Amendes AI Act : ce que risquent les PME

Amendes de l'AI Act : ce que risquent réellement les entreprises luxembourgeoises d'ici août 2026

En savoir plus sur l'implémentation de l'IA au Luxembourg dans notre guide complet.

Il reste environ sept semaines avant le 2 août 2026 — une date qui, lors des appels de cadrage de conformité au Luxembourg, a cessé d'être abstraite pour devenir un point inscrit à l'ordre du jour des conseils d'administration. Nous avons écrit sur l'échéance phare elle-même, sur la distinction entre fournisseur et déployeur, sur les systèmes à haut risque, sur la maîtrise de l'IA au titre de l'article 4, sur les obligations relatives aux GPAI et sur les pratiques interdites par l'article 5. Une question demeure : quelle est l'amende réelle si une PME luxembourgeoise ne fait rien ?

Cet article y répond. Sans jargon, sans alarmisme, avec de vrais chiffres, trois paliers, le contexte d'application propre au Luxembourg et les trois actions pragmatiques qui vous permettent d'atteindre une position « défendable » avant le 2 août.

Les trois paliers d'amendes, en chiffres clairs

Le règlement européen sur l'IA (AI Act) instaure trois paliers d'amendes administratives en cas de non-conformité. Montants maximaux :

1. Pratiques interdites par l'article 5 (notation sociale, IA manipulatrice, moissonnage non ciblé d'images pour la reconnaissance faciale et le reste de la liste de l'article 5) : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
2. La plupart des autres obligations — y compris les exigences relatives aux systèmes à haut risque, les obligations relatives aux GPAI et les obligations de transparence : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
3. Fourniture d'informations inexactes, incomplètes ou trompeuses à un organisme notifié ou à une autorité compétente : jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Pour les PME, le règlement précise explicitement (article 99(6)) que c'est le plus faible des deux montants qui s'applique — et non le plus élevé. Ainsi, pour une PME luxembourgeoise réalisant, disons, 30 millions d'euros de chiffre d'affaires, une violation de l'article 5 plafonne à 35 millions d'euros OU 7 % × 30 M€ = 2,1 M€ → les 2,1 M€, et non les 35 M€. Cela reste un montant capable d'anéantir la plupart des PME luxembourgeoises, mais ce n'est pas le chiffre de 35 M€ sur lequel la presse spécialisée s'est focalisée.

Qui inflige réellement les amendes au Luxembourg ?

L'AI Act délègue l'application nationale à des « autorités compétentes » désignées par chaque État membre. Le processus de désignation du Luxembourg est encore en cours de finalisation au moment de la rédaction (mi-juin 2026), mais le consensus de travail au sein de la communauté juridique est le suivant :

• CNPD (Commission nationale pour la protection des données) — probablement chef de file pour les obligations de transparence, de décision automatisée et biométriques, compte tenu du recouvrement existant avec le RGPD.
• ILR (Institut Luxembourgeois de Régulation) — probablement chef de file pour la surveillance du marché des produits d'IA mis sur le marché.
• CSSF pour les systèmes d'IA du secteur financier, ILNAS pour la sécurité générale des produits, et les régulateurs sectoriels pour leurs domaines respectifs.

Concrètement : un même système d'IA au sein d'une entreprise luxembourgeoise de services financiers pourrait être supervisé par la CSSF, la CNPD et l'ILR pour des aspects différents, avec des renvois croisés entre elles. La charge administrative liée à de multiples superviseurs représente un coût réel qui s'ajoute à l'amende financière — anticipez-le.

Ce que « ne rien faire » signifie concrètement au 2 août

Six catégories d'obligations entrent en jeu le 2 août 2026. Voici, à peu près par ordre de probabilité d'application à l'encontre d'une PME luxembourgeoise :

1. Maîtrise de l'IA (article 4)

S'applique aux fournisseurs ET aux déployeurs. Toute entreprise luxembourgeoise utilisant un système d'IA doit garantir un « niveau suffisant de maîtrise de l'IA » parmi les personnes qui le déploient et l'exploitent. Il n'existe pas de dispositif de certification ; il existe en revanche une attente de documentation. « Ne rien faire » signifie ici : aucune formation, aucun registre, aucun programme de maîtrise documenté. C'est la correction la moins coûteuse et la chose la plus chère à se faire reprocher de ne pas avoir faite — voir notre article sur la maîtrise de l'IA au titre de l'article 4.

2. Pratiques interdites par l'article 5

Si vous exploitez une quelconque pratique interdite, l'échéance est déjà passée (l'article 5 est entré en vigueur le 2 février 2025). « Ne rien faire » relève ici de la catégorie la plus grave. La plupart des PME luxembourgeoises ne sont pas concernées par l'article 5 ; celles qui le sont le savent généralement. Vérifiez-le avec l'article sur l'article 5.

3. Classification fournisseur / déployeur

Toute entreprise luxembourgeoise qui utilise ou conçoit un système d'IA doit disposer d'une classification documentée par système. « Ne rien faire » signifie : aucun registre, aucune analyse documentée, aucune répartition contractuelle claire des responsabilités. C'est la lacune documentaire fondamentale — celle qui rend toutes les autres étapes de conformité plus difficiles. Test d'auto-classification en cinq minutes ici.

4. Systèmes à haut risque (annexe III)

Si vous déployez du filtrage de candidatures, de l'évaluation de solvabilité, de la catégorisation biométrique, de l'accès à l'éducation ou de l'IA d'infrastructure critique — vous êtes en territoire à haut risque. Les amendes du palier 2 s'appliquent. Ne rien faire signifie : aucun système de gestion des risques, aucune documentation de gouvernance des données, aucune conception de supervision humaine, aucune journalisation. C'est la facture de conformité la plus élevée pour une PME luxembourgeoise.

5. Obligations de transparence et de droit d'auteur relatives aux GPAI

Si vous affinez ou entraînez un modèle d'IA à usage général, vous êtes soumis à des obligations de politique en matière de droit d'auteur et de synthèse des données d'entraînement depuis le 2 août 2025 (déjà en vigueur). Voir l'article sur les GPAI.

6. Documentation et conservation des registres

Les fournisseurs de systèmes à haut risque doivent conserver une documentation technique ; les déployeurs doivent conserver des journaux d'utilisation. « Ne rien faire » signifie que la documentation n'existe pas. C'est la catégorie qui transforme une amende de palier 2 en une amende de palier 3 supplémentaire (défaut de fourniture d'informations).

Point de contrôle rapide. Si vous n'avez pas encore réalisé la classification fournisseur / déployeur sur l'ensemble de vos systèmes d'IA, arrêtez de lire ceci et faites-le d'abord. Cela prend 30 minutes par système et c'est le préalable à toute autre étape de conformité. Réservez une session de travail de 15 minutes sur 20more.lu/fr/contact et nous passerons en revue vos trois premiers systèmes en direct avec vous.

À quoi ressemble réellement l'application dans la pratique

Le règlement n'existe pas dans le vide — il vient se superposer à une culture réglementaire nationale. La culture réglementaire luxembourgeoise est, selon les standards de l'UE, fondée sur le risque, privilégiant le dialogue et proportionnée à la taille de l'entité régulée. Ce n'est ni un conseil juridique ni une garantie, mais c'est le schéma constant observé à la CSSF, à la CNPD et à l'ILR au cours de la dernière décennie.

Ce que cela signifie concrètement pour une PME luxembourgeoise :

• Le premier contact sera probablement une question, pas une amende. Les autorités compétentes ont tendance à débuter par une demande d'informations.
• Un dossier de documentation défendable change tout. Si vous disposez d'un registre des systèmes d'IA, d'une classification fournisseur/déployeur documentée, d'un journal de formation à la maîtrise de l'IA et d'une conception écrite de la supervision humaine — la conversation sera très différente de celle où rien de tout cela n'existe.
• L'amende, si elle vient, est calibrée. L'article 99(7) impose aux autorités de tenir compte de la taille de la PME lorsqu'elles fixent le montant. « Jusqu'à » signifie jusqu'à.

Les trois actions pragmatiques pour atteindre une position « défendable » avant le 2 août

Si vous faites ces trois choses, vous vous situerez dans la fenêtre du dialogue privilégié auprès d'une autorité compétente luxembourgeoise. Aucune d'elles n'est coûteuse.

1. Constituez le registre des systèmes d'IA. Un tableur, une ligne par système, des colonnes : nom, responsable, fournisseur ou déployeur, haut risque annexe III oui/non, synthèse des données d'entraînement le cas échéant, conception de la supervision humaine, formation actuelle à la maîtrise de l'IA. Une demi-journée de travail. Ce seul document modifie 80 % de la physionomie d'une conversation d'application.
2. Documentez le programme de maîtrise de l'IA. Même si votre « programme » se résume à une vidéo interne de 20 minutes et à une fiche d'une page annexée au contrat de travail — mettez-le par écrit. Une demi-journée de travail pour une PME de 30 personnes. Voir l'article sur l'article 4 pour le modèle.
3. Réalisez la classification fournisseur/déployeur sur chaque système d'IA. Utilisez le test de 5 minutes. Une journée de travail pour environ 10 systèmes.

Deux jours de travail au total. C'est ce qui fait la différence entre une posture défendable au 2 août et une posture qui ne l'est pas. Pour la plupart des PME luxembourgeoises, l'exposition aux amendes liée à l'inaction se chiffre en centaines de milliers, voire en millions d'euros. Le coût de l'action, lui, se chiffre en milliers d'euros. Le ratio relève du type d'investissement de conformité qu'il est presque embarrassant de devoir défendre.

Vous voulez de l'aide pour constituer le registre ? Réservez un appel gratuit de 15 minutes sur 20more.lu/fr/contact. Nous vous enverrons le modèle de registre le jour même, pré-rempli avec les colonnes que demandent les régulateurs luxembourgeois. Pas de présentation commerciale. Sept semaines avant l'échéance.