À partir du 2 août 2026, l'article 50 de l'EU AI Act impose de marquer les contenus générés ou manipulés par IA de façon lisible par machine. Texte, image, audio, vidéo : si votre système produit ces contenus, ils devront porter un signal technique permettant de les identifier comme artificiels. C'est l'une des obligations les plus concrètes et les plus largement applicables de tout le règlement.
Pour les entreprises, c'est aussi un enjeu de cybersécurité et de confiance. Le marquage répond à la montée des deepfakes, de la désinformation générée à grande échelle et de la fraude par usurpation de contenu. Savoir distinguer un contenu authentique d'un contenu synthétique devient une brique défensive autant qu'une obligation légale.
Cet article explique précisément ce qu'impose l'article 50, qui en porte la responsabilité, les techniques de marquage existantes (watermark, métadonnées, standard C2PA), l'état de la régulation après le second projet de code publié le 5 mars 2026 et la consultation ouverte le 8 mai 2026, et comment mettre en œuvre tout cela dans vos propres systèmes sans dégrader l'expérience utilisateur.
L'obligation : article 50 et échéance du 2 août 2026
L'article 50 de l'AI Act établit les obligations de transparence applicables au 2 août 2026, dont le marquage des contenus générés par IA. Cette date est confirmée et n'a pas été touchée par le report du Digital Omnibus de mai 2026, qui ne concernait que les obligations d'usage des systèmes à haut risque.
L'obligation se décline en deux volets complémentaires. Côté fournisseur du système génératif, le contenu de sortie (texte, image, audio, vidéo) doit être marqué dans un format lisible par machine et détectable comme artificiellement généré ou manipulé. Côté déployeur, lorsqu'il s'agit de deepfakes ou de textes d'intérêt public, le contenu doit en outre être divulgué de manière claire pour l'utilisateur final.
La distinction est importante : le marquage machine (invisible ou semi-visible, dans les métadonnées ou via watermark) assure la détectabilité technique, tandis que la divulgation (visible, explicite) assure l'information humaine. Selon votre rôle et votre cas d'usage, vous devez assurer l'un, l'autre, ou les deux. Pour situer cette obligation dans le calendrier global, voir notre checklist du 2 août 2026.
Qui est concerné : fournisseurs et déployeurs
L'obligation de marquage touche deux acteurs distincts, avec des responsabilités différentes.
Le fournisseur est celui qui développe et met sur le marché le système d'IA générative. Il porte l'obligation de marquage technique de la sortie : c'est à lui d'embarquer, dès la génération, le signal lisible par machine. Si vous développez votre propre outil génératif, vous êtes ce fournisseur.
Le déployeur est celui qui utilise le système sous son autorité pour produire et diffuser des contenus. Il porte l'obligation de divulgation visible dans deux cas : les deepfakes (contenus représentant des personnes, objets ou événements de façon trompeuse) et les textes informant le public sur des sujets d'intérêt général. Si vous publiez du contenu généré par IA sur votre site, vos réseaux ou votre support client, vous êtes ce déployeur.
En pratique, la plupart des PME sont déployeurs : elles utilisent un outil tiers (un modèle d'Anthropic, OpenAI ou Mistral via une API) pour générer du contenu. Elles s'appuient alors sur le marquage technique fourni par l'outil, et ajoutent la divulgation visible quand le cas l'exige. Quelques entreprises développant leur propre brique générative cumulent les deux rôles. L'inventaire de vos systèmes, recommandé pour toute la conformité AI Act, sert ici à clarifier votre statut.
Les techniques de marquage : watermark, métadonnées, C2PA
Trois familles de techniques permettent de marquer un contenu généré par IA, souvent combinées pour plus de robustesse.
- Watermarking (filigrane numérique). Un signal imperceptible est intégré dans le contenu lui-même — légères variations de pixels pour une image, motifs statistiques dans un texte, signatures dans le signal audio. Avantage : il survit souvent à une copie ou une recompression. Limite : il peut être affaibli par des transformations agressives.
- Métadonnées. Des informations d'origine sont attachées au fichier (qui l'a généré, avec quel modèle, quand). Simples à poser et à lire, mais faciles à supprimer : un screenshot ou une réexportation peut les effacer. Elles doivent donc compléter le watermark, pas le remplacer.
- C2PA / Content Credentials. Standard ouvert porté par une coalition d'acteurs majeurs, qui attache au contenu un manifeste signé cryptographiquement décrivant sa provenance et son historique de modifications. C'est l'approche la plus robuste et la plus interopérable, en voie de devenir la référence du secteur.
La bonne pratique 2026 est de combiner watermark (résistant) et métadonnées C2PA (riches et signées). Aucune technique n'est infaillible isolément : un attaquant déterminé peut tenter d'effacer un marquage, ce qui place le sujet au croisement de la conformité et de la cybersécurité. C'est pourquoi le marquage doit s'accompagner d'une politique plus large de traçabilité des contenus.
Le code de mars 2026 et la consultation de mai 2026
Le cadre technique du marquage se précise activement : un second projet de code sur le marquage des contenus générés par IA a été publié le 5 mars 2026, et la Commission a ouvert le 8 mai 2026 une consultation sur les lignes directrices de transparence.
Le code sur le marquage vise à donner aux fournisseurs et déployeurs des spécifications concrètes : quelles techniques sont considérées comme conformes, quels formats de métadonnées, quel niveau de robustesse attendu, comment articuler marquage machine et divulgation humaine. Le fait qu'il s'agisse d'un second projet indique un travail itératif : le cadre est encore en cours d'affinage à l'approche de l'échéance d'août 2026.
La consultation ouverte le 8 mai 2026 sur les lignes directrices de transparence complète ce dispositif : elle recueille les retours des parties prenantes pour produire des orientations officielles d'application de l'article 50. Pour une entreprise, le message opérationnel est double : d'une part, la direction est claire (il faut marquer et, le cas échéant, divulguer) ; d'autre part, les détails techniques exacts se stabilisent dans les mois précédant l'échéance. Mieux vaut donc adopter dès maintenant des standards robustes et interopérables (C2PA, watermark) qui resteront pertinents quel que soit le détail final retenu.
Cas particulier des deepfakes et de la désinformation
Les deepfakes font l'objet d'une obligation de divulgation renforcée, car ils sont le vecteur le plus direct de tromperie et de désinformation. Un deepfake, au sens de l'article 50, est un contenu image, audio ou vidéo généré ou manipulé qui ressemble à des personnes, objets ou événements existants et apparaîtrait à tort comme authentique.
Pour ces contenus, le déployeur doit divulguer de façon claire et visible qu'il s'agit d'un contenu artificiel. La logique : le marquage machine ne suffit pas quand l'enjeu est de tromper un humain ; il faut une information directement perceptible par le spectateur. Des exceptions existent pour les usages manifestement artistiques ou satiriques, mais elles n'effacent pas l'obligation de transparence — elles en adaptent les modalités.
Pour les entreprises, l'angle cybersécurité est essentiel. Les deepfakes alimentent des fraudes ciblées : usurpation vocale d'un dirigeant pour ordonner un virement, fausse vidéo pour manipuler une décision, faux contenus pour nuire à une marque. Au-delà de votre propre obligation de marquer ce que vous produisez, vous devez vous protéger contre les contenus synthétiques malveillants venant de l'extérieur : procédures de vérification renforcées, détection, sensibilisation des équipes. Marquage et défense vont de pair.
Mettre en œuvre le marquage dans vos systèmes
La mise en œuvre concrète tient en cinq étapes pragmatiques, applicables à la plupart des PME.
- Recensez vos points de génération. Où votre entreprise produit-elle du contenu IA ? Site web, support client, marketing, réseaux sociaux, génération d'images, synthèse vocale. Chacun est un point à traiter.
- Vérifiez le marquage natif de vos outils. Beaucoup de fournisseurs intègrent déjà un marquage (watermark, C2PA) dans leurs sorties. Confirmez-le et documentez-le ; ne réinventez pas ce qui existe.
- Ajoutez la divulgation visible où elle est requise. Mention « contenu généré par IA » sur les publications concernées, signalement clair des deepfakes, information de l'utilisateur d'un chatbot.
- Complétez par des métadonnées et, idéalement, du C2PA. Quand vous publiez via votre propre chaîne technique, attachez les Content Credentials pour assurer la traçabilité.
- Documentez et journalisez. Tenez une trace de ce qui a été généré, par quel modèle, et comment il a été marqué. Cette journalisation sert à la fois la conformité et la cybersécurité.
L'enjeu d'expérience utilisateur est réel : la divulgation doit être claire sans être intrusive. Une mention discrète mais lisible, plutôt qu'un bandeau envahissant, suffit généralement à satisfaire l'obligation tout en préservant la qualité perçue. Pour les chaînes automatisées, le marquage peut être intégré directement dans le flux, ce que nous traitons dans nos projets d'automatisation métier.
Intégrer la transparence par conception
Chez Genee, nous traitons le marquage comme une exigence de conception, pas comme une couche ajoutée après coup. Intégrer la transparence dès l'architecture coûte peu et évite les reprises coûteuses à l'approche de l'échéance d'août 2026.
Concrètement, lorsque nous concevons un système qui génère du contenu — un assistant rédactionnel, un agent de support, une chaîne de production de visuels — nous intégrons d'emblée trois choses : le marquage machine de la sortie (en exploitant le marquage natif du modèle quand il existe), la divulgation visible paramétrable selon le contexte de publication, et la journalisation de provenance. L'utilisateur final voit une information claire ; le système conserve une trace exploitable pour la conformité et la sécurité.
Nous combinons cette logique avec les bonnes pratiques de sécurité des données : quand le contenu provient de sources internes sensibles, une architecture de RAG sécurisé garantit la traçabilité des sources, ce qui se marie naturellement avec la traçabilité des contenus générés. Le marquage devient alors un maillon d'une chaîne de confiance complète, du document source au contenu publié — qu'il s'agisse d'un développement sur mesure ou d'un outil intégré.
Vous générez du contenu par IA et vous voulez être prêt pour le 2 août 2026 sans dégrader l'expérience de vos utilisateurs ? Parlons-en : nous transformons cette obligation en dispositif technique propre et discret.
FAQ — Marquage des contenus générés par IA : la nouvelle obligation de transparence
À partir de quand le marquage des contenus générés par IA est-il obligatoire ?
À partir du 2 août 2026, au titre des obligations de transparence de l'article 50 de l'EU AI Act. Cette date est confirmée : elle n'a pas été affectée par le report du Digital Omnibus de mai 2026, qui ne concernait que les obligations d'usage des systèmes à haut risque. Le marquage machine des contenus générés et la divulgation visible des deepfakes sont donc bien attendus pour cette échéance.
Suis-je responsable du marquage si j'utilise un outil tiers comme un modèle d'OpenAI ou de Mistral ?
Vous êtes alors déployeur. Le marquage machine de la sortie relève du fournisseur de l'outil, mais vous portez l'obligation de divulgation visible dans deux cas : les deepfakes et les textes d'intérêt public. En pratique, vous vous appuyez sur le marquage technique fourni par l'outil (vérifiez et documentez-le) et vous ajoutez une mention claire « contenu généré par IA » là où elle est requise.
Quelle technique de marquage choisir : watermark, métadonnées ou C2PA ?
Combinez-les. Le watermark résiste mieux aux copies et recompressions mais peut être affaibli ; les métadonnées sont riches mais faciles à effacer (un screenshot suffit) ; le standard C2PA (Content Credentials) attache un manifeste signé cryptographiquement et constitue l'approche la plus robuste et interopérable. La bonne pratique 2026 est d'associer watermark résistant et métadonnées C2PA signées, aucune technique isolée n'étant infaillible.
Qu'est-ce qu'un deepfake au sens de l'AI Act et quelle est l'obligation associée ?
Un deepfake est un contenu image, audio ou vidéo généré ou manipulé qui ressemble à des personnes, objets ou événements existants et apparaîtrait à tort comme authentique. Pour ces contenus, le déployeur doit divulguer de façon claire et visible qu'il s'agit d'un contenu artificiel, car le marquage machine ne suffit pas quand l'enjeu est de tromper un humain. Des modalités adaptées existent pour les usages artistiques ou satiriques, sans supprimer l'obligation de transparence.
Le marquage des contenus IA est-il aussi un enjeu de cybersécurité ?
Oui, pleinement. Le marquage répond à la montée des deepfakes, de la désinformation et des fraudes par usurpation de contenu (usurpation vocale d'un dirigeant, fausses vidéos). Au-delà de marquer ce que vous produisez, vous devez vous défendre contre les contenus synthétiques malveillants venant de l'extérieur : procédures de vérification renforcées, détection et sensibilisation des équipes. Marquage et défense vont de pair.
Où en est la régulation technique du marquage en 2026 ?
Le cadre se précise activement : un second projet de code sur le marquage des contenus générés par IA a été publié le 5 mars 2026, et la Commission a ouvert le 8 mai 2026 une consultation sur les lignes directrices de transparence. La direction est claire (marquer et, le cas échéant, divulguer), mais les détails techniques se stabilisent dans les mois précédant l'échéance. Mieux vaut adopter dès maintenant des standards robustes et interopérables comme C2PA.