remise du dossier de cartographie et du plan d'action, avec un temps d'échange pour répondre aux questions de vos équipes.

Ce que vous recevez

Des documents de travail concrets, adaptés à votre périmètre réel

📝

Cartographie des systèmes d'IA

Inventaire structuré des usages identifiés lors du cadrage et de la cartographie.

  • Outils éditeurs et fonctionnalités IA intégrées
  • Développements internes et agents automatisés
  • Rôle identifié pour chaque système (fournisseur / déployeur)

Synthèse des obligations générales

Un document de vulgarisation reliant chaque système identifié aux grandes catégories d'obligations du règlement, en langage clair.

  • Vue par système d'IA recensé
  • Points à faire vérifier par un juriste spécialisé
  • Aucun montant de sanction affirmé sans vérification juridique
📈

Plan d'action priorisé

Une feuille de route opérationnelle pour votre organisation.

  • Actions classées par priorité
  • Référence au périmètre concerné (RGPD, gouvernance SI)
  • Format éditable pour suivi interne

Périmètre couvert

L'AI Act ne s'analyse pas seul : il s'articule avec des textes que vous connaissez déjà

IA

AI Act (Règlement UE 2024/1689)

Texte de référence sur la gouvernance des systèmes d'intelligence artificielle au sein de l'Union européenne. Source : EUR-Lex.

RG

RGPD

Dès lors qu'un système d'IA traite des données personnelles, les obligations RGPD (Règlement UE 2016/679) restent applicables en parallèle des obligations propres à l'AI Act.

GO

Gouvernance SI existante

La cartographie des usages d'IA s'inscrit naturellement dans une démarche de gouvernance SI plus large (politique de sécurité, gestion des risques), notamment si votre organisation est déjà concernée par NIS2 ou une démarche ISO 27001.

M365

IA déjà présente dans Microsoft 365

Des fonctionnalités comme Copilot introduisent de l'IA dans des outils déjà utilisés au quotidien. Leur usage entre dans le périmètre à cartographier, même sans projet IA "visible".

Un devis, pas un tarif standard

Le périmètre d'un diagnostic AI Act varie trop selon le nombre et la nature des systèmes d'IA utilisés pour proposer un prix générique. Nous établissons un devis après le cadrage.

Diagnostic AI Act sur mesure

Périmètre établi avec vous dès l'étape de cadrage

  • Cadrage et entretien inclus
  • Cartographie des systèmes d'IA identifiés
  • Synthèse des obligations générales, sans chiffre juridique inventé
  • Plan d'action priorisé
  • Devis établi après cadrage, avant tout engagement
Demander un devis

Questions fréquentes

Les réponses ci-dessous sont volontairement générales. Elles ne constituent pas un avis juridique et ne remplacent pas l'analyse d'un conseil juridique spécialisé en droit du numérique.
Mon entreprise est-elle concernée par l'AI Act ?
Le règlement s'applique de manière large dès lors qu'une organisation développe, met sur le marché ou utilise un système d'intelligence artificielle au sein de l'Union européenne, y compris via des fonctionnalités déjà intégrées à des outils existants (par exemple Microsoft 365 Copilot). Contrairement à d'autres textes, l'AI Act ne fixe pas de seuil simple en nombre de salariés ou de chiffre d'affaires : le périmètre exact et les obligations dépendent du rôle occupé (fournisseur ou déployeur) et du système concerné. Un diagnostic permet de le déterminer pour votre organisation.
Quelle est la différence entre fournisseur et déployeur ?
Le règlement distingue notamment les organisations qui développent ou mettent sur le marché un système d'IA (fournisseurs) de celles qui l'utilisent dans le cadre de leur activité professionnelle (déployeurs). Les obligations qui s'appliquent diffèrent selon ce rôle. La plupart des PME sont avant tout déployeurs des outils qu'elles utilisent au quotidien.
Quels sont les risques en cas de non-conformité ?
Le règlement prévoit un régime de sanctions spécifique. Nous ne communiquons volontairement aucun montant sur cette page tant qu'il n'a pas été vérifié et validé par un conseil juridique spécialisé pour votre situation précise : c'est justement l'un des points que le diagnostic permet de clarifier avec les bons interlocuteurs.
Le diagnostic remplace-t-il un avis d'avocat ?
Non. AIACT-Express est un outil d'accompagnement opérationnel (cartographie, vulgarisation, plan d'action) et ne constitue pas un avis juridique. Pour toute question d'interprétation juridique du règlement, l'intervention d'un avocat spécialisé reste nécessaire.
Combien de temps dois-je mobiliser mes équipes ?
Principalement un entretien de cadrage avec la direction ou le responsable SI, puis un temps de restitution à la fin de la démarche. Le volume exact est précisé dans le devis, une fois le périmètre connu.
En quoi SYAGA est légitime sur ce sujet ?
SYAGA Consulting réalise des audits de sécurité et de conformité des systèmes d'information depuis 2009, auprès d'organisations de tailles variées. AIACT-Express s'appuie sur cette même méthode d'audit (cadrage, cartographie, analyse, plan d'action) appliquée au périmètre spécifique de l'intelligence artificielle.

Prêt à cartographier vos usages d'IA ?

Écrivez-nous pour un premier échange et un devis personnalisé.

Veille réglementaire - sources officielles

Ce que dit vraiment le texte européen sur l'IA, digéré en langage simple. Chaque point renvoie à sa source officielle (Commission européenne, EUR-Lex). Informations collectées le 17/07/2026.

📖

De quoi parle-t-on ?

C'est un règlement européen (le "AI Act", texte 2024/1689), publié le 12 juillet 2024 et déjà "en vigueur". Il fixe des règles communes pour l'intelligence artificielle dans toute l'Union européenne, quel que soit votre secteur d'activité.
source officielle →

📅

Les dates à retenir

Le règlement s'applique par étapes : les interdictions sont actives depuis le 2 février 2025 ; les règles de gouvernance et les obligations sur les IA généralistes depuis le 2 août 2025 ; la majorité des autres obligations (dont l'IA "à haut risque") entrent en vigueur le 2 août 2026. À noter : la Commission a proposé le 19 novembre 2025 d'ajuster certaines de ces échéances, donc ces dates peuvent encore légèrement bouger.
source officielle →

📊

Les 4 niveaux de risque

Le texte classe les usages de l'IA en 4 catégories : risque inacceptable (interdit), risque élevé (encadré strictement), risque limité (obligation d'information), et risque minimal - la grande majorité des usages actuels (par exemple un correcteur anti-spam ou un jeu vidéo), qui ne sont pas concernés par de nouvelles règles.
source officielle →

🚫

Ce qui est purement interdit

Certains usages sont désormais hors-la-loi partout en Europe : manipuler ou tromper les gens par l'IA, exploiter les vulnérabilités d'une personne, noter les citoyens comme un "score social", prédire qu'une personne va commettre un crime à partir de son profil, aspirer en masse des photos du web ou de vidéosurveillance pour créer des bases de reconnaissance faciale, analyser les émotions au travail ou à l'école, ou encore utiliser la biométrie pour deviner des origines, une religion ou une orientation.
source officielle →

Si votre IA est jugée "à haut risque"

Exemples cités par la Commission : un outil qui trie des CV, qui gère l'accès à un crédit, ou qui sert de composant de sécurité dans un transport. Dans ce cas, il faut évaluer et limiter les risques, utiliser des données de qualité, garder des journaux d'activité, documenter le système, informer clairement les utilisateurs, prévoir une supervision humaine, et garantir un bon niveau de robustesse et de cybersécurité.
source officielle →

💰

Les sanctions en clair

Pour les usages interdits : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial (le montant le plus élevé des deux). Pour les autres manquements au règlement : jusqu'à 15 millions ou 3%. Pour avoir donné des informations trompeuses aux autorités : jusqu'à 7,5 millions ou 1%. Pour les PME et jeunes entreprises, c'est le montant le plus BAS des deux qui s'applique (voir le détail sourcé plus bas dans "Les sanctions AI Act, en clair").
source officielle →

🏛

Qui contrôle l'application

Un "Bureau européen de l'IA" a été créé au sein de la Commission européenne (plus de 125 personnes) pour veiller à une application cohérente du règlement, épaulé par un comité réunissant un représentant de chaque État membre. Chaque pays doit aussi désigner ses propres autorités nationales de surveillance.
source officielle →

🤝

Une démarche volontaire possible dès maintenant

La Commission propose un engagement volontaire, le "AI Pact", pour anticiper la mise en conformité avant les échéances légales. Plus de 230 entreprises (grands groupes et PME) l'ont déjà signé. Ces engagements ne sont pas contraignants juridiquement.
source officielle →

Qui est concerné par l'AI Act ?

Contrairement au RGPD ou à NIS2, l'AI Act ne fixe pas de seuil simple en nombre de salariés ou en chiffre d'affaires. Ce qui déclenche les obligations, c'est votre rôle (fournisseur ou déployeur) et le niveau de risque du système d'IA concerné. Informations collectées le 18/07/2026, sources officielles Commission européenne et EUR-Lex.

🌍 Une portée qui dépasse les frontières de l'UE

Le texte officiel est clair : le règlement s'applique "to both public and private actors inside and outside the EU, who place an AI system or general-purpose AI model on the EU market, or put an AI system into service or use it in the EU". Concrètement, une entreprise établie hors UE peut être concernée dès lors que la sortie de son système d'IA est destinée à être utilisée dans l'Union.
source officielle →

FO Le fournisseur ("provider")

Celui qui développe le système d'IA ou le met sur le marché. Exemple donné par la Commission européenne : "a developer of a CV-screening tool" (le développeur d'un outil de tri de CV). Sont aussi visés les fournisseurs de modèles d'IA à usage général.
source officielle →

DE Le déployeur ("deployer")

Celui qui utilise le système dans son activité professionnelle. Exemple donné par la Commission : "a bank using this screening tool" (la banque qui utilise l'outil de tri de CV). Un usage strictement personnel et non professionnel est exclu de cette définition.
source officielle →

Ce qui est exclu du champ d'application

  • Militaire, défense, sécurité nationale : systèmes conçus exclusivement à ces fins, quel que soit le type d'organisation qui les met en œuvre.
  • Recherche et développement : les activités de R&D et de prototypage réalisées avant la mise sur le marché d'un système ne sont pas concernées.
  • Usage strictement personnel non professionnel : exclu de la définition de déployeur.
  • Autorités publiques de pays tiers et organisations internationales agissant dans un cadre de coopération ou d'accords internationaux, sous réserve de garanties adéquates.
  • Biométrie d'authentification ou de vérification (déverrouiller un smartphone, contrôle à une frontière) : jugée à risque non significatif, elle reste hors du champ de ce règlement.

source officielle (EUR-Lex) →  ·  source officielle (FAQ Commission) →

PME PME et jeunes entreprises : des allègements, pas une exemption

Les PME et jeunes entreprises restent dans le champ du règlement, mais bénéficient d'amendes administratives proportionnées à leur taille, d'obligations de documentation technique allégées (accord "AI omnibus"), et de "bacs à sable réglementaires" pour tester leurs projets d'IA en conditions encadrées.
source officielle →

RQ Le vrai critère : le niveau de risque, pas la taille

Le règlement classe tous les usages en 4 niveaux de risque (inacceptable, élevé, limité, minimal). C'est ce niveau, déterminé par la nature du système et son usage, qui déclenche (ou non) des obligations, indépendamment du nombre de salariés ou du chiffre d'affaires de l'organisation qui l'utilise.
source officielle →

💼 Exemples concrets de secteurs cités par la Commission

Liste indicative des grandes familles d'usages pouvant relever du "haut risque", telle que présentée par la Commission européenne :

  • Infrastructures critiques et composants de sécurité des transports
  • Éducation (notation d'examens, orientation des élèves)
  • Emploi et recrutement (par exemple un outil de tri de CV)
  • Accès aux services essentiels (par exemple le scoring de crédit bancaire)
  • Biométrie
  • Application de la loi (forces de l'ordre)
  • Migration, asile et gestion des frontières
  • Administration de la justice et processus démocratiques
  • Composants de sécurité de produits déjà réglementés (dispositifs médicaux, transports)

source officielle →

AI Act : les questions qu'un dirigeant se pose vraiment

Pas de jargon juridique : 8 questions concrètes, une réponse simple, et la source officielle (Commission européenne, EUR-Lex) derrière chaque réponse.

Cliquez sur une question pour voir la réponse et sa source.

J'utilise juste Copilot ou ChatGPT au quotidien, suis-je vraiment concerné ?

Dans la grande majorité des cas, non, pas par des obligations spécifiques. Utiliser un chatbot ou un copilote du commerce, sans l'intégrer ni le transformer en produit, reste en dehors du cœur du règlement tant qu'il ne s'agit pas d'un système d'IA "à haut risque". Vous restez toutefois "déployeur" de l'outil : vous devez l'utiliser conformément à sa notice d'emploi.

Dois-je former mes salariés à l'IA ?

C'est une obligation prévue par le règlement (article 4, "littératie IA"), en vigueur depuis le 2 février 2025. L'idée : donner à vos équipes - celles qui fournissent, utilisent ou sont affectées par un système d'IA - les notions nécessaires pour prendre des décisions éclairées face à ces outils. La Commission a publié un recueil de pratiques ("living repository") pour aider les entreprises à s'organiser, sans imposer un format unique de formation.

Si un chatbot répond à mes clients ou qu'une IA génère mes visuels, dois-je le signaler ?

Oui, à partir du 2 août 2026 (article 50 du règlement). Une personne qui échange avec un chatbot doit pouvoir savoir qu'elle parle à une machine. Un contenu généré par IA (texte, image, vidéo) doit rester identifiable comme tel, et les "deepfakes" ou les textes IA publiés sur des sujets d'intérêt public doivent être signalés de façon claire et visible. Un code de bonnes pratiques volontaire sur le marquage de ces contenus a été publié le 10 juin 2026 pour guider les entreprises.

Dois-je inscrire mon IA dans un registre officiel européen ?

Seulement si vous êtes fournisseur d'un système d'IA "à haut risque" : dans ce cas, l'inscription dans une base de données publique européenne est obligatoire. Les autorités publiques qui déploient un système à haut risque doivent aussi s'y inscrire, sauf pour les infrastructures critiques. Les usages courants d'outils IA du commerce ne sont pas concernés par ce registre.

Les sanctions sont-elles les mêmes pour une PME que pour un grand groupe ?

Non. Le règlement fixe 3 paliers de sanctions (jusqu'à 35 M€ ou 7% du chiffre d'affaires mondial pour les pratiques interdites ; 15 M€ ou 3% pour les autres manquements ; 7,5 M€ ou 1% pour de fausses informations aux autorités), en retenant à chaque fois le montant le plus élevé des deux. Pour les PME et jeunes entreprises, la règle s'inverse : c'est le montant le plus BAS de chaque palier qui s'applique, jamais le plus haut. Détail complet et sourcé dans la section "Les sanctions AI Act, en clair".

Existe-t-il une aide officielle gratuite pour savoir si je suis concerné ?

Oui. La Commission a mis en place un "AI Act Service Desk" qui propose une FAQ, un outil "Compliance Checker" pour évaluer vos propres obligations, un "AI Act Explorer" pour naviguer dans le texte article par article, et un formulaire pour poser une question directement à une équipe d'experts.

J'utilise l'IA pour trier des CV ou surveiller mes salariés, ai-je des obligations particulières ?

Oui, ce sont des usages typiques classés "à haut risque" par le règlement. En tant que déployeur, vous devez notamment désigner une supervision humaine assurée par du personnel "suffisamment équipé et habilité", informer vos salariés AVANT de déployer un tel système sur leur lieu de travail, et informer toute personne dès lors qu'une IA participe à une décision qui la concerne (par exemple le tri d'une candidature). Le règlement impose aussi transparence, documentation technique et tenue de registres pour ces usages.

Puis-je tester mon IA avant de la déployer, sans risquer une sanction immédiate ?

Oui, c'est justement le rôle des "bacs à sable réglementaires" (regulatory sandboxes) et des tests en conditions réelles prévus par le règlement, pensés pour les PME et jeunes entreprises. Un amendement du 7 mai 2026 a encore élargi l'accès à ce dispositif : davantage d'innovateurs peuvent désormais y accéder, y compris via un bac à sable au niveau européen, et l'éligibilité a été étendue aux "small mid-cap" (petites entreprises de taille intermédiaire).

Cette FAQ est une synthèse pédagogique établie à partir des textes et pages officiels cités ci-dessus (Commission européenne, EUR-Lex). Elle ne remplace pas une lecture juridique du texte et ne constitue pas un avis juridique. Informations collectées le 18/07/2026.

Le calendrier de l'AI Act, en clair

Le règlement européen sur l'IA ne s'applique pas d'un coup : il avance par étapes entre 2024 et 2028. Voici les dates à retenir, ce qui est déjà actif et ce qui arrive, chacune avec sa source officielle. Informations collectées le 18/07/2026.

2024
1er août 2024 • déjà derrière nous

Le règlement entre en vigueur

Le texte européen sur l'intelligence artificielle devient officiellement un règlement en vigueur dans toute l'Union européenne. C'est le point de départ : toutes les échéances suivantes se comptent à partir de cette date.
source officielle →

2 février 2025 • en vigueur

Les usages interdits deviennent illégaux

Manipulation des personnes, notation sociale, reconnaissance faciale de masse... les pratiques les plus dangereuses sont désormais hors-la-loi partout en Europe (détail dans la section "veille réglementaire" ci-dessus). Les règles sur la sensibilisation à l'IA dans les organisations s'appliquent aussi depuis cette date.
source officielle →

2 août 2025 • en vigueur

Gouvernance européenne et IA générative encadrées

Les autorités de contrôle prévues par le texte (dont le Bureau européen de l'IA) sont officiellement en place, et les fournisseurs de grands modèles d'IA générative (type assistant conversationnel) doivent respecter des obligations de transparence et de documentation technique.
source officielle →

!
2 août 2026 • dans quelques jours

L'échéance générale du règlement

C'est la date que le texte d'origine fixait pour son application générale (24 mois après l'entrée en vigueur) : obligation d'informer les utilisateurs face à une IA, et la majorité des systèmes d'IA "à haut risque" utilisés de façon autonome. Une partie du haut risque a toutefois été décalée entre-temps (voir les deux étapes suivantes).
source officielle →

19 nov. 2025 → 7 mai 2026 • le calendrier a bougé

L'Europe ajuste le calendrier ("AI Omnibus")

Le 19 novembre 2025, la Commission européenne a proposé de simplifier et de retarder certaines échéances du règlement, le temps que les normes techniques nécessaires soient prêtes. Le Parlement européen et le Conseil ont trouvé un accord politique sur ce texte le 7 mai 2026. Conséquence concrète : deux échéances sur le "haut risque" ont été repoussées (les deux prochaines étapes ci-dessous). À la date de cette page, cet accord politique n'est pas encore publié sous sa forme définitive au Journal officiel de l'UE.
source officielle →

2027
2 décembre 2027 • à venir (échéance reportée)

Haut risque dans les secteurs sensibles

Nouvelle échéance pour les systèmes d'IA à haut risque utilisés notamment en biométrie, infrastructures critiques, éducation, emploi, ou migration/asile/contrôle des frontières. Ces obligations, qui devaient initialement s'appliquer en août 2026, sont repoussées à cette date pour laisser le temps aux normes techniques d'être finalisées.
source officielle →

2028
2 août 2028 • à venir (échéance reportée)

IA intégrée à des produits déjà régulés (ascenseurs, jouets...)

Pour les systèmes d'IA qui sont des composants de sécurité dans des produits déjà régulés par ailleurs (ascenseurs, jouets, dispositifs médicaux...), l'échéance était fixée à août 2027 dans le texte d'origine (36 mois après l'entrée en vigueur). Elle est désormais repoussée à cette date.
source officielle →

📌

Ce qu'il faut retenir, en une phrase

Les interdictions et les règles de gouvernance sont déjà actives depuis 2025 ; l'échéance générale du règlement tombe dans les tout prochains jours (2 août 2026) ; et deux familles de systèmes à haut risque (secteurs sensibles, produits réglementés) bénéficient d'un délai supplémentaire jusqu'à fin 2027 puis mi-2028, le temps que les normes techniques soient prêtes.

Les sanctions AI Act, en clair

Pas de panique ni de chiffre choc : voici exactement ce que dit le texte européen sur les amendes, qui les prononce, et depuis quand elles s'appliquent réellement. Chaque montant est celui écrit noir sur blanc dans le règlement (UE) 2024/1689, articles 99 à 101.

35 M€
ou 7 %du chiffre d'affaires mondial

Palier maximal - pratiques d'IA totalement interdites

Le montant le plus élevé des deux est retenu. Il vise exclusivement les 8 usages interdits par l'article 5 : manipulation ou tromperie par l'IA, exploitation des vulnérabilités d'une personne, notation sociale, prédiction d'un risque de délit à partir du seul profilage, aspiration massive de visages pour créer une base de reconnaissance faciale, reconnaissance des émotions au travail ou à l'école, catégorisation biométrique de caractéristiques protégées, et identification biométrique "en temps réel" par les forces de l'ordre dans l'espace public.

Règlement (UE) 2024/1689, article 99§3 →
15 M€
ou 3 %du chiffre d'affaires mondial

Palier intermédiaire - le plus concerné par les PME/ETI

C'est ce palier qui touche le plus directement les entreprises clientes d'un outil d'IA : obligations des fournisseurs (article 16), des mandataires (22), des importateurs (23), des distributeurs (24), des déployeurs, c'est-à-dire des entreprises qui utilisent un système d'IA à haut risque (article 26), des organismes notifiés, et les obligations de transparence envers les utilisateurs (article 50 - par exemple signaler qu'un chatbot est une IA).

Règlement (UE) 2024/1689, article 99§4 →
7,5 M€
ou 1 %du chiffre d'affaires mondial

Palier le plus bas - informations trompeuses aux autorités

S'applique quand une entreprise fournit une information incorrecte, incomplète ou trompeuse à un organisme notifié ou à une autorité nationale compétente qui lui a fait une demande officielle.

Règlement (UE) 2024/1689, article 99§5 →

Pour une PME, c'est toujours le montant le plus bas

Règle explicite du texte : pour les PME et jeunes entreprises, chaque amende est plafonnée au montant le plus bas des deux termes (pourcentage ou somme fixe), jamais le plus haut. Concrètement, une amende basée sur un pourcentage de votre chiffre d'affaires réel remplace presque toujours le plafond en millions d'euros pensé pour les multinationales.

Règlement (UE) 2024/1689, article 99§6 →

Une amende n'est jamais automatique

Le texte impose à l'autorité de tenir compte, avant de fixer un montant : la gravité et la durée du manquement, le nombre de personnes affectées, la taille et le chiffre d'affaires de l'entreprise, le caractère intentionnel ou négligent, le degré de coopération avec l'autorité, et les mesures déjà prises pour corriger le problème.

Règlement (UE) 2024/1689, article 99§7 →

Qui sanctionne concrètement

Chaque État membre doit désigner au moins une "autorité de surveillance du marché" nationale, chargée de faire appliquer le règlement sur son territoire. Au niveau européen, le Bureau européen de l'IA coordonne l'ensemble. À ce jour, aucune source officielle consultée ne permet de confirmer le nom de l'autorité définitivement désignée pour la France - nous ne l'inventons donc pas.

Règlement (UE) 2024/1689, article 70 →

Déjà en vigueur, pas une menace future

Les interdictions de l'article 5 (et leurs amendes jusqu'à 35 M€) s'appliquent depuis le 2 février 2025. L'ensemble du régime de sanctions (chapitre XII, article 99) est en application depuis le 2 août 2025. Ce n'est donc pas une échéance lointaine : le cadre des amendes est déjà actif aujourd'hui.

Règlement (UE) 2024/1689, article 113 →

Cas particulier : les modèles d'IA "généralistes" (type GPT, Gemini...)

Les fournisseurs de grands modèles d'IA à usage général (les "fondations" derrière des outils comme les assistants IA) relèvent d'un régime à part : c'est la Commission européenne elle-même qui peut leur infliger une amende allant jusqu'à 15 M€ ou 3 % de leur chiffre d'affaires mondial. Ce régime cible l'éditeur du modèle, pas l'entreprise qui l'utilise au quotidien.

Règlement (UE) 2024/1689, article 101 →

Aucun exemple chiffré inventé

Le règlement prévoit que chaque État membre transmette chaque année à la Commission un rapport sur les amendes réellement prononcées. Aucune première édition de ce rapport n'a été identifiée à ce jour dans les sources officielles consultées - nous ne citons donc aucun cas concret ni aucun montant réellement infligé tant qu'il n'est pas officiellement publié.

Règlement (UE) 2024/1689, article 99§11 →
Montants et articles vérifiés par lecture directe du texte officiel du règlement (UE) 2024/1689 (Journal officiel de l'Union européenne du 12 juillet 2024, EUR-Lex CELEX 32024R1689). Cette section est une synthèse pédagogique, elle ne remplace pas un avis juridique. Informations vérifiées le 18/07/2026.

Votre autorité de contrôle, selon votre pays

En Europe, chaque pays a ses propres autorités. Voici, pour les 30 pays de l'Espace économique européen, l'autorité de protection des données (votre interlocuteur RGPD) et l'autorité nationale de cybersécurité. Chaque nom renvoie au site officiel.

PaysProtection des donnéesCybersécurité
AllemagneBfDI - Die Bundesbeauftragte für den Datenschutz und die InformationsfreiheitBSI - Bundesamt für Sicherheit in der Informationstechnik (Federal Office for Information Security)
AutricheOsterreichische Datenschutzbehorde (DSB)CERT.at
BelgiqueAutorite de la protection des donnees - Gegevensbeschermingsautoriteit (APD-GBA)Centre for Cybersecurity Belgium (CCB)
BulgarieCommission for Personal Data Protection (CPDP)CERT Bulgaria (National Cybersecurity Incident Response Team, State e-Government Agency)
ChypreOffice of the Commissioner for Personal Data Protection (Cyprus Data Protection Authority)Digital Security Authority (DSA)
CroatieAgencija za zastitu osobnih podataka (AZOP) - Croatian Personal Data Protection AgencyNational Cyber Security Centre (NCSC-HR), operating under the Security and Intelligence Agency (SOA)
DanemarkDatatilsynetForsvarets Efterretningstjeneste (FE) - Cybersituationscenter, national CSIRT (Danish Defence Intelligence Service)
EspagneAgencia Espanola de Proteccion de Datos (AEPD)INCIBE - Instituto Nacional de Ciberseguridad (Spanish National Cybersecurity Institute)
EstonieEstonian Data Protection Inspectorate (Andmekaitse Inspektsioon)Information System Authority (RIA) - National Cyber Security Centre of Estonia (NCSC-EE), heberge CERT-EE
FinlandeOffice of the Data Protection Ombudsman (Tietosuojavaltuutetun toimisto)National Cyber Security Centre Finland (NCSC-FI)
FranceCNIL (Commission Nationale de l'Informatique et des Libertes)ANSSI (Agence Nationale de la Securite des Systemes d'Information)
GrèceHellenic Data Protection Authority (HDPA) - Arkhi Prostasias Dedomenon Prosopikou KharaktiraNational Cybersecurity Authority (NCSA) - Ethniki Arkhi Kyvernoasfaleias
HongrieNemzeti Adatvedelmi es Informacioszabadsag Hatosag (NAIH) - Hungarian National Authority for Data Protection and Freedom of InformationNational Cyber Security Center of Hungary (NCSC-HU / NKI), operant au sein du Special Service for National Security (SSNS)
IrlandeData Protection Commission (DPC)National Cyber Security Centre (NCSC-IE), incluant le CSIRT-IE
IslandePersonuvernd (Icelandic Data Protection Authority)CERT-IS
ItalieGarante per la protezione dei dati personaliAgenzia per la Cybersicurezza Nazionale (ACN)
LettonieData State Inspectorate (Datu valsts inspekcija)CERT.LV - Cyber Incident Response Institution of the Republic of Latvia
LiechtensteinDatenschutzstelle Fürstentum LiechtensteinCSIRT.LI (Computer Security Incident Response Team Liechtenstein / National Cyber Security Unit)
LituanieState Data Protection Inspectorate (Valstybine duomenu apsaugos inspekcija - VDAI)National Cyber Security Centre (Nacionalinis kibernetinio saugumo centras - NKSC)
LuxembourgCommission Nationale pour la Protection des Données (CNPD)Agence nationale de la sécurité des systèmes d'information (ANSSI Luxembourg), sous le Haut-Commissariat à la protection nationale (HCPN)
MalteOffice of the Information and Data Protection Commissioner (IDPC)CSIRTMalta (Critical Information Infrastructure Protection Unit, Ministry for Home Affairs and National Security)
NorvegeDatatilsynetNSM (Nasjonal sikkerhetsmyndighet / National Security Authority) (à confirmer)
Pays-BasAutoriteit Persoonsgegevens (AP)National Cyber Security Centre (NCSC-NL)
PologneUrząd Ochrony Danych Osobowych (UODO)CSIRT NASK (CERT Polska)
PortugalComissão Nacional de Proteção de Dados (CNPD)Centro Nacional de Cibersegurança (CNCS)
RoumanieANSPDCP - Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (National Supervisory Authority for Personal Data Processing)à confirmer
SlovaquieUrad na ochranu osobnych udajov Slovenskej republikyNarodny bezpecnostny urad (National Security Authority) - SK-CERT / National Cyber Security Centre
SlovénieInformation Commissioner of the Republic of Slovenia (Informacijski pooblascenec)Government Information Security Office (GISO / URSIV - Urad Vlade RS za Informacijsko Varnost)
SuedeIntegritetsskyddsmyndigheten (IMY) - Swedish Authority for Privacy ProtectionNationellt cybersakerhetscenter (NCSC-SE), rattache a FRA, integre CERT-SE (CSIRT national)
TchéquieUrad pro ochranu osobnich udaju (UOOU) - Office for Personal Data ProtectionNarodni urad pro kybernetickou a informacni bezpecnost (NUKIB) - National Cyber and Information Security Agency

Sources : sites officiels des autorités et liste des membres de l'EDPB (edpb.europa.eu), consultés le 18 juillet 2026. Autorités de protection des données confirmées : 30/30. Autorités de cybersécurité confirmées : 28/30. Les mentions « à confirmer » signalent une source officielle non stabilisée à ce jour.