Guide complet des obligations de marquage du contenu généré par intelligence artificielle (janvier 2026)
Introduction
Le premier draft du code des bonnes pratiques sur la transparence du contenu généré par intelligence artificielle a été publié le 17 décembre 2025. Ce document de 32 pages, élaboré par deux groupes de travail opérationnalise l'article 50 de l'AI Act européen et fixe les règles concrètes de marquage IA que devront respecter les entreprises à partir du 2 août 2026.
Si votre entreprise développe ou utilise des systèmes d'IA générative, ce code vous concerne directement. Il détaille comment marquer, détecter et étiqueter les contenus générés ou manipulés par IA, avec des obligations spécifiques selon votre rôle dans la chaîne de valeur. Dans cet article, je décrypte pour vous les mesures clés de cette première version, les obligations par type d'acteur, et les implications pratiques pour votre activité.
Qu'est-ce que la première version du code des bonnes pratiques sur la transparence du contenu IA ?
Contexte et valeur juridique
La première version du code des bonnes pratiques sur la transparence du contenu IA est un guide de conformité qui vise à aider les entreprises à démontrer leur respect des obligations prévues par l'article 50 de l'AI Act européen. Bien qu'elle ne constitue pas une preuve conclusive de conformité, elle représente un outil que les entreprises peuvent choisir de suivre pour structurer leur mise en conformité.
Ce code est le fruit d'un processus impliquant industrie, académie, société civile et États membres. La consultation publique reste ouverte jusqu'au 23 janvier 2026, et des versions successives viendront préciser et affiner les mesures proposées dans ce premier draft. La date butoir à retenir reste le 2 août 2026, date d'applicabilité complète de l'AI Act avec possibilité de sanctions en cas de non-conformité.
Objectifs du code
La première version du code poursuit deux objectifs principaux qui correspondent aux deux grandes catégories d'acteurs concernés. Pour les fournisseurs de systèmes d'IA générative, il s'agit d'assurer que les contenus générés sont marqués de manière machine-readable et détectable avec des solutions techniques effectives, fiables, robustes et interopérables. Pour les utilisateurs, l'objectif est de faciliter l'identification par les personnes physiques des deepfakes et textes générés ou manipulés publiés dans un but d'information du public.
Obligations des fournisseurs (Providers) de systèmes d'IA générative
Qui est concerné ?
Les providers sont les entreprises qui développent et mettent sur le marché des systèmes d'IA générative capables de créer du contenu synthétique, qu'il s'agisse de texte, d'image, de vidéo ou d'audio. On pense naturellement à des acteurs comme OpenAI, Anthropic, Midjourney ou Stability AI, mais la catégorie englobe tout développeur de système d'IA générative mis à disposition du public dans l'Union européenne.
L'approche multi-couches obligatoire
La première version du code impose une combinaison de techniques de marquage car, selon l'état de l'art actuel, aucune solution unique ne suffit à répondre aux quatre exigences légales que sont l'efficacité, la fiabilité, la robustesse et l'interopérabilité. Cette approche multi-couches se déploie sur trois niveaux complémentaires.
La première couche repose sur les métadonnées signées numériquement. Il s'agit d'intégrer dans les fichiers produits (images, vidéos, documents) des informations de provenance détaillant l'opération effectuée par le système d'IA, qu'il s'agisse de génération, d'édition ou de manipulation. Ces métadonnées sont accompagnées d'une signature numérique qui garantit leur authenticité et leur intégrité.
La deuxième couche consiste en des watermarks imperceptibles, c'est-à-dire des marquages intégrés directement dans le contenu lui-même. Ces marquages sont conçus pour être difficiles à séparer du contenu original et doivent résister aux transformations courantes comme la compression, le recadrage ou le changement de format. Les providers peuvent implémenter ces watermarks au niveau du modèle, de l'inférence ou de l'output selon leur architecture technique.
La troisième couche fait appel au fingerprinting ou au logging, techniques nécessaires pour pallier les déficiences des deux premières approches. Pour le texte, le logging direct peut être privilégié, tandis que pour le contenu visuel, le perceptual hashing offre une alternative pertinente. Pour l'audio, des techniques similaires exploitent les propriétés psychoacoustiques. Ces mécanismes permettent de vérifier a posteriori si un contenu a été généré par le système, même si les marquages actifs ont été altérés ou retirés.
Obligation de détection et d'accès
Au-delà du marquage, les providers doivent fournir gratuitement une interface, qu'il s'agisse d'une API ou d'une interface utilisateur, permettant aux utilisateurs et aux tiers de vérifier si un contenu a été généré par leur système. Cette vérification doit s'accompagner d'un score de confiance qui indique le niveau de certitude de la détection. Lorsque le contenu a été marqué par d'autres providers, l'interface doit également divulguer l'ensemble des informations de provenance disponibles.
Ces mécanismes de détection doivent être maintenus tout au long du cycle de vie du système. La première version du code prévoit même le cas où un provider cesserait son activité : dans ce scénario, les détecteurs doivent être transmis aux autorités de surveillance pour garantir que le contenu legacy reste détectable dans le temps. Cette exigence témoigne de la volonté d'assurer une traçabilité pérenne du contenu généré par IA.
Mesures spécifiques pour les modèles d'IA
Les providers de modèles d'IA, c'est-à-dire ceux qui développent des modèles pouvant être intégrés dans des systèmes downstream par d'autres acteurs, font face à des obligations particulières. Ils doivent implémenter des techniques de marquage avant la mise sur le marché du modèle, facilitant ainsi la conformité des providers de systèmes qui utiliseront ces modèles. Cette approche "en amont" vise à distribuer la charge de conformité sur l'ensemble de la chaîne de valeur.
Pour les providers qui publient des modèles open-weight, le code impose un marquage structurel encodé dans les poids pendant l'entraînement. Cette exigence reconnaît la spécificité des modèles dont les paramètres sont accessibles publiquement et pour lesquels des techniques de marquage post-hoc seraient inefficaces. Le structural marking permet aux utilisateurs downstream de ces modèles de bénéficier automatiquement d'un premier niveau de marquage.
Les providers de modèles doivent également proposer des mécanismes de détection forensique qui ne dépendent pas du marquage actif. Ces techniques, qui s'appuient sur l'identification de patterns caractéristiques du modèle dans le contenu généré, constituent une solution de backup lorsque les marquages actifs ont été retirés ou dégradés. La détection forensique représente une couche de sécurité supplémentaire dans l'écosystème de transparence.
Préservation de la chaîne de provenance
La première version du code impose aux providers d'enregistrer et de tracer toute la chaîne de provenance du contenu. Cette traçabilité doit couvrir le parcours complet, du contenu humain authentique au contenu assisté par IA jusqu'au contenu entièrement généré par IA. Chaque étape de transformation doit être documentée dans les métadonnées, avec une distinction claire entre les opérations effectuées par l'IA et les interventions humaines.
Cette obligation s'accompagne d'une interdiction de suppression des marquages existants. Les providers doivent mettre en place des mesures techniques pour préserver les marquages présents sur les contenus qu'ils utilisent comme inputs et doivent interdire contractuellement, notamment dans leurs conditions générales d'utilisation, le retrait ou l'altération des marquages par les deployers ou tout autre tiers. Lorsqu'un contenu marqué est réutilisé comme input pour générer un nouveau contenu, les marquages originaux doivent être préservés et complétés par les nouveaux marquages.
Facilitation du marquage pour les fournisseurs
Les fournisseurs qui proposent des systèmes avec interface utilisateur doivent intégrer une fonctionnalité permettant d'ajouter directement un marquage perceptible, sous forme d'icône ou de label, lors de la génération du contenu. Cette fonctionnalité doit être activée par défaut, ce qui signifie que l'utilisateur doit faire une démarche active pour la désactiver. Cette mesure vise à faciliter la conformité des deployers avec leurs propres obligations sous l'article 50(4) de l'AI Act en leur offrant un outil simple et immédiatement disponible.
Exigences qualitatives des solutions techniques
La première version du code détaille quatre exigences qualitatives que les solutions de marquage et détection doivent respecter. L'efficacité, première exigence, impose que les solutions soient adaptées au type de contenu traité, qu'elles puissent s'appliquer en temps réel sans dégrader significativement la qualité du contenu généré, et qu'elles soient computationnellement efficientes. Les providers doivent démontrer que leurs solutions n'entravent pas le fonctionnement normal de leurs systèmes.
La fiabilité, deuxième exigence, se mesure principalement à travers les taux de faux positifs et de faux négatifs des mécanismes de détection. Les providers doivent valider leurs solutions sur des contenus qui n'ont pas été vus pendant l'entraînement ou le développement des systèmes, garantissant ainsi que les performances annoncées ne résultent pas d'un sur-apprentissage. Cette validation doit s'appuyer sur des métriques établies et documentées de manière transparente.
La robustesse, troisième exigence, concerne la résistance des marquages aux altérations. D'une part, les marquages doivent survivre aux transformations courantes que subissent les contenus dans leur cycle de vie normal : compression, recadrage, paraphrase pour le texte, changement de résolution pour les images et vidéos, pitch shifting et time stretching pour l'audio. D'autre part, ils doivent résister aux attaques adversariales délibérées visant à retirer, copier, régénérer, modifier ou amortir les marquages. Les providers doivent également mettre en place des mesures de sécurité, comme des rate limits, pour protéger leurs détecteurs contre les tentatives de reverse engineering.
L'interopérabilité, quatrième exigence, impose que les solutions fonctionnent across plateformes et canaux de distribution. Les marquages ne doivent pas être liés à un écosystème propriétaire fermé mais doivent pouvoir être lus et vérifiés par différents acteurs de la chaîne de valeur. Le code encourage fortement l'utilisation de standards ouverts, avec des références explicites à des initiatives comme C2PA (Coalition for Content Provenance and Authenticity). Les providers sont également invités à contribuer à des verifiers agrégés partagés ou, à défaut, à encoder dans leurs marquages des informations permettant d'identifier les moyens de détection appropriés.
Obligations des utilisateurs (Deployers) d'IA générative
Qui est concerné ?
Les deployers sont les entreprises, organisations et professionnels qui utilisent des systèmes d'IA générative pour créer du contenu qu'ils publient ensuite. Cette catégorie englobe un spectre très large d'acteurs : agences de communication utilisant des outils de génération d'images pour leurs campagnes, médias produisant du contenu assisté par IA, services marketing générant des visuels ou des textes promotionnels, producteurs de contenu créatif intégrant des éléments synthétiques dans leurs œuvres. Contrairement aux providers qui développent les technologies, les deployers sont les utilisateurs finaux professionnels de ces technologies.
Périmètre : deepfakes et textes d'intérêt public
La première version du code définit les deepfakes de manière particulièrement large. Il s'agit de contenus audio, visuels ou vidéo qui ressemblent de manière significative à des personnes, objets, lieux, entités ou événements existants et qui peuvent faussement apparaître authentiques ou véridiques. Cette définition englobe évidemment les cas classiques de remplacement de visage ou de voix, mais elle s'étend bien au-delà.
Sont ainsi considérés comme deepfakes la suppression d'objets dans une image ou une vidéo lorsque cette suppression affecte le sens du contenu, l'ajout de texte généré par IA sur des images réelles, les formats audio hybrides combinant du deepfake et de l'audio authentique, ou encore les filtres beautés qui changent l'âge perçu ou le ton émotionnel d'une personne. La définition couvre également les modifications apparemment mineures mais qui changent le contexte du contenu, comme la suppression de bruit de fond qui ferait croire à un environnement différent, ou les ajustements de couleur qui changent la signification contextuelle, par exemple en modifiant le teint de peau d'une personne.
S'agissant des textes, les deployers doivent marquer les textes générés ou manipulés par IA qui sont publiés dans le but d'informer le public sur des questions d'intérêt public. Cette catégorie vise principalement le contenu journalistique, les analyses politiques, les communications institutionnelles ou tout autre texte destiné à former l'opinion publique sur des sujets d'intérêt général. Une exception importante existe toutefois : l'obligation de marquage ne s'applique pas si le texte a fait l'objet d'une revue humaine ou d'un contrôle éditorial et qu'une personne physique ou morale assume la responsabilité éditoriale de la publication. Cette exception reconnaît que la responsabilité humaine peut, dans certains cas, se substituer au marquage technique.
Taxonomie commune à deux niveaux
La première version du code impose l'utilisation d'une taxonomie standardisée pour classifier le contenu selon deux niveaux distincts. Le premier niveau correspond au contenu entièrement généré par IA, c'est-à-dire créé de manière autonome par l'IA sans base humaine authentique. On pense ici aux images générées par prompt, aux vidéos synthétiques produites de toutes pièces, ou aux articles entièrement rédigés par IA sans intervention humaine substantielle dans le processus de création.
Le second niveau couvre le contenu assisté par IA, qui représente un mélange d'éléments humains et IA. Ce qui caractérise ce niveau, c'est que l'intervention de l'IA affecte le sens, l'exactitude factuelle, le ton émotionnel ou d'autres éléments qui peuvent faussement apparaître authentiques. Les exemples incluent une photo réelle sur laquelle du texte généré par IA a été ajouté, un enregistrement audio dont la voix a été remplacée, un texte humain qui a été réécrit ou résumé par IA, ou encore des altérations visuelles qui changent le contexte ou la signification du contenu original.
Cette distinction taxonomique doit être visuellement reflétée dans l'icône de marquage, permettant au public de comprendre immédiatement le degré d'intervention de l'IA dans le contenu qu'il consulte. L'objectif est de fournir une information nuancée plutôt qu'un simple indicateur binaire "IA / non-IA".
Icône commune européenne obligatoire
En attendant la finalisation d'une icône standardisée au niveau européen, le code prévoit une solution intérimaire que les deployers peuvent utiliser immédiatement. Cette solution repose sur un acronyme à deux lettres référant à l'intelligence artificielle dans la langue du pays concerné. Ainsi, on utilisera "AI" dans les pays anglophones, "KI" en Allemagne ("Künstliche Intelligenz"), "IA" en France et dans les pays hispanophones et lusophones, etc.
Cette icône intérimaire doit être clairement visible dès la première exposition du public au contenu. Son positionnement doit être approprié au format de contenu et au contexte de diffusion, tout en veillant à ne pas interférer avec l'appréciation des œuvres artistiques lorsque le contenu s'inscrit dans ce cadre. L'icône doit également intégrer visuellement la distinction taxonomique entre contenu entièrement généré par IA et contenu assisté par IA, par exemple à travers l'utilisation de couleurs différentes ou de variations graphiques.
La future icône commune européenne, actuellement en développement, sera interactive. Elle permettra au public, par simple clic ou survol, d'accéder aux détails précis de ce qui a été généré ou manipulé par IA dans le contenu. Cette interactivité s'appuiera sur les informations machine-readable fournies par les providers conformément à l'article 50(2) de l'AI Act. L'icône EU intégrera également des disclaimers audio pour répondre aux exigences d'accessibilité et sera conforme au standard ETSI EN 301 549 qui fixe les exigences d'accessibilité pour les produits et services de technologie de l'information et de la communication.
Modalités de marquage par type de contenu
La première version du code détaille des règles spécifiques selon la modalité du contenu à marquer. Pour les vidéos en temps réel, l'icône doit être affichée en continu tout au long de l'exposition, accompagnée d'un disclaimer au début qui explique la présence de deepfake dans le contenu. Cette double mesure vise à garantir que le public soit informé dès le premier contact avec le contenu et que cette information reste présente pendant toute la durée de visionnage.
Pour les vidéos non temps réel, les deployers disposent d'une certaine flexibilité et peuvent choisir parmi plusieurs options, utilisées individuellement ou en combinaison. Ils peuvent insérer un disclaimer au début de la vidéo, étant entendu que si ce disclaimer est oral, l'icône doit apparaître simultanément à l'écran. Ils peuvent également placer l'icône de manière fixe tout au long de l'exposition, dans une position cohérente et clairement visible. Une troisième option consiste à inclure un disclaimer dans les crédits de fin, mais cette option doit toujours être accompagnée d'au moins une des deux mesures précédentes pour garantir que l'information est disponible dès la première exposition.
S'agissant de l'audio seul, le code distingue les formats courts et les formats longs. Pour les contenus de moins de trente secondes, comme les publicités ou les jingles, un disclaimer audible bref en langage naturel doit être inséré au début. Pour les formats longs comme les podcasts, des disclaimers audibles doivent être répétés au début, lors de phases intermédiaires, et à la fin du contenu. Cette répétition vise à informer les auditeurs qui rejoindraient l'écoute en cours de route. Lorsqu'un écran est disponible pendant l'écoute, par exemple sur un smartphone ou dans une voiture connectée, l'icône doit également être affichée visuellement.
Pour les images, l'icône doit être placée en position fixe, de manière clairement visible et distincte de l'image elle-même. Le code précise que l'icône ne doit pas être cachée, par exemple dans des calques ou arrière-plans multiples qui nécessiteraient une action spécifique de l'utilisateur pour être révélés. L'objectif est que l'information soit immédiatement perceptible sans aucune interaction supplémentaire.
Pour les textes relevant de l'obligation de marquage, l'icône doit être placée en position fixe. Le code suggère plusieurs emplacements possibles sans les imposer de manière rigide : en haut du texte, à côté du texte, dans le colophon, ou après la phrase finale. Le choix de l'emplacement peut dépendre du format de publication et des contraintes techniques de la plateforme de diffusion.
Enfin, pour le contenu multimodal combinant plusieurs modalités, l'icône doit être clairement visible sans qu'aucune interaction supplémentaire ne soit nécessaire de la part du public. Cette catégorie englobe les combinaisons image-texte-son, texte-son, image-son, ou image-texte, à l'exclusion des contenus vidéo qui sont traités par les règles spécifiques mentionnées précédemment.
Règles spécifiques pour les œuvres créatives
Lorsque les deepfakes s'inscrivent dans le cadre d'œuvres artistiques, créatives, satiriques, fictionnelles ou analogues, les obligations de disclosure s'appliquent de manière proportionnée et non-intrusive. Le principe directeur est de ne pas entraver la diffusion, l'appréciation, l'exploitation normale ou la qualité créative de l'œuvre tout en maintenant une information suffisante du public.
Pour les vidéos en temps réel ou quasi-temps réel relevant de la création artistique, l'icône peut être affichée dans un coin de l'écran pendant cinq secondes au début de l'exposition, sans nécessité de maintien continu qui pourrait distraire le spectateur. Pour les images artistiques, l'icône peut être intégrée dans l'image elle-même ou dans son arrière-plan, à condition que cette intégration préserve la capacité du public à discerner l'icône. Pour l'audio, un disclaimer audio non-intrusif peut être utilisé, ou le futur disclaimer EU standardisé une fois qu'il sera disponible.
Cette proportionnalité ne dispense toutefois pas les deployers de mettre en place des sauvegardes appropriées pour les droits et libertés des tiers. Ces tiers incluent les personnes représentées ou simulées dans les deepfakes, dont la vie privée, la dignité et les autres droits fondamentaux doivent être protégés. Les sauvegardes concernent également l'audience plus large lorsque le deepfake aborde des sujets politiques ou sociétaux sensibles qui pourraient induire le public en erreur sur des questions d'intérêt général.
Exception pour les textes avec responsabilité éditoriale
Les deployers peuvent éviter l'obligation de disclosure pour les textes générés ou manipulés par IA s'ils sont en mesure de démontrer deux conditions cumulatives. Premièrement, le texte doit avoir fait l'objet d'une revue humaine ou d'un contrôle éditorial. Deuxièmement, une personne physique ou morale doit assumer la responsabilité éditoriale de la publication.
Cette exception reconnaît que dans certains contextes, notamment journalistiques ou éditoriaux, la responsabilité humaine assumée publiquement peut constituer une garantie de qualité suffisante. Elle évite ainsi d'imposer un marquage systématique qui pourrait stigmatiser l'utilisation d'outils d'assistance à l'écriture dans des processus éditoriaux traditionnels où la responsabilité finale reste clairement humaine.
Pour invoquer cette exception, les deployers doivent maintenir une documentation minimale comprenant l'identification de la personne avec responsabilité éditoriale, incluant son nom, son rôle et ses coordonnées. La documentation doit également présenter un aperçu des mesures organisationnelles et techniques mises en place ainsi que les ressources humaines allouées pour assurer une revue appropriée avant publication. Elle doit mentionner la date de revue et d'approbation, et contenir une référence à la version finale approuvée du contenu, par exemple sous forme de nom de fichier, d'URL, ou de tout autre identifiant interne.
Le code précise que cette documentation doit être proportionnée à la taille du deployer, évitant ainsi d'imposer une charge administrative excessive aux petites structures. L'essentiel est de pouvoir démontrer aux autorités, si nécessaire, qu'une véritable revue humaine a eu lieu et qu'une responsabilité claire a été assumée.
Obligations communes : compliance, formation
Plan de conformité
Qu'ils soient providers ou deployers, les acteurs relevant du code doivent établir et maintenir un framework de conformité documentant leurs processus. Pour les providers, cette documentation détaille les processus de marquage et de détection mis en œuvre. Pour les deployers, elle décrit les pratiques de labelling appliquées avec des exemples concrets d'utilisation de l'icône dans différents contextes.
Ce framework doit inclure des procédures internes garantissant une classification cohérente du contenu. La première version du code insiste particulièrement sur le fait que les processus de classification et de labelling ne doivent pas reposer uniquement sur l'automation mais doivent être soutenus par un human oversight approprié. Cette exigence vise à éviter les erreurs systématiques que pourraient générer des systèmes entièrement automatisés et à garantir une application nuancée des règles dans les cas limites.
Formation du personnel
Les providers et deployers doivent assurer une formation appropriée du personnel impliqué dans leurs activités relevant du code. Pour les providers, cela concerne principalement les équipes de conception et développement des systèmes IA. Pour les deployers, la formation doit toucher toutes les personnes intervenant dans la création, la modification ou la distribution de contenu.
Le contenu minimal de cette formation doit couvrir plusieurs aspects. Le personnel doit comprendre quand les disclosures sont légalement requises, comment appliquer la taxonomie et l'icône dans les différents contextes, quelles sont les règles spécifiques pour les œuvres créatives, comment s'applique l'exception de responsabilité éditoriale pour les textes, quelles sont les exigences d'accessibilité à respecter, et quelles procédures suivre pour corriger les erreurs de marquage ou labelling identifiées.
Le code précise que cette formation doit être proportionnée à la taille du provider ou deployer, aux ressources disponibles, et aux risques associés au contenu généré ou manipulé par les systèmes IA utilisés. Il s'agit de prendre en compte le contexte d'utilisation, l'étendue de la dissémination du contenu, et son impact potentiel sur le public.
Système de flagging et monitoring
Les deployers doivent mettre en place un canal confidentiel et sécurisé permettant aux personnes physiques de signaler les contenus mal étiquetés ou non étiquetés. Ce système de flagging doit également être accessible aux tiers pertinents, notamment les autorités de surveillance du marché, les régulateurs médias, les providers de services intermédiaires incluant les très grandes plateformes en ligne et moteurs de recherche définis par le Digital Services Act, ainsi que les organisations de fact-checking certifiées et indépendantes.
L'objectif de ce système est double. D'une part, il permet aux deployers de recevoir des retours sur la qualité de leur labelling et d'identifier rapidement les erreurs. D'autre part, il offre aux autorités et autres parties prenantes un moyen de vérifier la conformité et de documenter les manquements éventuels. La solution technique doit permettre aux deployers de démontrer qu'ils ont procédé à un étiquetage cohérent et en temps opportun, et doit faciliter le signalement des contenus problématiques across États membres.
Lorsqu'un contenu est signalé et qu'après examen, il s'avère effectivement mal étiqueté ou incorrectement non-étiqueté, le deployer doit corriger l'erreur sans délai injustifié. Cette obligation de correction rapide vise à limiter la propagation de contenu trompeur et à restaurer rapidement la transparence attendue.
Coopération avec autorités
Providers et deployers doivent coopérer pleinement avec les autorités compétentes de surveillance du marché pour démontrer leur conformité. Cette coopération implique de fournir toutes les informations pertinentes et de donner accès aux systèmes lorsque nécessaire. Les autorités peuvent notamment demander à consulter la documentation de conformité, à examiner les mécanismes techniques de marquage ou détection, à vérifier les registres de formation du personnel, ou à analyser les rapports de monitoring et les réponses aux signalements.
Accessibilité : exigence transversale
La première version du code impose la conformité aux exigences d'accessibilité de l'Union européenne pour garantir que les icônes, et labels soient accessibles aux personnes en situation de handicap. Cette exigence transversale s'applique tant aux providers dans la conception de leurs fonctionnalités de labelling qu'aux deployers dans l'implémentation concrète des marquages.
Pour les personnes déficientes visuelles, les mesures d'accessibilité incluent la fourniture de descriptions audio pour les indicateurs visuels, l'intégration d'alt-text permettant aux lecteurs d'écran de vocaliser la présence et la signification des icônes, et l'utilisation de haut contraste ainsi que la compatibilité avec les technologies d'assistance. Pour les personnes déficientes auditives, il s'agit de fournir des signaux visuels ou tactiles pour le contenu audio seul, et d'accompagner les disclaimers audio de captions synchronisées.
Le standard recommandé par le code est l'ETSI EN 301 549 intitulé "Accessibility requirements for ICT products and services", qui constitue la norme harmonisée européenne en matière d'accessibilité numérique. Les fournisseurs sont encouragés à s'appuyer sur cette norme ou sur d'autres standards reconnus pour s'assurer que leurs implémentations répondent effectivement aux besoins des utilisateurs en situation de handicap.
Cette attention à l'accessibilité ne relève pas seulement d'une obligation de non-discrimination, elle garantit également que l'objectif même de transparence visé par le code soit atteint pour l'ensemble de la population, sans exclusion liée au handicap.
Questions Fréquentes
La première version du code des bonnes pratiques est-elle obligatoire ?
La première version du code des bonnes pratiques n'est pas juridiquement contraignante en elle-même. Il s'agit d'un instrument volontaire que les entreprises peuvent choisir de suivre pour structurer leur mise en conformité. En revanche, l'article 50 de l'AI Act, lui, est bel et bien obligatoire et impose des obligations claires aux providers et deployers de systèmes d'IA générative. Le code constitue un guide détaillé pour démontrer la conformité avec cet article, mais les entreprises peuvent théoriquement choisir d'autres moyens pour atteindre le même objectif. Dans les faits, le code étant élaboré en collaboration avec la Commission européenne et représentant un consensus, il est fort probable que les autorités de surveillance s'y réfèrent comme benchmark lors de leurs contrôles.
Que se passe-t-il si je ne suis pas le code ?
À partir du 2 août 2026, les autorités nationales de surveillance du marché disposeront du pouvoir d'imposer des sanctions en cas de non-respect de l'article 50 de l'AI Act. Ces sanctions peuvent être graduées en fonction de la gravité du manquement, du caractère intentionnel ou négligent de la violation, et de la taille de l'entreprise concernée. Le fait de ne pas suivre le code en soi n'est pas sanctionnable, mais si une entreprise ne suit pas le code et ne peut pas démontrer par d'autres moyens qu'elle respecte l'article 50, elle s'expose à des sanctions. Inversement, une entreprise qui suit le code mais dont l'implémentation concrète s'avère défaillante pourrait également être sanctionnée si cette défaillance constitue un manquement aux obligations légales.
L'icône EU sera-t-elle obligatoire dès août 2026 ?
Le code prévoit explicitement une solution intérimaire pour la période précédant la finalisation de l'icône commune européenne. Les fournisseurs peuvent utiliser l'acronyme à deux lettres dans la langue appropriée dès maintenant et pendant la phase de transition. Une fois l'icône EU commune finalisée et officiellement publiée, les fournisseurs devront progressivement basculer vers cette nouvelle icône. Le code ne précise pas encore le délai qui sera accordé pour cette transition, mais il est raisonnable d'anticiper une période de grâce permettant aux utilisateurs d'adapter leurs processus et templates. La date exacte de disponibilité de l'icône EU finale n'est pas encore connue, mais les développements en cours devraient aboutir dans les mois suivant la publication de ce premier draft.
Comment prouver qu'un contenu a fait l'objet d'une revue éditoriale ?
Le code définit un niveau de documentation minimal qui, bien que simple, doit être systématiquement maintenu. Cette documentation doit identifier nommément la personne physique ou morale qui assume la responsabilité éditoriale, avec ses coordonnées complètes et sa fonction au sein de l'organisation. Elle doit décrire les mesures organisationnelles concrètes mises en place pour assurer la revue : qui effectue la revue, selon quel processus, avec quels critères, dans quels délais. Les ressources humaines allouées doivent être mentionnées, qu'il s'agisse d'éditeurs dédiés, de relecteurs, ou de responsables de validation. La documentation doit comporter la date à laquelle la revue a été effectuée et la date d'approbation pour publication. Enfin, elle doit contenir une référence précise à la version finale approuvée, permettant de retrouver le contenu exact qui a été validé. Cette référence peut prendre la forme d'un nom de fichier avec version, d'une URL, d'un hash cryptographique du contenu, ou de tout autre identifiant interne non ambigu. Cette documentation doit être conservée pendant une durée raisonnable et doit pouvoir être produite rapidement en cas de demande des autorités.
Les PME ont-elles des obligations allégées ?
Le code reconnaît explicitement que les obligations doivent être appliquées de manière proportionnée en tenant compte de la taille et des ressources des entreprises. Cette proportionnalité se manifeste principalement dans trois domaines. Premièrement, la complexité du framework de conformité peut être adaptée : une PME n'est pas tenue de produire une documentation aussi élaborée qu'une multinationale, tant que les éléments essentiels sont présents et que les processus sont effectivement suivis. Deuxièmement, l'étendue de la formation du personnel peut être calibrée aux besoins réels : une startup avec une équipe réduite peut organiser des formations plus légères qu'un grand groupe avec des centaines d'employés impliqués dans la production de contenu. Troisièmement, le niveau de documentation requis peut être simplifié pour les structures plus petites, à condition de ne pas compromettre la traçabilité et la capacité à démontrer la conformité. En revanche, les obligations fondamentales de marquage et de labelling restent identiques quelle que soit la taille de l'entreprise. Une PME qui génère des deepfakes ou publie des textes d'intérêt public doit les marquer avec la même rigueur qu'un grand groupe. La proportionnalité porte sur les moyens et les processus, non sur les résultats attendus en termes de transparence pour le public.
Puis-je retirer les watermarks d'un contenu IA que j'ai généré ?
Non, le code interdit explicitement le retrait ou l'altération des marquages présents sur du contenu généré par IA. Cette interdiction vise à préserver la chaîne de provenance et à garantir que le contenu reste détectable tout au long de son cycle de vie, indépendamment des transformations qu'il peut subir. Les providers sont tenus d'inclure cette interdiction dans leurs conditions générales d'utilisation, rendant contractuellement illicite toute tentative de suppression des marquages par les deployers. Au-delà de la dimension contractuelle, le retrait délibéré de marquages par un deployer pourrait être considéré comme une tentative de contournement des obligations de l'article 50 de l'AI Act, avec les conséquences juridiques qui en découlent. Les providers doivent également mettre en place des mesures techniques visant à rendre difficile le retrait des marquages, notamment en utilisant des watermarks robustes qui résistent aux altérations courantes et en combinant plusieurs couches de marquage dont le retrait simultané nécessiterait des efforts significatifs.
Conclusion : anticiper dès maintenant
La première version du code des bonnes pratiques sur la transparence du contenu IA marque une étape décisive dans la régulation de l'intelligence artificielle générative en Europe. Avec une date d'applicabilité au 2 août 2026, les entreprises disposent de moins de huit mois pour se préparer. Ce délai peut sembler confortable au premier abord, mais la complexité technique et organisationnelle des mesures à mettre en œuvre impose une anticipation immédiate.
Pour les fournisseurs de systèmes d'IA générative, les défis sont avant tout techniques. L'implémentation d'une approche multi-couches de marquage, le développement d'interfaces de détection robustes et gratuites, et la garantie de l'interopérabilité avec les standards émergents représentent des chantiers de développement considérables. Ces chantiers nécessitent non seulement des ressources d'ingénierie mais aussi une veille technologique constante et une participation active aux travaux de standardisation. Les fournisseurs qui se lanceraient dans ces développements quelques semaines avant l'échéance prendraient des risques majeurs tant en termes de conformité que de qualité technique.
Pour les fournisseurs, les enjeux sont davantage organisationnels mais non moins importants. L'identification exhaustive des use cases concernés, la mise en place de processus de classification fiables, la formation des équipes créatives et éditoriales, et l'implémentation de systèmes de flagging et de monitoring représentent une transformation profonde des pratiques de production de contenu. Cette transformation doit s'opérer sans compromettre la qualité créative ni l'efficacité opérationnelle, ce qui impose une approche progressive et méthodique.
Pour toutes les entreprises concernées, qu'elles soient fournisseurs ou utilisateurs, la dimension juridique ne doit pas être négligée. La documentation de conformité, les procédures internes, les contrats avec les partenaires et prestataires, et la préparation aux éventuels contrôles des autorités nécessitent un accompagnement juridique spécialisé. Le droit de l'IA est un domaine émergent où les compétences croisées entre droit de la propriété intellectuelle, droit des technologies, et compréhension technique de l'IA sont indispensables.
Mon conseil aux entreprises est de structurer leur préparation en trois phases. La phase d'urgence, qui devrait s'étendre de janvier à mars 2026, doit se concentrer sur l'audit de conformité, l'identification précise des gaps, la participation à la consultation publique pour les parties prenantes concernées, et la budgétisation des investissements nécessaires. La phase de préparation, d'avril à juin 2026, doit voir l'implémentation effective des solutions techniques pour les fournisseurs, la rédaction des procédures internes et la formation des équipes pour les utilisateurs, ainsi que des phases de test et d'ajustement pour tous. La phase de finalisation en juillet 2026 permet la validation finale, la complétion de la documentation, la communication vers les clients et utilisateurs, et la mise en place du monitoring continu qui devra perdurer au-delà de l'échéance d'août.
Il serait tentant pour certaines entreprises, en particulier les plus petites structures, de considérer que les obligations du code ne les concernent pas réellement ou que leur application pourra être différée. Ce serait une erreur stratégique majeure. Les autorités de surveillance disposeront de pouvoirs d'investigation et de sanction significatifs, et il est probable qu'elles choisiront de mener rapidement des contrôles exemplaires pour établir la crédibilité du cadre réglementaire. De plus, la pression concurrentielle jouera rapidement : les entreprises qui se mettront en conformité de manière proactive pourront en faire un argument de différenciation et de confiance auprès de leurs clients, tandis que celles qui tarderont risquent de se trouver en position défensive.
Au-delà de la conformité réglementaire stricto sensu, la première version du code ouvre également des opportunités. Pour les fournisseurs, le développement de solutions de marquage et détection robustes peut devenir un avantage compétitif, en particulier si ces solutions deviennent des références adoptées largement dans l'industrie. Pour les utilisateurs, l'adoption précoce de pratiques transparentes peut renforcer la confiance de leur audience et les positionner comme des acteurs responsables dans un écosystème médiatique souvent critiqué pour sa contribution à la désinformation. Les plateformes qui investiront dans des outils facilitant la conformité de leurs utilisateurs peuvent également se différencier et attirer les créateurs de contenu professionnels soucieux de respecter leurs obligations.
Le code n'est pas un texte figé. Les versions futures viendront préciser de nombreux points qui restent ouverts dans ce premier draft, et l'évolution technologique continuera d'influencer les meilleures pratiques au-delà de 2026. Les entreprises qui se préparent dès maintenant doivent donc non seulement viser la conformité à court terme mais aussi développer une capacité d'adaptation continue. Cela passe par la veille réglementaire, la participation aux communautés professionnelles et académiques travaillant sur ces sujets, et le maintien d'une flexibilité dans les architectures techniques et organisationnelles pour pouvoir intégrer rapidement les évolutions futures.