AI Act : l’Europe reporte les règles à haut risque mais durcit la lutte contre les deepfakes intimes

AI Act : l’Europe reporte les règles à haut risque mais durcit la lutte contre les deepfakes intimes

L’Union européenne vient de modifier le calendrier de son règlement sur l’intelligence artificielle à quelques semaines d’une échéance majeure. Le 29 juin 2026, le Conseil de l’UE a définitivement adopté l’« Omnibus IA », un texte qui reporte l’application de plusieurs obligations visant les systèmes à haut risque. En parallèle, il ajoute une interdiction explicite des outils capables de créer des contenus sexuels ou intimes non consentis.

Ce compromis raconte assez bien la nouvelle phase de la régulation européenne. Bruxelles ne renonce ni à l’approche par les risques ni aux exigences de sécurité prévues par l’AI Act. Mais l’Union reconnaît que les normes techniques et les outils d’accompagnement ne sont pas suffisamment mûrs pour appliquer tout le dispositif selon le calendrier initial. Elle accorde donc davantage de temps aux entreprises, tout en accélérant sur un abus devenu concret : les applications de « déshabillage » numérique.

Le changement mérite d’être compris avec précision. Il ne s’agit ni d’une suspension générale de l’AI Act, ni d’un recul uniforme de la protection. La plupart des dispositions du règlement continuent de suivre leur trajectoire. Ce sont surtout les règles les plus lourdes applicables aux systèmes à haut risque qui changent de date.

Deux nouvelles échéances pour l’IA à haut risque

Les obligations concernant les systèmes à haut risque autonomes s’appliqueront désormais à partir du 2 décembre 2027. Cette catégorie couvre notamment certains usages de l’IA dans la biométrie, les infrastructures critiques, l’éducation, l’emploi, l’accès à des services essentiels, la migration ou la justice.

Pour les systèmes d’IA intégrés à des produits déjà encadrés par une législation européenne de sécurité, la nouvelle date est fixée au 2 août 2028. Sont concernés, par exemple, des dispositifs médicaux, des machines, des jouets ou des ascenseurs lorsque l’IA constitue un composant de sécurité.

La distinction est importante. Un logiciel autonome qui classe des candidatures n’est pas contrôlé de la même manière qu’un module d’IA incorporé dans une machine industrielle ou un dispositif médical. Dans le second cas, l’évaluation doit s’articuler avec un cadre sectoriel qui impose déjà des essais, une documentation technique et une surveillance du produit.

Ce que signifie réellement « haut risque »

Dans l’AI Act, le niveau de risque ne dépend pas simplement de la puissance du modèle. Un système peut utiliser une technologie relativement banale et être classé à haut risque parce qu’il intervient dans une décision susceptible d’affecter les droits, la sécurité ou les perspectives d’une personne.

Les fournisseurs concernés doivent notamment organiser la gestion des risques, maîtriser la qualité des données, conserver des journaux, rédiger une documentation technique, prévoir une supervision humaine et démontrer un niveau approprié de robustesse et de cybersécurité. Ce sont des obligations de cycle de vie : elles ne se limitent pas à tester un modèle juste avant sa commercialisation.

Le report donne donc du temps à toute une chaîne d’acteurs. Les développeurs doivent adapter leurs processus ; les organismes d’évaluation doivent préparer leurs méthodes ; les autorités nationales doivent coordonner leurs contrôles ; les acheteurs doivent comprendre quelles preuves exiger de leurs fournisseurs.

Pourquoi l’Europe a repoussé le calendrier

Le motif officiel est la disponibilité insuffisante des standards et des outils de soutien nécessaires à une application harmonisée. Un règlement peut énoncer un objectif de robustesse ou de gestion des risques, mais les entreprises ont aussi besoin de référentiels concrets pour savoir comment le démontrer.

Les normes harmonisées jouent ici un rôle central. Elles traduisent les exigences juridiques en méthodes techniques : processus de gestion de la qualité, critères de documentation, essais de robustesse ou mécanismes de surveillance. Lorsqu’une entreprise respecte une norme reconnue, elle peut plus facilement établir une présomption de conformité.

Or ce chantier est complexe. L’IA évolue rapidement, les secteurs concernés sont très différents et plusieurs textes européens peuvent s’appliquer au même produit. Imposer les obligations avant que les méthodes de preuve soient stabilisées aurait créé une situation paradoxale : les entreprises auraient été juridiquement responsables sans disposer d’un chemin de conformité suffisamment prévisible.

Un délai qui ne doit pas devenir une pause

Pour les organisations, le report ne justifie pas d’arrêter les travaux. Construire un inventaire des systèmes, qualifier les usages, documenter les données et attribuer les responsabilités demande souvent plus d’un an. Attendre la veille de décembre 2027 reviendrait à transformer le délai supplémentaire en nouvelle urgence.

Les entreprises qui déploient déjà des outils dans le recrutement, l’éducation, le crédit ou les infrastructures critiques ont intérêt à poursuivre leurs analyses d’impact. La classification peut aussi évoluer lorsqu’un logiciel change de fonction, de public ou de contexte. Un assistant interne sans effet décisionnel direct ne présente pas les mêmes enjeux s’il devient ensuite un filtre automatique pour des candidatures.

Le texte vise également à éviter les doublons avec la législation sectorielle. Lorsque des règles de sécurité propres aux dispositifs médicaux, aux jouets, aux machines, aux ascenseurs ou à d’autres produits couvrent déjà des exigences liées à l’IA, la Commission pourra limiter certaines obligations redondantes par des actes d’exécution. L’objectif est de conserver le niveau de protection sans demander deux fois la même démonstration sous des formes différentes.

Les « nudifiers » passent du débat à l’interdiction

Le volet le plus ferme de l’Omnibus concerne les systèmes qui génèrent du matériel pédocriminel ou des contenus intimes et sexuels non consentis. Le texte interdit les outils qui fabriquent des représentations réalistes des parties intimes d’une personne identifiable, qui la montrent dans une activité sexuelle sans son consentement ou qui retirent artificiellement ses vêtements sur une image.

Cette précision répond à la diffusion d’applications parfois présentées comme de simples services de retouche. Leur fonctionnement repose souvent sur un modèle génératif qui invente une apparence intime à partir d’une photographie ordinaire. Le résultat est synthétique, mais le préjudice est réel : atteinte à la vie privée, harcèlement, humiliation, chantage ou diffusion incontrôlée.

Le règlement vise à la fois la mise sur le marché de ces systèmes et leur utilisation à cette fin. Il prévoit toutefois la possibilité de garde-fous techniques adéquats pour les systèmes généralistes, afin qu’un outil de génération d’images légitime ne soit pas automatiquement assimilé à une application conçue pour produire des abus.

Les acteurs auront jusqu’au 2 décembre 2026 pour se mettre en conformité avec ces nouvelles interdictions. Cette date plus proche montre la logique politique du compromis : l’Union accepte de ralentir quand l’écosystème technique manque de standards, mais ne veut pas accorder le même répit à des usages dont la finalité dommageable est déjà clairement identifiée.

La transparence des contenus générés reste au calendrier

L’Omnibus ajuste aussi les règles de transparence concernant les contenus artificiels. Pour les systèmes mis sur le marché avant le 2 août 2026, les fournisseurs devront mettre en place les solutions de marquage requises au plus tard le 2 décembre 2026. Le délai de grâce envisagé a été ramené de six à trois mois.

L’enjeu ne consiste pas seulement à afficher une étiquette visible. L’AI Act prévoit un marquage dans un format lisible par machine, afin que les plateformes et les outils de vérification puissent détecter l’origine synthétique d’un contenu. Ce type de signal peut prendre la forme de métadonnées ou de techniques de provenance, à condition de rester interopérable et suffisamment robuste.

Le marquage n’est pas une solution absolue. Des métadonnées peuvent être supprimées lors d’une capture d’écran ou d’une recompression. Un système ouvert peut être modifié et les acteurs malveillants chercheront à contourner le dispositif. Mais une obligation commune crée au moins une infrastructure de responsabilité : les fournisseurs sérieux doivent intégrer la traçabilité dès la conception, et les plateformes disposent d’un signal standardisé à exploiter.

Ce qui change pour les entreprises dès maintenant

Le premier travail consiste à ne pas confondre les calendriers. Une organisation doit identifier si elle fournit un modèle d’IA à usage général, commercialise un système à haut risque, intègre l’IA dans un produit réglementé ou utilise simplement un service développé par un tiers. Les obligations et les dates ne sont pas les mêmes.

Trois chantiers restent prioritaires :

  1. Cartographier les usages réels. Un registre doit décrire la fonction du système, les données utilisées, les personnes affectées et la place de l’humain dans la décision.
  2. Conserver les preuves. Tests, incidents, limites connues, versions de modèles et décisions de déploiement doivent être documentés avant que les équipes ne changent ou que les fournisseurs ne mettent à jour leurs services.
  3. Vérifier les contrats. Les responsabilités relatives aux données, aux journaux, aux mises à jour et aux audits doivent être réparties clairement entre fournisseur, intégrateur et organisation utilisatrice.

Pour les services génératifs, il faut en outre examiner les mécanismes empêchant la création de contenus intimes non consentis et préparer les solutions de marquage. Le report des règles à haut risque ne décale pas ces obligations au même horizon.

Un test de crédibilité pour la régulation européenne

L’Omnibus IA sera présenté par certains comme un assouplissement pragmatique et par d’autres comme un recul sous la pression industrielle. Les deux lectures captent une partie du problème. Réglementer sans normes applicables produit de l’incertitude ; repousser sans exiger de préparation affaiblit la protection.

La crédibilité de l’Europe dépendra donc moins des nouvelles dates que de l’usage fait du délai. D’ici à 2027 et 2028, les standards doivent devenir exploitables, les autorités doivent être prêtes et les entreprises doivent construire des dossiers de conformité vérifiables. Sinon, le même débat réapparaîtra à la prochaine échéance.

Le texte doit encore être signé par le Parlement européen et le Conseil, puis publié au Journal officiel de l’Union européenne. Il entrera en vigueur vingt jours après cette publication. Son message est néanmoins déjà clair : le calendrier de l’AI Act devient plus réaliste pour les systèmes complexes, tandis que les abus génératifs les plus manifestes rencontrent une limite plus nette.

Références

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.