
AI Act : quelles obligations pour les images et vidéos créées par IA ?
Une image de produit générée en trois secondes, une vidéo de témoignage synthétisée sans tournage : ces contenus arrivent partout, et l’Europe veut désormais qu’ils portent une marque. Environ 33 % des organisations sont concernées par les nouvelles obligations de transparence, deuxième facteur de conformité le plus fréquent de l’AI Act (données Compliance Checker, artificialintelligenceact.eu, 2026). Le 2 août 2026, l’article 50 du règlement européen entre en application. Il vise chaque entreprise qui produit ou diffuse des visuels créés par IA, quelle que soit sa taille.
En bref : L’article 50 de l’AI Act oblige à marquer, dans un format lisible par machine, les images et vidéos générées ou manipulées par intelligence artificielle, et à signaler clairement celles qui constituent un deepfake, dès le 2 août 2026. Les fournisseurs intègrent un marquage technique, les déployeurs signalent les deepfakes. Une infraction expose à 15 millions d’euros ou 3 % du chiffre d’affaires mondial (article 99 du règlement).
Temps de lecture : 10 min
Qu’impose l’AI Act aux images et vidéos générées par IA ?
L’article 50 de l’AI Act oblige à marquer, dans un format lisible par machine, les images et vidéos générées ou manipulées par intelligence artificielle, et à signaler clairement celles qui constituent un deepfake, dès le 2 août 2026. Cette obligation ne dépend pas d’une classification de risque : elle s’applique à tout système d’IA générative, du générateur d’images à l’outil de synthèse vidéo.
Le règlement (UE) 2024/1689, dit AI Act, encadre l’intelligence artificielle sur le marché européen. Son article 50 crée une couche de transparence distincte du volet haut risque, dont l’entrée en vigueur reste fixée au 2 décembre 2027 sous réserve du Digital Omnibus. La transparence, elle, s’applique bien au 2 août 2026.
Cette distinction compte. Beaucoup de dirigeants pensent que l’AI Act ne vise que les usages sensibles, comme le recrutement ou le crédit, classés haut risque. L’article 50 fonctionne différemment : il vise la nature du contenu, pas la criticité de l’usage. Un visuel publicitaire anodin déclenche la même obligation de marquage qu’une vidéo institutionnelle. Le considérant 134 du règlement rappelle la logique : le public doit savoir, sans effort, qu’il regarde un contenu produit par une machine.
Quatre situations, deux profils de responsabilité
L’article 50 vise quatre cas : les systèmes qui interagissent avec des personnes, ceux qui génèrent des contenus synthétiques, la reconnaissance d’émotions et la catégorisation biométrique, enfin les deepfakes et textes d’intérêt public. Pour l’image et la vidéo, deux obligations comptent : le marquage technique du fournisseur et le signalement du déployeur.
Cadrer ces usages en amont évite les mauvaises surprises. C’est le rôle de la première phase d’un projet IA : cadrer vos cas d’usage IA : la phase Comprendre, avant même de produire le moindre visuel synthétique.
Aucun seuil de taille, aucune exemption automatique
Une TPE qui publie un visuel produit par un générateur d’images est concernée au même titre qu’un groupe de 500 salariés. Le règlement prévoit des exceptions limitées : fonction d’assistance à l’édition sans modification substantielle, ou œuvre manifestement artistique, satirique ou fictive, qui bénéficie alors d’une divulgation allégée et non intrusive. Dans ce dernier cas, une icône affichée quelques secondes au début de la diffusion peut suffire, sans gêner l’expérience.
La portée du texte est extraterritoriale. Un annonceur établi hors de l’Union qui diffuse une vidéo synthétique auprès d’un public européen entre dans le champ de l’article 50. La question n’est donc pas le lieu de production du contenu, mais celui de sa diffusion. Une PME de la Côte d’Azur qui sous-traite ses visuels à un prestataire étranger reste responsable de leur conformité au moment de la publication.
Pourquoi le marquage lisible par machine ne se limite pas à une mention visible ?
L’article 50, paragraphe 2, cible les fournisseurs de systèmes génératifs. Il exige un marquage détectable par des outils numériques, pas une simple ligne dans les conditions générales d’utilisation. Une mention en bas de page ne remplit pas l’obligation.
Filigrane, métadonnées et empreinte
Le marquage combine trois techniques : un filigrane numérique imperceptible à l’œil mais détectable par algorithme, des métadonnées intégrées au fichier, et une empreinte de provenance. Le projet de code de bonnes pratiques cite le standard C2PA Content Credentials comme mécanisme technique de référence. La solution doit rester robuste, interopérable et efficace au regard de l’état de l’art.
Ces trois adjectifs pèsent lourd. Robuste signifie que le marquage doit résister à des manipulations courantes, comme une capture d’écran ou une recompression. Interopérable veut dire qu’un outil tiers doit pouvoir le lire, sans dépendre du logiciel qui l’a produit. Efficace au regard de l’état de l’art impose une obligation évolutive : ce qui suffit aujourd’hui devra être renforcé demain, à mesure que les techniques progressent. Le règlement ne fige donc pas une méthode, il fixe un résultat à atteindre.
Ce marquage suit le fichier. Si vos équipes recompressent une image ou la réexportent sans conserver ses métadonnées, la traçabilité peut se briser. Le point de vigilance est donc la chaîne d’export, autant que l’outil de génération lui-même.
Un label européen commun en préparation
La Commission européenne travaille à une icône « IA » normalisée, adaptée dans chaque langue. Le deuxième projet de code, publié le 5 mars 2026, abandonne la distinction entre contenu « entièrement généré » et contenu « assisté par IA » : tout sera étiqueté de la même façon (Commission européenne, 2026).
Ce choix simplifie la vie des entreprises. Plus besoin de trancher, cas par cas, le degré d’intervention de l’IA dans un visuel retouché : dès qu’un système génératif contribue au contenu diffusé, la même mention s’applique. Anticiper ce format unique évite d’avoir à refaire ses gabarits de publication dans quelques mois.
Quelle différence entre fournisseur et déployeur pour les deepfakes ?
Le fournisseur conçoit et met sur le marché le système d’IA. Le déployeur l’utilise dans son activité. Une agence web qui intègre une API de génération d’images dans le site d’un client est un déployeur : elle n’est pas exemptée au motif qu’elle n’a pas entraîné le modèle.
La définition large du deepfake
Un deepfake, au sens de l’article 3, point 60 du règlement, est un contenu image, audio ou vidéo généré ou manipulé par IA qui ressemble à des personnes, objets, lieux ou événements réels et pourrait faire croire à tort qu’il est authentique. Le déployeur doit indiquer clairement que ce contenu a été créé ou manipulé artificiellement, par une mention explicite du type « contenu généré par IA ».
La définition ne se limite pas aux visages truqués de personnalités. Une photo de produit entièrement synthétisée mais présentée comme une vraie prise de vue, ou une scène d’ambiance fabriquée pour un site immobilier, entrent dans le champ dès lors qu’elles pourraient passer pour authentiques. Le critère décisif n’est pas l’intention de nuire, mais la vraisemblance du rendu.
Les deux obligations se complètent. Le marquage technique du fournisseur assure la traçabilité ; l’étiquetage visible du déployeur informe le public au moment de la diffusion. L’un ne remplace pas l’autre.
L’humain garde la responsabilité éditoriale
Pour les textes d’intérêt public générés par IA, une exception existe : si une personne assume la responsabilité éditoriale après relecture, l’obligation de signalement tombe. Ce principe résume la position d’HDVMA sur l’IA générative : la machine propose, l’humain décide et engage sa responsabilité. La conformité se gouverne dans la durée, comme le décrit la phase Gouverner : AI Act, RGPD et pilotage.
Quelles sanctions et quel calendrier pour la conformité ?
Le non-respect des obligations de transparence de l’article 50 expose à une amende administrative pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (article 99 du règlement (UE) 2024/1689). Pour les PME, le règlement plafonne au plus bas des deux valeurs. Ce niveau reste distinct du plafond de 7 % réservé aux pratiques interdites.
Ce plafond adapté aux PME ne doit pas rassurer à tort. Une amende calculée sur un chiffre d’affaires modeste peut rester dissuasive, et surtout, l’exposition ne s’arrête pas à la sanction administrative. Un contenu trompeur peut aussi engager la responsabilité civile de l’entreprise, si un tiers démontre un préjudice lié à un visuel non signalé. Le coût réputationnel, difficile à chiffrer, s’ajoute à ces deux volets.
Le calendrier réel, échéance par échéance
L’article 50 s’applique le 2 août 2026. Un délai de grâce technique court jusqu’au 2 décembre 2026, spécifiquement pour le marquage lisible par machine des systèmes déjà sur le marché. Les lignes directrices de la Commission ont été publiées en projet le 8 mai 2026, et le code de bonnes pratiques sur la transparence des contenus générés par IA le 10 juin 2026.
| Situation | Qui est concerné | Obligation |
|---|---|---|
| Chatbot ou assistant | Fournisseur | Informer que l’on parle à une IA |
| Image, vidéo, audio, texte de synthèse | Fournisseur | Marquage lisible par machine |
| Reconnaissance d’émotions, biométrie | Déployeur | Informer les personnes exposées |
| Deepfake, texte d’intérêt public | Déployeur | Signaler l’origine artificielle |
Trois autorités françaises se partagent le contrôle
En France, la surveillance est répartie entre la CNIL pour les questions biométriques, l’Arcom pour les contenus d’intérêt public, et la DGCCRF pour les interactions directes avec les consommateurs. À ce cadre européen s’ajoute la loi SREN de mai 2024, qui crée un délit spécifique de deepfake, puni jusqu’à deux ans de prison et 45 000 euros d’amende pour une diffusion en ligne (article 226-8-1 du Code pénal). Ces sanctions se cumulent avec celles de l’AI Act.
Comment une PME met-elle ses contenus IA en conformité ?
Le risque réel, pour une PME, n’est pas l’amende maximale. C’est le signalement d’un concurrent, d’un client ou d’une association, qui déclenche un contrôle. Un chatbot non identifié ou un visuel publicitaire truqué se voient à l’œil nu, donc se dénoncent facilement. La mise en conformité tient en quelques actions ordonnées.
Sur le terrain
Chez HDVMA, nous branchons un contrôle simple sur les pipelines de contenu de nos clients : chaque visuel généré par IA conserve ses Content Credentials à l’export, et une automatisation ajoute la mention « Image générée par IA » avant publication. La règle interne que nous appliquons est nette : aucun visuel synthétique ne sort sans marquage ni relecture humaine, et un registre daté conserve la preuve de conformité. Ce garde-fou coûte quelques heures de paramétrage, très en deçà du premier contrôle.
Inventorier, marquer, documenter
Commencez par recenser tous vos flux où l’IA génère un contenu qui sort de l’entreprise : site, réseaux sociaux, emailing, support, publicités. Vérifiez ensuite que vos outils fournisseurs intègrent bien un marquage technique et que vos exports le conservent. Rédigez les mentions adaptées à chaque usage et positionnez-les au bon endroit.
Un point est souvent oublié : le contrat avec vos prestataires. Si une agence ou un logiciel produit vos visuels, exigez par écrit qu’ils fournissent un marquage conforme et vous transmettent la preuve de provenance. Cette clause déplace une partie du risque vers le fournisseur et documente votre diligence en cas de contrôle. Formez aussi les équipes qui publient : un community manager qui recadre une image sans conserver ses métadonnées casse la conformité sans le savoir.
En pratique
Conservez un registre des usages : dates de mise en place, outils concernés, validations internes. En cas de contrôle, cette traçabilité fait la différence entre une mise en demeure et une sanction financière.
Passer en production sans casser la conformité
Automatiser le marquage et l’étiquetage se conçoit dès la mise en production, pas après. Intégrer ces garde-fous dans le flux de publication, plutôt que de les ajouter à la main, garantit qu’aucun contenu ne passe entre les mailles. C’est l’objet de la phase de mise en production supervisée, où la conformité devient un paramètre du système et non une tâche manuelle.
À retenir
- L’article 50 de l’AI Act s’applique le 2 août 2026, sans seuil de taille ni classification de risque.
- Le fournisseur marque techniquement les contenus ; le déployeur signale les deepfakes.
- Une infraction expose à 15 millions d’euros ou 3 % du chiffre d’affaires mondial.
- Un délai de grâce technique court jusqu’au 2 décembre 2026 pour le marquage lisible par machine.
Méthodologie
Cet article s’appuie sur les données publiées par EUR-Lex (règlement UE 2024/1689), la Commission européenne et l’AI Act Explorer, consultées en juillet 2026. Les chiffres correspondent aux données en vigueur au moment de la rédaction.
Pour aller plus loin
Questions fréquentes
Qu’impose l’AI Act aux images et vidéos générées par IA ?
L’article 50 de l’AI Act oblige à marquer, dans un format lisible par machine, les images et vidéos générées ou manipulées par intelligence artificielle, et à signaler clairement celles qui constituent un deepfake, dès le 2 août 2026. Cette obligation vaut pour tout système d’IA générative, sans seuil de taille ni classification de risque. Le fournisseur intègre un marquage technique lisible par machine, tandis que le déployeur signale visiblement les contenus qui constituent un deepfake au moment de leur diffusion au public.
Le marquage d’une image IA suffit-il avec une mention dans mes CGU ?
Non. L’article 50, paragraphe 2, exige un marquage lisible par machine : filigrane numérique, métadonnées intégrées ou empreinte de provenance, souvent via le standard C2PA. Une mention dans les conditions générales d’utilisation ne remplit pas cette obligation technique. Le déployeur ajoute en plus une mention visible pour les deepfakes, distincte du marquage du fournisseur.
Quelles sanctions en cas de non-respect de l’article 50 ?
Le manquement expose à une amende administrative pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour une PME, le règlement retient le plus bas des deux. En France, une victime peut aussi engager une action civile, et la loi SREN prévoit des peines pénales cumulables pour les deepfakes.
Une PME qui utilise Midjourney ou un générateur vidéo est-elle concernée ?
Oui, en tant que déployeur. Une boutique dont les visuels produits proviennent d’un générateur d’images, une agence qui livre des vidéos synthétiques, un organisme dont les supports sont assistés par IA : tous entrent dans le champ. La taille de l’entreprise ne crée aucune exemption. Il faut signaler les deepfakes et conserver le marquage technique fourni par l’outil à l’export.
![]() | Eric Christophe, dirigeant HDVMA Expert SEO et automatisation IA. Accompagne PME et ETI françaises dans leur stratégie de visibilité Google et IA. Cas phare : BoatCible, +320 % de trafic organique en 5 mois, cité par ChatGPT et Perplexity. LinkedIn |
Demandez votre diag IA gratuit
Discuter de votre projet
Parler à Eric





