WeCheck360 – vers la page d'accueil

L'AI Act européen à partir du 2 août 2026 : ce qui s'applique désormais à votre site web. Une check-list pour les PME.

Mise à jour : juillet 2026 · Lecture : env. 6 minutes · Ne constitue pas un conseil juridique

Le 2 août 2026, le délai de grâce prend fin. À partir de ce jour, les obligations de transparence de l'article 50 du règlement européen sur l'IA (AI Act) s'appliquent, et les autorités de surveillance peuvent sanctionner les infractions par des amendes. Jusqu'ici, la législation sur l'IA était, pour la plupart des petites et moyennes entreprises, une affaire de grands groupes et de fournisseurs d'IA. Cela change maintenant, et à un endroit auquel beaucoup pensent en dernier : leur propre site web.

Si votre site héberge un chatbot IA, affiche des images générées par IA ou publie des textes sortis d'un générateur, vous devriez passer en revue les points suivants avant l'échéance. Cela prend environ une demi-heure.

Ce qui se passe le 2 août 2026

Le règlement européen sur l'IA (règlement (UE) 2024/1689) est en vigueur depuis août 2024, mais il entre en application par étapes. Les interdictions de certaines pratiques d'IA s'appliquent depuis février 2025, les règles pour les grands modèles d'IA à usage général depuis août 2025. Le 2 août 2026 arrive la partie qui concerne directement les exploitants de sites web : les obligations de transparence de l'article 50. Le même jour, les autorités de surveillance nationales entrent en fonction. Les exigences pour les systèmes à haut risque de l'annexe III, initialement prévues elles aussi pour cette date, ont été reportées par le Digital Omnibus au 2 décembre 2027 (l'annexe I au 2 août 2028) ; les obligations de transparence de l'article 50 ne sont pas concernées.

Pour un site web d'entreprise ordinaire, l'article 50 est la partie pertinente. Il régit les cas où les visiteurs doivent être informés de l'utilisation d'une IA.

Obligation 1 : le chatbot doit se faire connaître

Si un système d'IA interagit directement avec des personnes sur votre site, celles-ci doivent savoir qu'elles communiquent avec une IA (art. 50, par. 1). Au plus tard lors de la première interaction, de manière clairement reconnaissable. Une mention perdue quelque part dans les CGV ou les mentions légales ne suffit pas.

Le règlement prévoit une exception lorsque l'utilisation de l'IA est de toute façon évidente pour un utilisateur raisonnablement averti. Nous ne nous y fierions pas. Savoir si un tribunal jugera votre chatbot « manifestement IA », ce n'est pas une question que vous voulez tester. Une phrase dans la fenêtre de chat (« Vous discutez avec notre assistant IA ») ne coûte rien et règle la question.

Obligation 2 : les contenus IA. On raconte beaucoup de bêtises en ce moment.

Une rumeur circule sur le web : à partir d'août, chaque image IA et chaque texte IA devrait être signalé. Ce n'est pas ce que dit le règlement. L'article 50 distingue clairement les fournisseurs, c'est-à-dire les fabricants des outils d'IA, et les déployeurs, c'est-à-dire les entreprises comme la vôtre qui utilisent ces outils.

Le fameux marquage lisible par machine des contenus générés par IA (art. 50, par. 2) est une obligation des fournisseurs. Elle vise les fabricants des générateurs d'images et de textes, pas leurs clients.

En tant que déployeur, vous devez informer dans deux cas (art. 50, par. 4). Premièrement, les hypertrucages (deepfakes) : des contenus image, audio ou vidéo générés ou manipulés par IA qui représentent de manière trompeuse des personnes, des lieux ou des événements réels. Deuxièmement, les textes générés par IA qui informent le public sur des questions d'intérêt public. Pour les textes, il existe toutefois une exception qui fait la différence pour la plupart des entreprises : si un humain a relu le contenu et qu'une personne physique ou morale assume la responsabilité éditoriale, l'obligation de signalement tombe.

En pratique : l'article de blog assisté par IA que votre équipe marketing a relu ne déclenche aucune obligation de signalement. La photo IA trompeusement réaliste d'une personne réelle, si. L'illustration IA générique de l'en-tête, entre les deux, ne relève d'aucune obligation du déployeur.

Obligation 3 : reconnaissance des émotions et catégorisation biométrique

Quiconque utilise des systèmes de reconnaissance des émotions ou de catégorisation biométrique doit en informer les personnes concernées (art. 50, par. 3). Sur les sites web d'entreprise, c'est rare. Cela devient pertinent avec des outils qui analysent des données de webcam ou des voix, par exemple dans certaines applications de recrutement vidéo ou d'analyse.

Ce que risquent les contrevenants

Les infractions à l'article 50 peuvent coûter jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (art. 99). Pour situer : les mises en demeure liées au RGPD de ces dernières années portaient le plus souvent sur quelques centaines d'euros par cas. Personne ne sait aujourd'hui avec quelle sévérité les autorités agiront envers les PME. Ce qui est certain, c'est qu'elles en auront le droit à partir du 2 août.

Parallèlement, le RGPD continue de s'appliquer sans changement. Un chatbot IA qui traite des données personnelles a toujours besoin d'une base légale, d'un contrat de sous-traitance avec le fournisseur de l'outil et d'une mention dans la politique de confidentialité. L'AI Act vient s'ajouter, il ne remplace rien.

Et les entreprises suisses ?

La Suisse n'est pas membre de l'UE, et l'AI Act n'est pas du droit suisse. Mais il porte au-delà de la frontière : le règlement s'applique aussi aux entreprises hors UE lorsque leurs systèmes d'IA sont mis sur le marché de l'UE ou que les résultats produits par le système sont utilisés dans l'UE (art. 2). Si votre site web cible délibérément des clients dans l'UE, ne classez pas les obligations ci-dessus comme un sujet purement européen. Le RGPD fonctionne ainsi depuis longtemps : il s'applique aux entreprises hors UE qui proposent des biens ou des services à des personnes dans l'UE. Et la nouvelle loi suisse sur la protection des données (nLPD) ajoute son propre niveau national.

La check-list : savoir où vous en êtes en 30 minutes

  1. Dresser l'inventaire IA de votre site web. Quelles fonctions d'IA sont intégrées ? Chatbot, widget de recommandation, recherche IA, traduction automatique, images ou textes générés par IA. Les outils tiers achetés comptent aussi.
  2. Vérifier la mention du chatbot. Votre widget de chat dit-il clairement à l'utilisateur, dès la première interaction, qu'il parle avec une IA ?
  3. Passer en revue vos images IA. L'une d'elles montre-t-elle des personnes, des lieux ou des événements réels de manière trompeuse ? Alors il faut la signaler. Les illustrations IA génériques peuvent rester telles quelles.
  4. Classer vos textes IA. Publiez-vous des textes IA sur des sujets d'intérêt public ? Alors assurez une relecture éditoriale ou signalez-les.
  5. Mettre à jour la politique de confidentialité. L'utilisation de l'IA y figure-t-elle ? Des contrats de sous-traitance existent-ils avec les fournisseurs d'IA ?
  6. Clarifier les responsabilités. Quelqu'un en interne devrait suivre l'utilisation de l'IA et l'évolution du droit. Le déploiement de l'AI Act se poursuit jusqu'en 2027.
  7. Contrôler régulièrement, pas une seule fois. Les sites web changent. Un nouveau plugin ou une landing page de campagne peut intégrer de nouveaux services d'IA ou traceurs sans que personne ne s'en aperçoive.

Honnêtement : le point 1 est le piège. Ce que votre site charge réellement, vous ne le voyez pas de l'extérieur.

Savoir où en est votre site. Avant le 2 août.

Le scan teaser gratuit de WeCheck360 vérifie votre site en quelques minutes sur le RGPD et l'AI Act à la fois : services d'IA détectés, tracking, consentement aux cookies, obligations de transparence. Vous voyez immédiatement votre score et le nombre de constats. Juste une URL et un e-mail, sans abonnement.

Vérifier mon site gratuitement

Questions fréquentes

L'AI Act s'applique-t-il aussi aux petites entreprises ?

Oui. Les obligations de transparence de l'article 50 ne prévoient aucune exception selon la taille de l'entreprise. Ce qui compte, c'est qu'un système d'IA concerné soit utilisé, pas le nombre de salariés.

Dois-je signaler les textes ChatGPT sur mon site web ?

Le plus souvent, non. Tant qu'un humain relit les textes et que votre entreprise assume la responsabilité de la publication, l'exception de l'art. 50, par. 4 s'applique. Cela ne devient sensible que si des textes IA sur des sujets d'intérêt public sont publiés sans relecture.

Ma bannière cookies ne suffit-elle pas ?

Non. Le consentement aux cookies (RGPD/ePrivacy) et la transparence sur l'IA (AI Act) sont deux chantiers distincts. Une bannière cookies ne dit rien du fait que votre chat fonctionne avec une IA.

Comment savoir quels services d'IA mon site charge ?

Souvent, on ne le sait pas, et c'est là le vrai problème. De nombreux sites chargent des services d'IA et de suivi via des scripts tiers, sans que l'exploitant en ait connaissance. Un scan automatisé rend visible ce qui est réellement chargé.

Mise à jour : juillet 2026. Cet article a fait l'objet d'une relecture éditoriale et ne constitue pas un conseil juridique. Pour votre cas particulier, adressez-vous à un cabinet spécialisé ou à votre délégué à la protection des données.

Sources :