AI Act : la Commission UE precise les obligations de transparence de l'article 50
À six mois de l'entrée en application de l'article 50 de l'AI Act, la Commission européenne joue les arbitres et précise ce qu'un système d'IA doit dire — et ne pas dire — à ses utilisateurs. Les lignes directrices viennent d'être soumises à consultation publique. Pour les DPO, RSSI et juristes IA, elles transforment une obligation jusqu'ici floue en check-list opérationnelle.
Ce qui s'est passé
Le 12 mai 2026, la Commission européenne a publié son projet de lignes directrices sur l'article 50 de l'AI Act, qui impose des obligations de transparence à quatre catégories de systèmes d'IA : ceux qui interagissent directement avec des personnes, ceux qui génèrent ou manipulent des contenus de synthèse, ceux qui pratiquent la reconnaissance des émotions ou la catégorisation biométrique, et ceux qui produisent des deepfakes ou des textes d'intérêt public.
Le texte s'appliquera à compter du 2 août 2026, avec une période de grâce courant jusqu'au 2 décembre 2026. Les lignes directrices, encore en consultation, fixent les attentes pratiques de Bruxelles sur la forme, le moment et le contenu de l'information à délivrer.
Pourquoi c'est important
L'article 50 est l'un des rares pans de l'AI Act dont le calendrier d'application n'a pas été repoussé par l'omnibus numérique de mai 2026, qui a au contraire reporté à fin 2027 le cœur des dispositions sur les systèmes à haut risque. Concrètement, la transparence reste la première obligation IA que les organisations doivent absolument couvrir en 2026.
La Commission éclaircit plusieurs points qui faisaient débat depuis l'adoption du règlement. D'abord, le périmètre d'application : un système d'IA n'« interagit » avec une personne que s'il y a échange direct. Un algorithme de recommandation, un antispam ou un traducteur automatique en sont exclus, mais un chatbot, un agent IA conversationnel ou un assistant vocal y sont pleinement soumis. Pour les agents IA dont les développeurs ne maîtrisent pas toujours la cible finale, Bruxelles impose un principe de précaution : dès lors qu'une interaction avec une personne physique est « probable », l'agent doit se présenter comme tel.
Ensuite, la forme de l'information. La Commission tranche : une mention dans les CGU, un filigrane imperceptible ou une référence générique à un « assistant » ne suffisent pas. L'information doit être multimodale, claire et délivrée au plus tard lors de la première interaction. Le standard d'évaluation est celui du « consommateur moyen » : si la nature artificielle du système est évidente (ton robotique, photo de profil de robot), l'obligation peut être réputée satisfaite. Pour le détail des architectures de gouvernance attendues, notre guide complet de conformité AI Act détaille les briques à mettre en place.
Ce que ça change pour les organisations
Trois sujets méritent une attention immédiate côté DPO et responsables conformité IA.
1. Cartographier les systèmes concernés. Tout système conversationnel public — chatbot support, assistant interne ouvert aux candidats, agent vocal — relève du paragraphe 1 de l'article 50. Les systèmes B2B « strictement professionnels » (assistant de code pour développeurs, IA diagnostique pour professionnels de santé) sont en revanche hors champ. La frontière passe par la nature du public final, pas par le canal de distribution. Pour les équipes RH qui déploient des outils IA dans le recrutement ou la formation, le webinaire Leto sur l'impact de l'AI Act sur les métiers RH revient en détail sur ces arbitrages.
2. Marquer les contenus générés par IA. Les fournisseurs de modèles génératifs doivent embarquer un marquage « lisible par la machine » dans leurs outputs. La Commission est claire : aucune technique seule (filigrane, métadonnées, empreinte cryptographique) ne satisfait à la fois l'efficacité, la fiabilité, la robustesse et l'interopérabilité — il faut donc les combiner. La correction grammaticale, la conversion de format, la suppression des yeux rouges restent exemptées. En revanche, le floutage de visage, la pixellisation, l'effacement d'arrière-plan ou la recolorisation d'images noir et blanc tombent dans le champ et déclenchent l'obligation de marquage.
3. Encadrer les deepfakes. Les déployeurs doivent indiquer clairement qu'un contenu est un deepfake, sauf œuvre « manifestement artistique, créative, satirique, fictive ou analogue ». Bruxelles précise qu'un contenu manifestement irréaliste (un sphinx volant au-dessus de la tour Eiffel, un éléphant qui conduit une voiture) n'est pas un deepfake. Mais une photo retouchée d'un personnage politique dans un contexte journalistique, ou une publicité mettant en scène des consommateurs synthétiques, le sont. Pour les équipes qui n'ont pas encore lancé leur travail de sensibilisation interne, le guide Leto sur la sensibilisation IA donne le cadre des bonnes pratiques à diffuser.
Enfin, côté autorités de contrôle, la question de la coordination entre régulateurs nationaux et Bureau de l'IA reste ouverte. Notre guide sur les autorités compétentes en France cartographie l'écosystème institutionnel, dans l'attente du décret de désignation définitif.
Ce que Leto pense de cette décision
Ces lignes directrices ne révolutionnent rien — elles font ce qu'on attend d'un texte d'application : transformer un principe (« être transparent ») en exigences testables. Le vrai signal est ailleurs. En blindant l'article 50 alors que tout le reste de l'AI Act recule, Bruxelles dit clairement que la transparence n'est pas négociable, même dans un agenda européen sous pression d'allègement réglementaire. Pour les DPO, l'arbitrage est simple : la mise en conformité chatbots et générateurs de contenu doit être priorisée dès cet été. La période de grâce de quatre mois n'est pas un sursis, c'est un délai d'implémentation. Mieux vaut documenter une démarche imparfaite au 2 décembre 2026 que découvrir l'obligation en janvier.
Sources :
