Le 10 juin 2026, la Commission européenne a publié la version finale de son code de bonne conduite sur le marquage et l'étiquetage des contenus générés par IA. Derrière cet instrument technique se cache une échéance que beaucoup de DPO sous-estiment : le 2 août 2026, les obligations de transparence de l'article 50 de l'AI Act deviennent applicables. Concrètement, dès qu'une organisation produit ou diffuse du contenu généré par une IA générative (texte, image, audio, vidéo), elle entre dans le champ de ces règles. Ce guide explique ce que le code change, qui est concerné, et ce que le DPO d'une ETI doit préparer avant l'été.
De quoi parle le code de bonne conduite sur les contenus générés par IA ?
Le code de bonne conduite est l'outil opérationnel que la Commission propose pour appliquer concrètement l'article 50 de l'AI Act. Là aussi, attention au vocabulaire : le code lui-même est volontaire, mais les obligations qu'il sert à mettre en oeuvre, elles, ne le sont pas.
Une déclinaison concrète de l'article 50 de l'AI Act
L'article 50 fixe les obligations de transparence pour les systèmes d'IA qui interagissent avec des personnes ou produisent du contenu. Le texte est général : il impose de marquer et d'étiqueter, sans dire avec quelle technologie ni dans quel format précis. Le code de bonne conduite vient combler ce vide en proposant des standards techniques communs (filigranes, métadonnées, outils de provenance) et une taxonomie partagée, par exemple pour distinguer un contenu entièrement généré par IA d'un contenu simplement assisté par IA. Pour aller plus loin sur le cadre général, notre guide sur la conformité à l'AI Act détaille l'ensemble des obligations par niveau de risque.
Un code volontaire, des obligations qui ne le sont pas
Adhérer au code n'est pas obligatoire. Mais les exigences de transparence de l'article 50 sont, elles, des obligations légales pleines et entières. L'intérêt du code est pratique : une organisation signataire, une fois le code positivement évalué par la Commission et le Comité IA, peut démontrer plus facilement sa conformité et réduire sa charge administrative. En clair, le code n'ajoute pas d'obligation nouvelle, il offre un chemin balisé pour respecter celles qui existent déjà. Pour le détail des lignes directrices qui accompagnent l'article 50, voir notre actualité dédiée aux lignes directrices de l'article 50.
Les deux régimes : fournisseurs et déployeurs
Le code distingue deux populations aux obligations différentes. Un DPO doit savoir dans laquelle son organisation se situe, sachant qu'une même entreprise peut être les deux à la fois.
Côté fournisseurs : le marquage lisible par machine
Les fournisseurs de systèmes d'IA générative doivent faire en sorte que les contenus produits soient marqués dans un format lisible par machine et détectables comme artificiellement générés ou manipulés. Cela passe par des techniques de filigrane (watermarking), d'intégration de métadonnées ou de signatures de provenance. L'enjeu est que la marque survive aux usages courants (copie, recompression, capture) et reste identifiable par des outils tiers.
Côté déployeurs : l'étiquetage des deepfakes et des textes
Les déployeurs, c'est-à-dire les organisations qui utilisent une IA générative dans un cadre professionnel, ont une obligation distincte. Ils doivent :
- divulguer clairement les deepfakes, c'est-à-dire les contenus image, audio ou vidéo qui ressemblent à des personnes, objets ou événements réels alors qu'ils sont générés ou manipulés ;
- indiquer qu'un texte a été généré ou manipulé par IA lorsqu'il est publié dans le but d'informer le public sur des sujets d'intérêt général.
Cette seconde obligation touche directement les fonctions communication, marketing et affaires publiques, pas seulement la DSI. C'est souvent là que le DPO découvre des usages d'IA générative qu'il ne soupçonnait pas.
Les exceptions à connaître
Toutes les situations ne déclenchent pas l'étiquetage. L'obligation sur les textes d'intérêt général ne s'applique pas lorsque le contenu a fait l'objet d'un contrôle éditorial humain et qu'une personne ou une entité assume la responsabilité éditoriale de la publication. De même, certains usages artistiques, satiriques ou de fiction bénéficient d'aménagements proportionnés : l'information doit alors être donnée sans nuire à l'oeuvre. Ces nuances sont importantes à documenter, car elles seront le premier point de friction lors d'un contrôle.
Le calendrier : ce qui s'applique au 2 août 2026
Le code de bonne conduite est l'aboutissement d'un processus de rédaction étalé sur plusieurs mois, conduit avec les fournisseurs, les déployeurs, la société civile et des experts techniques :
- 5 novembre 2025 : plénière de lancement et premier tour de rédaction ;
- 17 décembre 2025 : publication du premier projet de code ;
- 3 mars 2026 : publication du deuxième projet ;
- 8 mai 2026 : publication d'un projet de lignes directrices et ouverture de la consultation ;
- 10 juin 2026 : publication de la version finale du code ;
- 2 août 2026 : entrée en application des obligations de transparence de l'article 50.
À la date de publication de ce guide, le code finalisé fait l'objet d'une évaluation d'adéquation par la Commission et le Comité IA. Cette étape conditionne la valeur du code comme preuve de conformité, mais elle ne repousse pas l'échéance du 2 août 2026 pour les obligations elles-mêmes. Le report de certaines briques de l'AI Act décidé dans le cadre de l'omnibus numérique ne concerne pas l'article 50 : sur ce point, voir notre actualité sur l'omnibus numérique et les interdictions de deepfakes.
Ce que le DPO d'ETI doit faire concrètement
La transparence des contenus IA n'est pas qu'un sujet de fournisseur de modèles. Pour une ETI qui utilise des outils d'IA générative au quotidien, l'article 50 crée des obligations opérationnelles à outiller dès maintenant.
Cartographier les usages d'IA générative
Première étape : savoir où l'IA générative produit déjà du contenu dans l'organisation. Site web, réseaux sociaux, supports marketing, réponses client automatisées, visuels, traductions. Cette cartographie est le préalable à toute mise en conformité : on ne peut pas étiqueter ce qu'on ne sait pas avoir généré.
Articuler marquage IA et obligations RGPD
Le marquage des contenus IA croise plusieurs sujets RGPD. Un deepfake reposant sur l'image d'une personne réelle implique des données personnelles, et donc une base légale, une information des personnes et, parfois, une analyse d'impact. Si vous déployez de l'IA générative via des prestataires, ces enjeux rejoignent l'audit IA de vos sous-traitants. Une charte IA d'entreprise est souvent le bon support pour fixer ces règles d'usage en interne.
Documenter et tracer
Comme pour le reste de l'AI Act, la preuve compte autant que la pratique. Documentez les outils utilisés, les techniques de marquage en place, les cas où l'étiquetage s'applique et ceux où une exception est invoquée. C'est exactement le type de traçabilité qu'un outil de pilotage de la conformité, avec l'appui de Hari, l'IA de Leto, permet de centraliser. Pour évaluer votre situation, vous pouvez demander une démo.
Les erreurs fréquentes à éviter
Trois réflexes piégés reviennent souvent chez les organisations qui découvrent l'article 50 :
- croire que l'obligation ne vise que les fournisseurs de modèles : les déployeurs, dont les ETI, sont pleinement concernés par l'étiquetage ;
- confondre le caractère volontaire du code avec un report des obligations : l'échéance du 2 août 2026 tient, code signé ou non ;
- traiter le sujet comme purement technique : l'étiquetage des contenus est aussi une question de gouvernance, de RGPD et de responsabilité éditoriale, pas seulement de filigrane.
Questions fréquemment posées
Le code de bonne conduite sur les contenus générés par IA est-il obligatoire ?
Non, l'adhésion au code est volontaire. En revanche, les obligations de transparence de l'article 50 de l'AI Act qu'il sert à mettre en oeuvre sont des obligations légales applicables à partir du 2 août 2026. Le code offre un moyen pratique de démontrer sa conformité, mais ne remplace pas l'obligation.
Quand les obligations de l'article 50 de l'AI Act entrent-elles en application ?
Les obligations de transparence de l'article 50 deviennent applicables le 2 août 2026. La version finale du code de bonne conduite a été publiée le 10 juin 2026 et fait l'objet d'une évaluation d'adéquation par la Commission européenne et le Comité IA.
Quelle différence entre marquage et étiquetage des contenus IA ?
Le marquage est une obligation des fournisseurs : rendre le contenu détectable comme artificiellement généré dans un format lisible par machine, par exemple via un filigrane ou des métadonnées. L'étiquetage est une obligation des déployeurs : signaler de façon visible aux personnes qu'un deepfake ou un texte d'intérêt général a été généré ou manipulé par IA.
Mon entreprise utilise ChatGPT pour son contenu, suis-je concerné ?
Oui, potentiellement. En utilisant une IA générative dans un cadre professionnel, votre organisation agit comme déployeur. Si vous publiez des deepfakes ou des textes destinés à informer le public sur des sujets d'intérêt général, l'obligation d'étiquetage s'applique, sauf contrôle éditorial humain assumant la responsabilité de la publication.
Le report de l'AI Act décidé en 2026 concerne-t-il l'article 50 ?
Non. Les reports de calendrier discutés dans le cadre de l'omnibus numérique portent principalement sur les systèmes à haut risque de l'annexe III. Les obligations de transparence de l'article 50, dont l'étiquetage des contenus générés par IA, restent applicables au 2 août 2026.
Comment articuler l'étiquetage des contenus IA avec le RGPD ?
Dès qu'un contenu généré par IA implique des données personnelles, par exemple un deepfake reposant sur l'image d'une personne réelle, les obligations RGPD s'ajoutent à celles de l'AI Act : base légale, information des personnes et, le cas échéant, analyse d'impact. Le DPO a donc intérêt à traiter marquage IA et conformité RGPD dans un même dispositif documentaire.

