Le 2 août 2026, une seule disposition du règlement (UE) 2024/1689 s’appliquera à la quasi-totalité des opérateurs : l’article 50, qui instaure des obligations de transparence à l’égard des personnes interagissant avec un système d’IA ou exposées à des contenus qu’il génère.
Chatbots, deepfakes, marquage numérique des sorties : tour d’horizon par Maître Julien Riant des obligations, des acteurs concernés, et des sanctions encourues en tenant compte de l’accord provisoire du 7 mai 2026 issu du paquet omnibus numérique.
1. Le calendrier d’application : ne pas confondre les dates
Le règlement (UE) 2024/1689, dit « règlement IA » ou « AI Act » (RIA), est entré en vigueur le 2 août 2024. Son application est toutefois échelonnée en plusieurs vagues.
Beaucoup d’acteurs redoutent une mise en conformité massive pour le 2 août 2026. Cette crainte est largement infondée : à cette date, la grande majorité des obligations notamment celles pesant sur les systèmes d’IA à haut risque ne seront pas encore exigibles.
C’est essentiellement l’article 50 du RIA qui sera, seul, applicable à la très grande majorité des acteurs de l’IA.
Dans le cadre du paquet omnibus numérique, les négociateurs du Conseil sont parvenus le 7 mai 2026 à un accord provisoire (non encore formellement publié au JOUE) qui modifie substantiellement le calendrier. Les obligations relatives aux SIA à haut risque (Annexe III : biométrie, éducation, emploi, infrastructures critiques, etc.) sont ainsi repoussées au 2 décembre 2027, contre le 2 août 2026 initialement prévu. Cette date est quasi-certaine, mais reste soumise à l’adoption formelle par le Parlement européen et le Conseil de l’UE avant le 2 août 2026.
| Obligation | Date applicable | Statut après accord omnibus |
|---|---|---|
| Pratiques interdites (art. 5) par ex. : notation sociale, manipulation subliminale | 2 février 2025 | ✅ Déjà applicable |
| Modèles d’IA à usage général (GPAI) obligations des fournisseurs | 2 août 2025 | ✅ Déjà applicable |
| Transparence (art. 50) — information des personnes, marquage des contenus IA | 2 août 2026 | ✅ Maintenu (avec nuance sur le marquage numérique) |
| Marquage numérique des contenus générés par IA (watermarking) | 2 décembre 2026 | ⚠️ Décalé par l’accord omnibus (la date initiale était le 2 février 2027 dans la proposition CE) |
| SIA à haut risque : Annexe III (éducation, emploi, biométrie…) | 2 décembre 2027 | ⚠️ Reporté (la date initiale était le 2 août 2026) |
2. La logique de l’article 50 du RIA : risque limité et transparence maximal
Le règlement IA repose sur une graduation du régime juridique en fonction du niveau de risque présenté par le système d’IA pour la santé, la sécurité et les droits fondamentaux :
| Niveau de risque | Régime juridique | Exemples |
|---|---|---|
| Risque inacceptable | Pratiques interdites (art. 5) Déja applicable | Notation sociale généralisée, manipulation comportementale subliminale, reconnaissance faciale en temps réel dans les espaces publics à des fins répressives |
| Risque élevé | Obligations lourdes de conformité (art. 6 à 49) Application reportée | Gestion des risques, documentation technique, supervision humaine, enregistrement dans la base de données EU, déclaration de conformité CE |
| Risque limité ou faible |
Obligations de transparence (art. 50) Applicables dès le 2 août 2026 |
Chatbots, assistants vocaux, deepfakes, systèmes d’IA générative (texte, image, audio, vidéo) |
Les deepfakes, les chatbots, les assistants vocaux et plus généralement les systèmes d’IA générative sont classés parmi les IA à risque limité. Ce classement peut paraître surprenant au regard de leur capacité à influencer l’opinion ou à porter atteinte à la dignité des personnes. C’est précisément pourquoi l’article 50 leur impose des obligations de transparence spécifiques plutôt qu’un encadrement « haut risque ».
L’objectif est simple : rompre l’illusion d’authenticité. Le public doit savoir qu’il interagit avec une machine, ou que le contenu qu’il consulte a été généré ou manipulé par une IA.
3. Les 4 obligations de l’article 50 du RIA en détail
Information en cas d’interaction directe avec un humain (§ 1)
Les systèmes d’IA qui interagissent directement avec des personnes physiques (chatbots, agents conversationnels, assistants vocaux, etc.) doivent informer ces personnes qu’elles interagissent avec un système d’IA, sauf si cela ressort déjà de manière évidente des circonstances.
Cette information doit permettre à l’utilisateur d’adapter son comportement et d’exercer ses droits de manière éclairée.
Marquage lisible par machine des contenus générés (§ 2)
Les fournisseurs de systèmes d’IA générative (texte, image, audio, vidéo) doivent veiller à ce que les sorties de leur système soient marquées dans un format lisible par machine, permettant d’identifier le contenu comme ayant été généré ou manipulé par une IA.
Le code de bonnes pratiques européen précise les techniques recommandées :
Métadonnées sécurisées : intégrées au fichier, persistantes et résistantes aux modifications légères.
Filigrane numérique (watermark) sécurisé : signal imperceptible intégré dans le contenu lui-même, résistant aux compressions et recadrages.
Empreintes numériques (fingerprints) : permettant la détection et la vérification a posteriori du caractère artificiel du contenu.
Deux exceptions limitées à l’obligation de marquage sont prévues : lorsque le système remplit une simple fonction d’assistance à la mise en forme sans modifier substantiellement les données d’entrée, et lorsque l’utilisation est prévue par la loi pour les besoins d’enquêtes ou de poursuites pénales.
Rappel : selon l’accord omnibus du 7 mai 2026, l’obligation de marquage numérique proprement dit (watermarking) serait applicable à partir du 2 décembre 2026, et non du 2 août 2026.
Systèmes de catégorisation biométrique et de détection des émotions (§ 3)
Les personnes physiques exposées à un système d’IA utilisé pour la catégorisation biométrique (classification selon des caractéristiques biologiques) ou la détection d’émotions doivent en être informées de manière claire et reconnaissable, afin de respecter leurs droits fondamentaux (dignité, vie privée).
Deepfakes et hypertrucages (§ 4 et § 5)
Lorsqu’un système d’IA génère ou manipule des images, sons ou vidéos qui ressemblent à des personnes identifiables et peuvent être perçus à tort comme authentiques, les déployeurs doivent indiquer que le contenu a été généré ou manipulé artificiellement.
Conditions d’application pour les deepfakes :
→ de manière claire et reconnaissable, au plus tard au moment de la première interaction ou exposition ;
→ lors de tout partage ou republication ultérieur : la mention du caractère artificiel doit accompagner le contenu dans sa circulation ;
→ également pour les textes d’intérêt public susceptibles d’influencer le débat démocratique (discours politiques générés par IA, par exemple).
Le Digital Services Act (DSA) impose déjà aux très grandes plateformes un marquage visible des contenus qui ressemblent à des personnes et paraissent authentiques. L’article 50 du RIA vient harmoniser et étendre ces exigences à l’ensemble des opérateurs, indépendamment de leur taille.
4. Qui est concerné ? Fournisseurs et déployeurs
Le règlement distingue deux grandes catégories d’« opérateurs » dans la chaîne de valeur de l’IA, dont les obligations au titre de l’article 50 diffèrent.
Les fournisseurs
- Mettent sur le marché ou en service un SIA sous leur nom ou marque
- Marquer les sorties des SIA génératifs dans un format lisible par machine (§ 2)
- S’assurer que les solutions de marquage sont efficaces, interopérables, robustes et fiables
- Applicable en particulier aux fournisseurs d’IA à usage général (GPAI)
- Intègrent ou utilisent un SIA dans leur activité professionnelle
- Indiquer le caractère artificiel des deepfakes et textes d’intérêt public (§ 4)
- Informer le public lors de la diffusion de contenus IA (réseaux sociaux, plateformes)
- Assurer que la mention accompagne le contenu lors de tous les partages ultérieurs
La Commission européenne prépare un code de bonnes pratiques consacrant une section spécifique aux déployeurs pour préciser leurs obligations d’étiquetage, notamment pour les deepfakes et les publications portant sur des questions d’intérêt public.
5. Contrôles et sanctions
De multiples autorités de contrôle
Contrairement à ce que l’on pourrait croire, la mise en œuvre du RIA en France ne repose pas sur une autorité unique. Le 9 septembre 2025, le ministère de l’Économie a présenté un schéma de gouvernance (sous réserve d’adoption formelle par le Parlement) confiant la coordination stratégique à la DGE (Direction générale des entreprises) et la coordination opérationnelle à la DGCCRF, avec le soutien technique de l’ANSSI et du PEReN.
Pour l’article 50 du RIA spécifiquement, la répartition des compétences est, pour l’instant, la suivante :
| Obligation (art. 50) | Autorité(s) compétente(s) en France |
|---|---|
| § 1 — Interaction directe avec des personnes physiques (chatbots, assistants) | DGCCRF et Arcom |
| § 2 — Génération de contenus audio, image, vidéo, texte ; hypertrucages | DGCCRF et Arcom |
| § 3 — Reconnaissance des émotions ou catégorisation biométrique | CNIL |
| § 4 — Textes générés pour informer le public sur des questions d’intérêt public | Arcom (compétence propre) |
Ce schéma mobilise au total une quinzaine d’autorités pour l’ensemble du RIA. D’autres régulateurs interviennent sur des domaines connexes : l’ACPR pour les systèmes financiers, l’ANSM pour les dispositifs médicaux, les juridictions pour les systèmes d’IA dans l’administration de la justice. Ce modèle mise sur la spécialisation sectorielle, au prix d’une lisibilité réduite pour les opérateurs.
Sanctions
La CNIL, la DGCCRF et l’Arcom disposeront de pouvoirs de sanction renforcés dans leurs périmètres respectifs. Le régime de sanctions est harmonisé au niveau européen :
| Type de manquement | Plafond de l’amende |
|---|---|
| Pratiques d’IA interdites (art. 5) | 35 M€ ou 7 % du CA mondial annuel |
| Manquements aux obligations de transparence (art. 50) Défaut de marquage, absence d’étiquetage deepfakes, absence d’information biométrique |
15 M€ ou 3 % du CA mondial annuel |
| Transmission d’informations inexactes ou trompeuses aux autorités | 7,5 M€ ou 1 % du CA mondial annuel |
Les sanctions doivent être effectives, proportionnées et dissuasives, et tiennent compte de la gravité, de la durée du manquement, du caractère délibéré ou non, des mesures prises pour y remédier, et de la coopération avec les autorités.
Au-delà des sanctions administratives, le private enforcement reste possible : des actions en responsabilité civile peuvent être engagées en cas de dommage causé par une absence de transparence ou une non-conformité.
Enfin, les autorités de surveillance peuvent, en cas de non-conformité persistante, prendre des mesures provisoires : restriction ou interdiction de mise sur le marché, retrait, rappel, mesures notifiées à la Commission et aux autres États membres.
Si vous avez besoin de l’avis d’un avocat en droit de l’intelligence artificielle pour vous assistez dans votre conformité à la nouvelle réglementation de l’IA act ou pour clarifier son calendrier d’application pour votre société, vous pouvez réserver un entretien en cliquant ici.
L’auteur
Avocat au Barreau de Paris (8 ans d’expérience), Maître Julien Riant est expert en droit de la propriété intellectuelle et du numérique. Également chargé d’enseignement à l’université Paris-Cité, Versailles et de Nantes, il apporte une vision stratégique et rigoureuse aux procédures complexes, à Paris et partout en France, que ce soit au stade de la mise en demeure qu’en phase de litige.