L'union européenne interdit les deepfakes porno, mais repousse l’échéance jusqu’en 2027
Les députés européens ont voté jeudi à Bruxelles un durcissement sans précédent contre les dérives de l’intelligence artificielle. Sur la table : une interdiction totale des faux nus générés par IA, une obligation de « marquage » des contenus synthétiques et un calendrier qui laisse 16 mois de répit aux entreprises avant le premier coup de filet.
La mesure phare cible les images sexuelles fabriquées sans consentement. Désormais, tout système capable de créer ou retoucher un visage réel pour en faire un contenu pornographique sera banni, sauf s’il prouve qu’il a mis en place des « garanties techniques efficaces » pour bloquer la production. Un garde-fou que les eurodéputés estiment indispensable face à l’explosion de forums « nudify » et de réseaux de revenge porn automatisé.
Deux dates pour éviter le chaos juridique
Le timing est politique. Les régulateurs savent que les géants tech réclament de la visibilité. Résultat : la phase 1 ne concernera que les IA dites « à haut risque » – infrastructures critiques, reconnaissance faciale, recrutement, éducation – et démarrera le 2 décembre 2027. La phase 2, réservée aux dispositifs déjà encadrés par des normes sectorielles, attendra le 2 août 2028. Entre-temps, les fournisseurs ont jusqu’au 2 novembre 2026 pour intégrer des étiquettes invisibles dans tout contenu audio, vidéo ou texte généré par IA, afin d’en pister l’origine.
Le compromis fait grincer les ONG. Pour elles, repousser l’interdiction des deepfypes revient à offrir un quart supplémentaire aux plateformes pour continuer à monetiser la violence sexuelle numérique. « Chaque jour de retard, ce sont des milliers de victimes qui se retrouvent exposées sur Telegram ou Discord », assène EDRi, réseau européen de défense des droits numériques.
Pme et start-up, la variable d’ajustement
Autre arbitrage : les PME ne seront pas soumises aux mêmes contraintes de documentation que Microsoft ou Google. Le Parlement a validé un seuil de capitalisation boursière pour déclencher l’ensemble des obligations. Objectif : éviter d’étouffer les jeunes pousses tout en maintenant la pression sur les mastodontes. Le lobby DigitalEurope applaudit, les éditeurs open source crient à la trahison : ils estiment que le filtre va favoriser les modèles propriétaires, plus faciles à auditer.
Côté sanctions, le règlement reste flou. Aucun montant n’est inscrit dans le texte ; la Commission devra proposer des amendes proportionnées d’ici l’été. En coulisses, on évoque 7 % du chiffre d’affaires mondial, soit l’équivalent du RGPD. Le signal est clair : Bruxelles veut des « GDPR-like » à répétition pour financer son budget.
Les États membres ont six semaines pour formuler leurs réserves. Le Conseil, sous pression des industries françaises et allemandes, pourrait encore diluer certaines exigences. Mais le cap est pris : l’Europe devient le premier continent à criminaliser l’usage malveillant de l’IA, même si elle accepte de payer le prix d’un calendrier plus lent. Le délai de grâce expire le 2 décembre 2027. Après, plus d’excuse.