AI Act européen : ce qui change pour les images IA en 2026

Le 2 août 2026, un avocat parisien reçoit par e-mail une photographie censée documenter une scène d'accident survenue la veille sur un chantier de Seine-Saint-Denis. L'image est nette, le contexte plausible, la source apparemment fiable. Il la joint à un dossier en urgence. Trois jours plus tard, l'expertise judiciaire conclut que la photographie a été générée par un modèle de diffusion. L'image ne portait aucun marquage visible. Et pourtant, depuis ce même mois d'août 2026, le règlement européen sur l'intelligence artificielle -- l'AI Act -- est pleinement en vigueur. Comment est-ce possible ? La réponse révèle tout ce que le texte couvre, et tout ce qu'il laisse délibérément de côté.

Un premier règlement mondial contraignant, mais un périmètre précis

L'AI Act, formellement le Règlement (UE) 2024/1689, est entré en application progressive depuis février 2025 pour les pratiques interdites, puis août 2025 pour les obligations des fournisseurs de modèles d'IA à usage général. En août 2026, c'est l'ensemble du dispositif qui est pleinement opposable, y compris les obligations pesant sur les systèmes à haut risque et les règles de transparence pour les IA génératives. C'est la première législation contraignante au monde qui impose des obligations légales à des systèmes d'intelligence artificielle, et non simplement des recommandations ou des codes de conduite volontaires.

Mais le texte ne vise pas les images en tant que telles. Il vise les fournisseurs et les déployeurs de systèmes d'IA. Cette distinction est capitale : l'AI Act régule la chaîne de production de l'IA, pas la circulation des contenus qu'elle génère. Un photographe qui reçoit une image, un rédacteur en chef qui la publie, un avocat qui la produit devant un tribunal -- aucun d'eux n'est directement soumis aux obligations du règlement. Ce qui crée une asymétrie de responsabilité que les professionnels de l'image doivent comprendre précisément.

L'Article 50 : ce que le texte dit exactement sur le marquage

L'article 50 de l'AI Act est le coeur du dispositif de transparence pour les contenus synthétiques. Il impose aux fournisseurs de systèmes d'IA générative -- ceux qui conçoivent et commercialisent les modèles, pas les utilisateurs finaux -- de s'assurer que les sorties générées sont marquées dans un format lisible par machine. Le texte est précis : les contenus "synthétiques d'image, audio, vidéo ou texte" doivent être "marqués de manière à indiquer qu'ils ont été générés ou manipulés par l'IA".

Le mécanisme retenu est celui du watermarking technique, c'est-à-dire l'intégration de métadonnées ou de signaux numériques dans le fichier produit. La Coalition for Content Provenance and Authenticity (C2PA), dont les standards sont explicitement mentionnés dans les travaux préparatoires de la Commission, fournit le cadre technique de référence. En pratique, un fichier produit par un système conforme devrait embarquer des métadonnées C2PA attestant de son origine artificielle.

Ce que l'article 50 ne dit pas est tout aussi important. Il n'impose aucune obligation de marquage visible à destination de l'utilisateur final. Aucun logo, aucune mention obligatoire sur l'image elle-même, aucun filigrane visuel n'est requis par le règlement. Le marquage est technique, embarqué dans les métadonnées du fichier, et peut donc être supprimé par une simple opération de recadrage, de recompression ou de capture d'écran. L'article 50 crée des obligations pour les fournisseurs de plateformes, pas une garantie de traçabilité pour les destinataires.

Les obligations de transparence pour les fournisseurs de modèles

Au-delà du marquage, l'AI Act impose aux fournisseurs de systèmes d'IA générative à grande échelle -- ceux dont les modèles dépassent 10^25 FLOPs d'entraînement, qualifiés de "modèles à usage général à impact systémique" -- des obligations de documentation considérables. Ils doivent publier un résumé des données d'entraînement utilisées, maintenir une documentation technique accessible aux autorités nationales de surveillance, et s'inscrire dans la base de données publique de l'Union européenne dédiée aux systèmes d'IA à haut risque.

Cette base de données, gérée par la Commission européenne, est en principe consultable. Mais elle recense les systèmes, pas les images produites. Un journaliste peut y vérifier qu'un fournisseur donné est enregistré et a fourni sa documentation de conformité. Il ne peut pas y retrouver la trace d'une image spécifique ni confirmer qu'elle a bien été produite par un système conforme.

Les fournisseurs opérant sur le marché européen doivent également désigner un représentant légal dans l'Union, soumettre leurs systèmes à une évaluation de conformité et apposer le marquage CE sur leurs produits. Ces obligations de conformité CE s'appliquent à compter d'août 2026 pour les systèmes à haut risque et les modèles à usage général. Un modèle de génération d'images diffusé en Europe sans ces justificatifs est en infraction.

Ce qui change concrètement pour les journalistes et les rédacteurs

La conclusion pratique pour tout professionnel qui reçoit des images est contre-intuitive : l'AI Act ne simplifie pas la vérification, il en confirme la nécessité. Le règlement impose des obligations aux producteurs de systèmes IA. Mais un journaliste qui reçoit une image ne sait pas si elle a été produite par un système conforme, ni si le marquage technique a été préservé. En d'autres termes, il ne peut pas s'appuyer sur le marquage du producteur. Il doit lui-même vérifier.

Cette réalité est d'autant plus pressante que le marché est fragmenté. De nombreux modèles de génération d'images sont open source, déployés hors de tout cadre commercial, sur des infrastructures qui ne relèvent pas de la définition de "fournisseur" au sens du règlement. Des modèles comme Stable Diffusion ou ses dérivés, utilisés localement par n'importe qui, ne sont pas soumis aux obligations de marquage. Les images qu'ils produisent ne portent aucune métadonnée C2PA par défaut.

Pour un rédacteur en chef ou un directeur artistique, la prudence raisonnée consiste désormais à soumettre toute image dont l'origine est incertaine à une analyse de détection avant publication. Ce n'est pas une exigence légale directe -- l'AI Act n'impose rien aux utilisateurs finaux. C'est une obligation déontologique que le règlement rend encore plus urgente en rendant explicite ce qu'il ne garantit pas.

La charge de la preuve renversée pour les agences photo et les photographes

Pour les photographes professionnels et les agences d'images, l'AI Act produit un effet de pression indirect mais réel. En reconnaissant l'existence d'une obligation de marquage pour les contenus IA -- même imparfaite -- le règlement contribue à installer une présomption sociale, sinon juridique, que les images non marquées pourraient être humaines. Cette présomption est fragile, mais elle existe.

En sens inverse, dans un contexte de litige ou d'expertise, la question posée ne sera plus seulement "est-ce une image IA ?" mais aussi "pourquoi ne porte-t-elle pas de marquage si elle l'est ?". Les agences photo qui commercialisent des images authentiques ont donc un intérêt croissant à documenter proactivement l'origine humaine de leurs contenus -- métadonnées EXIF intactes, horodatage de prise de vue, éventuellement certificat d'authenticité.

La charge de prouver qu'une image est bien d'origine humaine se renforce. Ce n'est pas une obligation légale posée par l'AI Act, mais une conséquence pratique de l'environnement qu'il contribue à normaliser. Les agences qui ne documentent pas l'authenticité de leurs images s'exposent à des contestations croissantes, notamment dans des contextes éditoriaux ou judiciaires où la preuve est requise. Certifier une image dès sa prise de vue devient une pratique de protection professionnelle, pas un gadget.

Le régime spécifique du deepfake : obligation d'indication et exceptions

L'article 50, paragraphe 4, traite spécifiquement du "contenu deepfake", défini comme tout contenu "présentant des personnes, des lieux, des événements ou des objets existants qui semblent authentiques alors qu'ils ne le sont pas". Pour ce type de contenu, l'obligation est plus directe : les déployeurs -- c'est-à-dire les plateformes ou les entités qui diffusent ces contenus -- doivent indiquer de manière claire et visible que le contenu est artificiel.

Cette obligation comporte des exceptions notables. Elle ne s'applique pas lorsque le contenu est manifestement artistique, créatif ou satirique, à condition que l'indication ne soit pas nécessaire pour éviter une confusion dans le public. Elle ne s'applique pas non plus dans les situations où la divulgation serait disproportionnée. Ces exceptions laissent une marge d'interprétation significative et feront l'objet d'une jurisprudence nationale dans les prochaines années.

Pour les médias en ligne, la conséquence est pratique : diffuser une image générée par IA représentant une personne réelle dans un contexte trompeur expose désormais le déployeur -- pas le lecteur, pas le photographe, mais la plateforme ou le média -- à une obligation légale d'indication. Ce changement de régime est significatif pour les rédactions qui diffusent des contenus tiers sans vérification systématique de leur origine.

Les sanctions : une économie de la conformité

L'AI Act n'est pas un texte sans dents. Pour les fournisseurs de systèmes à haut risque qui ne respectent pas leurs obligations de conformité, les sanctions peuvent atteindre 3% du chiffre d'affaires mondial annuel de l'entreprise, ou 15 millions d'euros, le montant le plus élevé étant retenu. Pour les pratiques interdites -- manipulation comportementale, scoring social -- le plafond monte à 7% ou 35 millions d'euros.

Ces montants sont cohérents avec le cadre du RGPD, dont l'AI Act s'inspire structurellement. Ils sont suffisamment dissuasifs pour les grandes plateformes, mais leur application réelle dépendra de la diligence des autorités nationales compétentes. En France, c'est la CNIL qui a été désignée comme coordinateur national de l'IA au sens de l'AI Act, en coordination avec l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) pour les contenus médiatiques. Les premières décisions de sanction sont attendues pour 2027.

Pour les fournisseurs de modèles à usage général ne respectant pas leurs obligations de documentation ou de marquage, la sanction peut atteindre 1% du chiffre d'affaires mondial. C'est un signal fort adressé aux acteurs qui seraient tentés de considérer la conformité comme optionnelle.

Ce que "conforme AI Act" signifie sur un certificat Certi-fy

Depuis août 2026, les certificats d'authenticité générés par Certi-fy intègrent une mention explicite de conformité au règlement européen sur l'IA. Cette mention ne signifie pas que l'image a été analysée selon des critères imposés par le règlement -- le texte n'impose aucune norme technique d'analyse aux outils tiers. Elle signifie que le processus d'analyse et de certification respecte les principes du règlement applicables aux systèmes d'IA utilisés dans ce processus : transparence sur le fonctionnement du modèle, documentation technique disponible, absence de pratiques d'analyse interdites.

Concrètement, le certificat PDF mentionne que l'analyse a été conduite par un système d'IA documenté, hébergé en France, dont les paramètres de fonctionnement sont accessibles à des fins d'audit. Il précise que le score de détection IA est un indicateur probabiliste, non une conclusion juridique définitive, conformément à l'exigence de transparence sur les limites des systèmes IA imposée par l'article 13 du règlement. Le hash SHA-256 de l'image analysée est inscrit dans le certificat et constitue la preuve cryptographique primaire, indépendante de tout système IA.

Cette mention "conforme AI Act" vise un double objectif. D'abord, informer l'utilisateur du cadre réglementaire dans lequel s'inscrit l'outil. Ensuite, renforcer la valeur probatoire du certificat dans des contextes juridiques où la traçabilité du processus d'analyse peut être questionnée -- notamment dans les expertises judiciaires où la partie adverse chercherait à contester la fiabilité de l'outil utilisé.

L'entrée en vigueur pleine de l'AI Act ne résout pas le problème de la vérification des images. Elle en déplace les responsabilités et en précise les contours. Pour les professionnels de l'image, de l'information et du droit, elle rend encore plus nécessaire la mise en place de procédures de vérification systématique -- car le règlement garantit des obligations pour les producteurs d'IA, pas la fiabilité des contenus qui circulent.