La structure de l'AI Act en 2026

AI Act est la première réglementation horizontale complète de l'intelligence artificielle dans le monde. Son architecture à niveaux de risque est la clé pour comprendre quelles obligations s'appliquent à quels systèmes.

Les niveaux de risque

Le règlement classe les systèmes d'IA en quatre niveaux selon le risque qu'ils présentent :

• Systèmes interdits — pratiques totalement interdites, notamment les techniques subliminales manipulatrices, l'exploitation des vulnérabilités, la notation sociale par les autorités publiques et certaines formes de catégorisation biométrique et de reconnaissance des émotions
• Systèmes à haut risque — systèmes utilisés dans des contextes à enjeux élevés spécifiés, soumis à l'essentiel des obligations substantielles du règlement, notamment la gestion des risques, la gouvernance des données, la transparence, la supervision humaine et les exigences de précision
• Systèmes à risque limité — systèmes avec des obligations de transparence spécifiques, notamment la plupart des recommandateurs de contenu basés sur l'IA et les chatbots qui interagissent directement avec les utilisateurs
• Systèmes à risque minimal — tout le reste, soumis uniquement aux codes de conduite volontaires généraux

Où se situent la publicité et les systèmes de recommandation

La plupart des IA orientées publicité — notation d'audience, optimisation des enchères programmatiques, recommandateurs de contenu, moteurs de personnalisation — se situe dans le niveau de risque limité plutôt que dans le niveau de risque élevé. Cela semble rassurant, mais le niveau de risque limité porte toujours des obligations de transparence significatives, et plusieurs cas limites poussent des systèmes spécifiques vers des niveaux supérieurs. Surtout, les règles relatives aux pratiques interdites peuvent atteindre les systèmes publicitaires s'ils franchissent dans le territoire de la manipulation ou de l'exploitation, et l'EDPB a signalé sa volonté d'interpréter ces dispositions de manière large.

Le phasage

Le calendrier 2026 est important : les obligations à haut risque pour les nouveaux systèmes entrent en vigueur en août 2026, les obligations à haut risque pour les systèmes déjà sur le marché entrent en vigueur en 2027, et les obligations des fournisseurs d'IA à usage général sont déjà en vigueur. Les éditeurs et les annonceurs devraient cartographier leur inventaire d'IA par rapport à ce calendrier pour savoir quelles obligations s'appliquent quand.

Comment AI Act se superpose au GDPR

AI Act ne remplace pas le GDPR. Il se pose par-dessus. Un système qui traite des données personnelles pour produire des sorties basées sur l'IA doit satisfaire les deux régimes, et les obligations sont additives plutôt qu'alternatives.

La couche GDPR

Le GDPR continue de régir la licéité du traitement des données personnelles. Le consentement au profilage publicitaire, la base juridique pour la mesure, le groupe des droits des personnes concernées, les obligations de transfert transfrontalier — tout cela continue de s'appliquer sans changement.

La couche de l'AI Act

Par-dessus le GDPR, AI Act ajoute des obligations spécifiquement sur le système d'IA lui-même : comment il a été entraîné, quelles données ont servi à l'entraînement, comment ses sorties sont documentées, quels mécanismes de supervision existent, quelle transparence l'utilisateur reçoit. Ces obligations s'attachent au système d'IA indépendamment du fait que le traitement de données sous-jacent soit basé sur le consentement, sur un contrat ou sur une autre base juridique.

L'implication pratique

Un éditeur exploitant un recommandateur de contenu sur des données personnelles a besoin à la fois d'une base juridique GDPR valide pour le traitement des données et d'une divulgation de transparence conforme au titre de l'AI Act. L'un ou l'autre seul est insuffisant. La surface de conformité est maintenant véritablement bidimensionnelle, et la chaîne de documentation doit couvrir les deux axes.

Pratiques interdites et publicité

La liste des pratiques interdites du règlement est courte mais conséquente, et plusieurs entrées ont des implications pour la conception publicitaire.

Techniques manipulatrices

Le règlement interdit les systèmes d'IA qui déploient des techniques subliminales, des pratiques manipulatrices ou exploitent les vulnérabilités de groupes spécifiques de manière susceptible de causer un préjudice important. La plupart des conceptions publicitaires n'approchent pas cette ligne — mais la publicité qui cible des vulnérabilités identifiées (détresse financière, états de santé mentale, modes de dépendance) à l'aide d'un profilage basé sur l'IA pourrait la franchir. L'EDPB a signalé cela dans les premières orientations.

Catégorisation biométrique

Le règlement interdit la catégorisation biométrique qui infère des attributs sensibles tels que la race, l'opinion politique, l'appartenance syndicale, la conviction religieuse, la vie sexuelle ou l'orientation sexuelle. Les segments d'audience construits à partir de données biométriques qui infèrent ces attributs sont désormais en territoire interdit.

Reconnaissance des émotions dans des contextes spécifiques

La reconnaissance des émotions est interdite dans les contextes professionnels et éducatifs. Les cas d'utilisation de détection d'émotions publicitaires en dehors de ces contextes peuvent encore être permissibles mais font face à un examen accru.

Obligations de transparence à risque limité

C'est là que se situe l'essentiel du travail de conformité à l'AI Act des éditeurs et des annonceurs en 2026.

La divulgation du système de recommandation

Les recommandateurs de contenu qui personnalisent ce que voient les utilisateurs — que ce soit sur la page d'accueil d'un éditeur, dans un flux intégré à l'application ou dans un placement publicitaire programmatique — relèvent du niveau de risque limité. Les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA, et le système doit être conçu de sorte que la nature IA de l'interaction soit claire.

La divulgation du chatbot

Tout système d'IA qui interagit directement avec les utilisateurs sous forme conversationnelle doit divulguer sa nature IA. Les éditeurs et les annonceurs exploitant des interfaces de chat IA — pour le support client, la découverte de contenu ou tout autre objectif — doivent satisfaire cette ligne de base.

La divulgation de contenu synthétique

Les images, sons, vidéos et textes générés par l'IA doivent être identifiés comme tels. Les éditeurs utilisant des visuels ou du texte générés par l'IA dans le contenu éditorial, la création publicitaire ou les images de produits doivent appliquer les obligations de marquage. Les orientations de mise en œuvre de 2026 ont clarifié les spécifications techniques pour le marquage, notamment les normes de filigranage pour le contenu visuel.

La surface de consentement combinée en 2026

La CMP et l'avis de confidentialité doivent maintenant travailler pour les deux régimes. La CMP de l'éditeur 2026 est significativement plus élaborée que son prédécesseur de 2024.

Finalités de consentement granulaires

La CMP expose des finalités de consentement qui distinguent la publicité générale, le profilage publicitaire, la prise de décision automatisée et la personnalisation des recommandations. Chacune correspond à une limite spécifique de l'AI Act et du GDPR, et chacune nécessite son propre consentement affirmatif.

Divulgations du système d'IA

L'avis de confidentialité ou un document de divulgation d'IA complémentaire décrit les systèmes d'IA utilisés, leurs finalités, les catégories de données d'entrée, la logique générale des sorties et les mécanismes de supervision humaine en place. C'est plus que la divulgation de décision automatisée de l'article 22 du GDPR — c'est une histoire de transparence IA plus complète.

Le droit d'opposition

Le droit d'opposition au profilage du GDPR continue de s'appliquer, et AI Act ajoute d'autres droits des utilisateurs autour de la personnalisation des recommandations basée sur l'IA. Les utilisateurs peuvent se désinscrire de la personnalisation des recommandations sans perdre l'accès au service sous-jacent, et la désinscription doit être au moins aussi facile que l'inscription.

Modèles opérationnels qui fonctionnent en 2026

Les éditeurs et les annonceurs qui exécutent des programmes matures de 2026 convergent vers quelques modèles opérationnels.

L'inventaire d'IA

Maintenir un inventaire en direct de chaque système d'IA utilisé dans la pile de l'éditeur ou de l'annonceur : le système, son niveau de risque au titre du règlement, les données personnelles qu'il traite, sa base juridique au titre du GDPR, les divulgations de transparence qui lui sont appliquées et la supervision humaine en place. C'est l'artefact de conformité fondamental et c'est ce que les régulateurs demanderont à voir en premier.

L'avis de confidentialité combiné

Un avis de confidentialité et de transparence IA combiné unique — portugais, allemand, français ou quelle que soit la langue appropriée pour le public — qui aborde à la fois les obligations du GDPR et de l'AI Act dans un récit cohérent. Essayer de maintenir deux divulgations séparées invite aux contradictions et à la confusion du lecteur.

L'audit IA des fournisseurs

Pour chaque fournisseur de publicité ou d'analyse traitant des sorties basées sur l'IA pour le compte de l'éditeur, le contrat doit aborder la répartition des obligations au titre de l'AI Act, l'accès à la documentation technique et la notification des incidents. Les accords de traitement de données standard de 2023 ne traitent pas AI Act et doivent être actualisés.

Sanctions et posture d'application

AI Act introduit un régime de sanctions échelonnées avec des amendes administratives qui peuvent dépasser les maximums du GDPR.

Les niveaux de sanctions

• Jusqu'à EUR 35 millions ou 7 pour cent du chiffre d'affaires annuel mondial pour les violations de pratiques interdites
• Jusqu'à EUR 15 millions ou 3 pour cent pour la plupart des autres violations substantielles
• Jusqu'à EUR 7,5 millions ou 1 pour cent pour la fourniture d'informations incorrectes

L'architecture d'application

Chaque État membre désigne des autorités nationales compétentes pour l'application de l'AI Act, et le Bureau européen de l'IA coordonne la supervision des modèles d'IA à usage général. L'application contre les éditeurs et les annonceurs passera principalement par les autorités nationales, souvent en étroite coordination avec les autorités de protection des données existantes. Les premières actions d'application significatives de l'AI Act sont attendues courant 2026 à mesure que les obligations à haut risque entrent pleinement en vigueur.

Liste de contrôle d'audit pour la publicité basée sur l'IA en 2026

• Inventaire en direct de chaque système d'IA dans la pile avec classification par niveau de risque
• Base juridique GDPR documentée pour chaque système d'IA traitant des données personnelles
• Divulgations de transparence de l'AI Act appliquées à chaque système à risque limité, notamment la personnalisation des recommandations et les chatbots
• Marquage de contenu synthétique appliqué aux créations, images, sons et vidéos générés par l'IA
• Avis de confidentialité et de transparence IA combiné dans la langue locale pertinente
• La CMP expose le profilage, la prise de décision automatisée et la personnalisation des recommandations comme finalités à consentement séparé
• Les segments d'audience sont examinés par rapport à la liste de catégorisation biométrique interdite
• Contrats fournisseurs mis à jour pour aborder la répartition des obligations au titre de l'AI Act
• Mécanismes de supervision humaine documentés pour tout système qui approche la limite du risque élevé
• Le flux de travail des droits des personnes concernées et des utilisateurs au titre de l'AI Act peut répondre aux demandes de désinscription, d'explication et de révision humaine dans les fenêtres de réponse applicables

Les perspectives 2026

AI Act ne remplace pas le GDPR — il s'empile par-dessus, et la surface combinée est significativement plus élaborée que l'un ou l'autre régime seul. Pour les éditeurs et les annonceurs qui exploitent une personnalisation, un profilage, des systèmes de recommandation ou un contenu génératif basés sur l'IA, 2026 est l'année où l'architecture de conformité doit mûrir au-delà d'une posture GDPR pure. Ceux qui traitent AI Act comme une préoccupation future trouveront que l'avenir arrive plus vite que prévu, avec les autorités nationales qui émettent leurs premières actions d'application au cours de 2026 et jusqu'en 2027. Ceux qui construisent une conformité combinée dès le départ trouveront que l'architecture est payante : les obligations de transparence de l'AI Act, bien mises en œuvre, renforcent également l'histoire de consentement et de confiance du GDPR, et la discipline opérationnelle de maintenir un inventaire d'IA en direct s'avère utile bien au-delà de la conformité réglementaire.