Les amendes de l’UE ne sont plus une menace théorique en matière de gouvernance de l’IA : elles deviennent le mécanisme contraignant qui transforme la « IA responsable » en conformité mesurable et auditable. Alors que les plafonds d’amende du règlement sur l’IA de l’UE (AI Act) circulent dans les dossiers des conseils d’administration et les registres de risques, les entreprises passent de programmes fondés sur des politiques à des modèles opérationnels axés sur l’exécution.
Parallèlement, l’application du RGPD continue de façonner les décisions relatives à l’IA « par procuration », car l’approvisionnement en données, la transparence et les transferts transfrontaliers sont au cœur du développement et du déploiement modernes des modèles. Le résultat est un paysage de conformité où les obligations du AI Act, la jurisprudence du RGPD et la coordination des autorités convergent vers une attente unique : prouvez que vous contrôlez, ou payez.
1) « Les amendes du AI Act deviennent réelles » : pourquoi les paliers de sanctions changent la gouvernance
La structure des amendes du règlement sur l’IA de l’UE est largement citée comme le « bâton » de conformité qui redessine les feuilles de route de gouvernance de l’IA. Les montants, jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les violations les plus graves, ont placé le risque lié à l’IA dans la même catégorie que la concurrence, les sanctions et les incidents cybernétiques majeurs. Des synthèses comme la couverture de CNBC sur les amendes maximales ont contribué à faire circuler rapidement ces chiffres des équipes juridiques aux comités exécutifs.
En pratique, l’approche par paliers (souvent décrite comme des plafonds de 7 %/35 M€, 3 %/15 M€ et 1 %/7,5 M€) crée une incitation claire à cartographier les contrôles par rapport aux obligations et à documenter cette cartographie. Même lorsqu’une organisation estime que son utilisation de l’IA est à faible risque, l’existence de ces paliers pousse à une logique de « montrez-moi les preuves » : inventaires, fiches descriptives des modèles (model cards), dossiers de diligence raisonnable des fournisseurs et journaux de décision traçables.
Le texte officiel (tel qu’il figure dans le Journal Officiel et largement référencé via des répertoires tels qu’ArtificialIntelligenceAct.eu) précise également que l’IA à usage général (GPAI) n’est pas hors du périmètre d’application. Les pouvoirs d’amende de l’article 101 pour la GPAI constituent un signal d’alerte en matière de gouvernance : les fournisseurs de modèles de base et les déployeurs en aval négocient de plus en plus des droits d’audit, des clauses de partage d’informations et des positions de responsabilité comme si les amendes étaient une ligne budgétaire à court terme.
2) De l’orientation à l’exécution : le Code de bonnes pratiques pour la GPAI comme référence
Un accélérateur majeur de conformité est la réception et la publication, par la Commission européenne, du Code de bonnes pratiques pour l’IA à usage général (GPAI) le 10 juillet 2025. Présenté comme un cadre pratique de conformité pour les fournisseurs de GPAI, il est à plusieurs reprises traité par les régulateurs et les juristes comme une référence de facto pour ce à quoi ressemble le « bon » : documentation structurée, transparence et gestion opérationnelle des risques plutôt que principes aspiratoires.
Ce changement importe car une orientation « de référence » devient le modèle pour les audits, les questionnaires d’achat et les tests de contrôle interne. Les organisations alignent de plus en plus leurs listes de contrôle internes sur le vocabulaire du Code afin de pouvoir démontrer leur conformité aux attentes soutenues par la Commission, notamment pour la documentation technique, les pratiques d’évaluation de la sécurité et le partage d’informations en aval.
La publication a aussi offert aux entreprises un récit facile à diffuser en interne. Une couverture de la Commission attribuée à la vice-présidente exécutive Henna Virkkunen décrivait le Code comme « une étape importante… non seulement innovante mais aussi sûre et transparente ». De nombreux responsables conformité ont adopté ce cadrage pour obtenir des budgets destinés à des contrôles qui peuvent autrement apparaître comme des frictions : traçabilité de la provenance, tests de type red-team et avis utilisateurs plus explicites.
3) L’horloge de l’exécution : des dates d’application qui déterminent budgets et contrats
L’application du AI Act de l’UE se déroule par phases, et cette gradation façonne la manière dont les entreprises séquencent leurs dépenses. Les premières restrictions sur les pratiques interdites commencent à s’appliquer dès le 2 février 2025, ce qui a déjà entraîné des revues rapides des « pratiques interdites », des rafraîchissements de politiques et des filtrages dans les achats, souvent avant que des programmes de gouvernance de l’IA plus larges ne soient pleinement matures.
Pour la GPAI en particulier, les entreprises planifient autour de deux dates qui dominent les feuilles de route de mise en œuvre : les règles relatives à la GPAI s’appliquant à partir du 2 août 2025, et les actions d’exécution au niveau de la Commission (y compris les demandes d’informations ou d’accès et les rappels potentiels) décrites comme commençant le 2 août 2026. Cet écart d’un an est utilisé pour constituer des preuves « prêtes pour l’audit », tester les lignes de reporting et renégocier les contrats avec les fournisseurs de modèles afin que les déployeurs en aval puissent obtenir les informations nécessaires pour se conformer.
L’impact pratique est visible dans les clauses contractuelles et les procédures opérationnelles. L’intégration des fournisseurs comprend désormais couramment des clauses relatives au AI Act concernant la livraison de documentation, les délais de déclaration d’incident et les obligations de coopération, car si un régulateur demande des preuves, « nous ne les avons pas parce que le fournisseur ne les a pas fournies » n’est plus une réponse acceptable lorsque des amendes sont en jeu.
4) Les amendes RGPD comme conformité IA par procuration : la gouvernance des données sous pression
Même avant que les sanctions du AI Act ne soient pleinement éprouvées, les amendes du RGPD continuent de façonner la conformité à l’IA dans les décisions quotidiennes concernant les données d’entraînement, la transparence et les transferts internationaux. En 2025, les amendes RGPD ont totalisé environ 1,2 milliard d’euros, et l’ampleur de ces montants maintient l’application de la protection de la vie privée au centre de la conception des programmes d’IA.
Des commentaires rapportés par DLA Piper ont souligné que les régulateurs restent actifs dans « l’interaction complexe entre l’innovation en IA et les lois sur la protection des données ». Pour les organisations qui construisent ou déploient des IA génératives, cette « interaction » n’est pas abstraite : elle affecte la possibilité d’utiliser certains jeux de données, la manière dont les avis doivent être présentés, quelles bases légales sont viables et comment les évaluations des risques de transfert sont documentées.
Le résultat est que de nombreuses entreprises considèrent la préparation au RGPD comme la voie la plus rapide pour réduire le risque lié à l’IA, car cela impose de la discipline sur la traçabilité des données, la conservation, les contrôles d’accès et la transparence envers les utilisateurs. Dans les discussions du conseil, la logique est simple : si l’histoire des données d’un produit ne résiste pas à une enquête RGPD, elle aura du mal à satisfaire aux attentes du AI Act en matière de documentation et de transparence.
5) Signaux d’exécution qui reshappent les pipelines de données IA : TikTok et ChatGPT
Les affaires de grande envergure, même lorsqu’elles ne relèvent pas du AI Act, influencent la planification de la conformité à l’IA car elles révèlent les priorités des régulateurs en matière de transparence et de transferts. La DPC irlandaise a infligé à TikTok une amende de 530 millions d’euros (décision annoncée le 4 juillet 2025, largement rapportée auparavant) pour des manquements en matière de transparence au regard du RGPD et de garanties sur les transferts transfrontaliers. Les équipes IA citent ce type d’exécution lorsqu’elles plaident pour une analyse de localisation plus stricte, un contrôle renforcé des fournisseurs et des limites claires sur les flux de données de formation ou d’inférence des modèles.
De même, le Garante italien a infligé à OpenAI une amende de 15 millions d’euros le 20 décembre 2024 pour le traitement de données personnelles lié à ChatGPT. Pour de nombreuses équipes produit de genAI orientées vers l’UE, cette décision est devenue un archétype de ce que les régulateurs attendent en pratique : avis plus clairs, explications plus explicites du traitement et contrôles d’âge/consentement renforcés dans la conception de l’expérience utilisateur.
Ensemble, ces affaires poussent les organisations à considérer la « conformité des pipelines de données » comme un contrôle IA de premier ordre. Cela signifie une provenance documentée des jeux de données, une gouvernance du scraping, une revue humaine pour les sources sensibles et des contraintes contractuelles empêchant les usages abusifs en aval, car les échecs les plus coûteux commencent souvent en amont, bien avant que le modèle n’atteigne la production.
6) Les régulateurs se coordonnent autour de l’IA : probabilité accrue d’amendes
Les entreprises réagissent également à la coordination institutionnelle croissante des régulateurs de la vie privée sur l’IA. Le Comité européen de la protection des données (CEPD/EDPB) a créé un groupe de travail sur l’application de l’IA en février 2025, signalant des approches coordonnées qui peuvent augmenter la probabilité d’enquêtes consécutives dans plusieurs pays une fois qu’un problème est identifié.
Cette coordination est renforcée par la planification prospective du CEPD. Son programme de travail pour 2026 et 2027 met en avant des orientations prévues sur l’IA générative et le scraping de données, que les équipes conformité perçoivent comme un aperçu des priorités d’application futures. En conséquence, les organisations priorisent les contrôles de provenance des jeux de données, des politiques de scraping défendables et des approbations internes plus explicites pour l’acquisition de données.
Les attentes en matière de gouvernance se précisent également dans les institutions adjacentes. Un discours de l’EDPS le 4 mars 2026 a abordé la structure de gouvernance et d’exécution du AI Act, renforçant l’idée que des dispositifs de supervision structurés et des preuves de conformité seront attendus, en particulier pour les institutions de l’UE et leurs fournisseurs, mais avec des effets de signalisation plus larges sur le marché.
7) À quoi ressemble une « IA prête pour l’audit » sous la menace d’amendes
À mesure que les amendes et les calendriers du AI Act se concrétisent, « prête pour l’audit » remplace « éthique de façade » dans de nombreuses stratégies de conformité. La Commission a également publié des lignes directrices pour aider les fournisseurs de GPAI à respecter les obligations qui prennent effet le 2 août 2025, et ces lignes directrices sont souvent utilisées comme liste de contrôle pour la documentation, la transparence et le partage d’informations en aval.
Opérationnellement, une IA prête pour l’audit signifie généralement : un inventaire des systèmes à jour ; une classification des risques avec justification documentée ; une documentation technique pouvant être produite rapidement ; des lignes de responsabilité claires ; et des tests et une surveillance reproductibles. Lorsque les organisations dépendent de modèles tiers, la préparation à l’audit implique également de définir un processus d’entrée des éléments de preuve, afin que les artefacts fournis par les fournisseurs arrivent dans un format utilisable et examinable.
Il est important de noter que la préparation à l’audit ne protège pas seulement contre l’exposition au AI Act. Elle réduit aussi la probabilité que l’application du RGPD fasse dérailler des produits d’IA, car les mêmes preuves , cartographies des données, évaluations des transferts, registres de transparence , forment souvent l’ossature à la fois de la gouvernance de l’IA et de la conformité à la protection des données.
8) Politique de simplification tandis que les amendes planent : investissement en conformité et lobbying
La pression de l’exécution influence également les débats politiques. Des comptes rendus sur les discussions de la Commission autour de la « simplification » du RGPD dans le contexte de la compétitivité en IA montrent une tension : les décideurs veulent soutenir l’innovation, tandis que les entreprises font face à des coûts de conformité croissants et à un risque financier matériel.
Pour les entreprises, cette dynamique crée une stratégie à deux volets. Le premier volet est un investissement accéléré en conformité, car les paliers de sanctions du AI Act et les dates d’application échelonnées sont des points fixes qui ne peuvent pas être négociés à court terme. Le deuxième volet est le plaidoyer : pousser pour des orientations plus claires, une réduction de la fragmentation et des interprétations opérationnelles, en particulier là où le développement de l’IA dépend du traitement massif de données.
Même si les initiatives de simplification progressent, elles sont peu susceptibles de supprimer l’attente fondamentale que les organisations puissent démontrer le contrôle. En ce sens, les amendes reconfigurent la conformité à l’IA non seulement par la punition, mais en faisant de la « preuve de conformité » une exigence concurrentielle standard pour vendre des produits à fonctionnalités IA en Europe.
Les amendes de l’UE commencent à remodeler la conformité à l’IA en changeant ce que demandent les équipes dirigeantes : non pas des promesses, mais des preuves. Les paliers d’amendes du AI Act, le Code de bonnes pratiques pour la GPAI et le calendrier d’exécution échelonné poussent collectivement les organisations à formaliser inventaires, documentation, gouvernance des fournisseurs et surveillance de manière à résister à l’examen des régulateurs.
Parallèlement, l’application du RGPD, à travers des affaires emblématiques, des totaux annuels d’amendes élevés et une action coordonnée des autorités, continue de conduire les contrôles IA autour de l’approvisionnement en données, de la transparence et des transferts. Pour de nombreuses organisations, la leçon émergente est simple : le coût de la mise en place d’une conformité prête pour l’audit est de plus en plus faible que le coût d’expliquer, après coup, pourquoi les preuves n’existent pas.
