Actualité AI Act 2026 : calendrier, sanctions et guidelines

8 mai 2026 — AI Act : consultation transparence (Art. 50) ouverte jusqu'au 3 juin 2026

La Commission europeenne a ouvert le 8 mai 2026, sur le portail digital-strategy.ec.europa.eu, une consultation ciblee sur le projet de lignes directrices relatives aux obligations de transparence prevues a l'article 50 du reglement (UE) 2024/1689 etablissant des regles harmonisees concernant l'intelligence artificielle (AI Act). La consultation est ouverte jusqu'au 3 juin 2026 et seules les reponses transmises via le questionnaire en ligne seront prises en compte. Sont vises les fournisseurs et les deployeurs de systemes d'IA qui interagissent avec des personnes physiques ou qui generent des contenus synthetiques, y compris les hypertrucages (deepfakes). Operationnellement, les fournisseurs devront informer l'utilisateur qu'il interagit avec une IA et integrer dans les systemes d'IA generative un marquage lisible par machine permettant la detection des contenus generes ou manipules ; les deployeurs devront informer les personnes exposees a des deepfakes, a des publications d'IA traitant de questions d'interet public ainsi qu'a des systemes de reconnaissance des emotions ou de categorisation biometrique. Les regles deviendront applicables le 2 aout 2026. Ces lignes directrices viennent en complement du Code de bonnes pratiques sur la transparence des contenus generes par IA, en cours de finalisation en parallele.

Ce que ca change pour vous : si vous deployez des chatbots, des outils d'IA generative ou des dispositifs biometriques, cartographiez d'ici fin mai 2026 les interactions et contenus concernes par l'article 50, et profitez de la consultation Have-Your-Say pour remonter vos cas d'usage avant le 3 juin 2026. Deepfakes : cadre juridique en France — Classification des risques IA : 4 niveaux du AI Act — AI Act calendrier : dates cles d'application

7 mai 2026 — CAISI : accords de tests pre-deploiement avec Google DeepMind, Microsoft et xAI

Le Center for AI Standards and Innovation (CAISI), division du National Institute of Standards and Technology (NIST) au sein du Departement americain du Commerce, a annonce le 6 mai 2026 la signature d'accords avec Google DeepMind, Microsoft et xAI lui permettant d'evaluer leurs modeles d'IA avant mise en service publique, rapporte CSO Online le 7 mai 2026. Ces accords prolongent ceux deja signes avec Anthropic et OpenAI sous l'administration Biden, lorsque CAISI etait connu sous le nom d'AI Safety Institute. Le centre indique vouloir mener « des evaluations de pre-deploiement et des recherches ciblees afin de mieux apprehender les capacites des IA frontieres et de faire progresser l'etat de l'art en matiere de securite IA ». Pour les responsables de traitement europeens, l'enjeu est triple. D'une part, ces evaluations devraient nourrir les rapports publics que les fournisseurs de modeles d'usage general (GPAI) doivent transmettre au Bureau europeen de l'IA au titre de l'article 55 du reglement (UE) 2024/1689 lorsque le modele presente un risque systemique. D'autre part, la documentation produite cote americain pourra alimenter la documentation technique exigee par l'article 53 de l'AI Act pour les modeles GPAI integres dans des systemes europeens. Enfin, ces accords confirment la convergence vers une evaluation systematique des risques, en parallele de la recente intersection avec l'AI Safety Institute britannique.

Ce que ca change pour vous : si vous integrez un modele GPAI provenant de Google, Microsoft ou xAI, exigez du fournisseur la transmission des resultats des evaluations CAISI utiles a la documentation technique imposee par l'article 53 de l'AI Act, et tracez ces elements dans votre dossier de conformite. Documentation technique AI Act : exigences — EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle — Classification des risques IA : comprendre les 4 niveaux du AI Act

7 mai 2026 — AI Act : accord pour reporter les obligations haut risque au 2 decembre 2027

Les Etats membres de l'Union europeenne et le Parlement europeen sont parvenus dans la nuit du 6 au 7 mai 2026, apres neuf heures de negociation, a un accord provisoire sur le « Digital Omnibus on AI » qui amende le reglement (UE) 2024/1689 sur l'intelligence artificielle, rapporte Reuters via Cyprus Mail le 7 mai 2026. L'accord doit encore etre formellement endosse par le Conseil et le Parlement dans les prochains mois. Trois changements structurent le compromis. Premier point : les obligations applicables aux systemes d'IA a haut risque listes a l'annexe III (biometrie, infrastructures critiques, education, emploi, services essentiels, justice et police, processus democratiques) sont reportees du 2 aout 2026 au 2 decembre 2027. Deuxieme point : les machines deja couvertes par le reglement (UE) 2023/1230 « Machinery » sont exclues du champ direct de l'AI Act, ce qui repond a la demande de l'industrie d'une articulation sectorielle. Troisieme point : sont introduites des obligations nouvelles applicables des le 2 decembre 2026, notamment l'interdiction des applications « nudifier » generant des contenus sexuels non consentis et le marquage obligatoire des contenus generes par IA (watermarking). Le texte conserve par ailleurs l'architecture des sanctions allant jusqu'a 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Pour memoire, en l'absence d'adoption formelle avant le 2 aout 2026, c'est la version originale de l'AI Act qui s'applique sans report.

Ce que ca change pour vous : ne suspendez pas vos travaux de cartographie des systemes haut risque ni votre documentation technique annexe IV — le report n'est ni acquis ni applicable a toutes les obligations, et l'interdiction des nudifiers comme le watermarking des contenus generes restent prevus pour le 2 decembre 2026. AI Act calendrier : dates cles d'application — IA a haut risque : liste des systemes et obligations — EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle

6 mai 2026 — Cinq editeurs attaquent Meta pour entrainement de Llama sur livres pirates

Hachette, Macmillan, McGraw Hill, Elsevier et Cengage ont depose une plainte collective le 5 mai 2026 devant la cour federale du district sud de New York contre Meta et son president Mark Zuckerberg, rapporte next.ink le 6 mai 2026. Les cinq groupes d'edition scolaire et scientifique reprochent au groupe d'avoir telecharge via torrent des millions de livres et d'articles sous copyright sur des bibliotheques clandestines (notamment LibGen) puis de les avoir utilises pour entrainer la famille de modeles Llama. Le scenario est analogue a l'action Kadrey c. Meta, mais l'envergure des plaignants change la portee : les editeurs disposent du catalogue, des moyens et des donnees d'usage pour caracteriser le prejudice. Pour les entreprises europeennes qui deploient des systemes d'IA generative, la plainte eclaire directement l'article 53 de l'AI Act, qui impose aux fournisseurs de modeles d'usage general une politique de respect du droit d'auteur et la publication d'un resume « suffisamment detaille » des contenus utilises pour l'entrainement. En France, 81 organisations culturelles ont par ailleurs reclame le 5 mai l'adoption rapide par l'Assemblee nationale de la proposition de loi venue du Senat instaurant une presomption d'exploitation des contenus culturels par les fournisseurs d'IA, ce qui inverserait la charge de la preuve.

Ce que ca change pour vous : si vous utilisez ou redistribuez un modele d'IA generative, exigez du fournisseur la documentation d'entrainement requise par l'article 53 de l'AI Act, conservez la trace de vos engagements contractuels sur l'origine des donnees, et anticipez l'inversion de charge de la preuve qui pourrait resulter de la proposition de loi francaise sur la presomption d'exploitation. EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle — IA et CNIL : recommandations pratiques 2025-2026 — Ethique de l'IA : cadre juridique et obligations

6 mai 2026 — Pennsylvanie c. Character.AI : un chatbot se serait fait passer pour un medecin

La procureure generale de Pennsylvanie a engage le 5 mai 2026 une action contre Character.AI, rapporte NPR, pour des conversations dans lesquelles le service de chatbots aurait laisse certains agents conversationnels se presenter comme des medecins ou psychologues et delivrer des conseils medicaux a des utilisateurs, dont des mineurs. La plainte vise a la fois la conception du service, l'absence de garde-fous explicites pour les personas a vocation sanitaire et le defaut d'avertissement clair sur la nature non humaine des interlocuteurs. Pour un responsable de traitement europeen, l'affaire eclaire deux exigences. D'une part, l'article 50 de l'AI Act impose, des le 2 aout 2026, qu'un systeme d'IA destine a interagir avec des personnes physiques signale explicitement son caractere artificiel ; le simple fait qu'un agent conversationnel puisse simuler une qualification professionnelle suffit a engager la responsabilite du fournisseur ou du deployeur. D'autre part, lorsque l'utilisateur revele un diagnostic ou un symptome, le traitement glisse dans le champ de l'article 9 du RGPD : sans base legale specifique et sans information adaptee, le traitement est interdit. La doctrine francaise rappelle deja cette intersection a propos des chatbots de soutien psychologique.

Ce que ca change pour vous : si votre chatbot peut etre amene a aborder des sujets de sante ou a endosser des personas evoquant une qualification professionnelle, ajoutez un disclaimer non contournable, refusez les requetes a portee diagnostique et tracez la base legale au titre des articles 9 RGPD et 50 AI Act. Chatbot et RGPD : obligations de conformite — IA et RGPD : les regles applicables au traitement par intelligence artificielle — EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle

6 mai 2026 — Apple : 250 M USD pour Siri, premier reglement majeur sur l'AI-washing

Apple a propose un reglement amiable de 250 millions de dollars, rapporte next.ink le 6 mai 2026, pour eteindre le recours collectif californien lance en 2025 contre Apple Intelligence. Les plaignants reprochent au constructeur d'avoir promu, dans des spots televises diffuses apres le lancement des iPhone 16 en septembre 2024, des capacites d'IA personnalisee (Siri 2.0, agregation multi-apps, comprehension contextuelle) qui, selon leur acte de procedure, « n'existaient pas a l'epoque, n'existent toujours pas, et n'existeront pas dans les deux prochaines annees ou plus ». ZDNet France relaye l'accord le 6 mai et souligne sa portee juridique : il s'agit du premier reglement americain d'envergure sur de la publicite trompeuse fondee sur des fonctionnalites d'IA non livrees. Pour les operateurs europeens, l'affaire prefigure le risque que recouvre l'article 50 de l'AI Act, qui impose aux fournisseurs de systemes d'IA generative et interactive une information claire de l'utilisateur sur les capacites reelles du systeme et sur le fait qu'il interagit avec une IA. La directive 2005/29 sur les pratiques commerciales deloyales reste par ailleurs pleinement applicable a la promotion de fonctionnalites IA inexistantes.

Ce que ca change pour vous : si vous deployez ou commercialisez un produit incluant de l'IA, alignez vos supports marketing sur les capacites effectivement deployees en production et conservez la trace des tests qui les documentent ; cette discipline est exigee tant par l'article 50 de l'AI Act que par le droit europeen de la consommation. EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle — AI Act calendrier : dates cles d'application — IA generative et donnees personnelles : cadre juridique applicable

5 mai 2026 — CNIL : 9 jeunes sur 10 utilisent une IA conversationnelle, alerte sante mentale

La CNIL et le Groupe VYV ont publie le 5 mai 2026 les resultats d'une enquete europeenne menee dans quatre pays (France, Allemagne, Espagne, Italie) sur les usages de l'IA conversationnelle par les jeunes. Pres de 9 jeunes sur 10 declarent utiliser un agent conversationnel en France, et pres d'un sur deux y aborde des sujets personnels relevant de la sante mentale (anxiete, harcelement, troubles alimentaires). La CNIL souligne que ces echanges generent un volume important de donnees particulierement sensibles au sens de l'article 9 du RGPD, traitees par des fournisseurs souvent etablis hors UE. L'autorite alerte sur trois risques operationnels : absence de base legale claire pour le traitement de donnees de sante revelees, defaut d'information adaptee au public mineur, et faiblesse des mecanismes de retention et d'effacement. L'enquete s'inscrit dans le cadre de l'EDPB et prefigure des controles coordonnes sur les chatbots grand public. Cette problematique recoupe les obligations d'evaluation des systemes d'IA a usage general prevues par l'AI Act.

Si vous deployez un chatbot accessible aux mineurs ou susceptible de collecter des donnees de sante, documentez la base legale, l'information adaptee a l'age et la duree de retention avant tout controle CNIL. IA et RGPD : les regles applicables — EU AI Act : guide complet

4 mai 2026 — AI Act : echec du trilogue, l'echeance d'aout 2026 maintenue

Les colegislateurs europeens se sont separes sans accord lors du trilogue du 28 avril 2026 sur la proposition omnibus de la Commission visant a reporter une partie des obligations de l'AI Act applicables aux systemes d'IA a haut risque. Selon Politico Europe relaye par l'EU AI Act Newsletter du Future of Life Institute, le projet aurait differe l'application a decembre 2027 et interdit les applications de denudation par IA, mais les negociateurs du Parlement et du Conseil ne sont pas parvenus a s'accorder sur le perimetre, en particulier sur le sort des machines et des dispositifs medicaux. Le centre-droit du Parlement, soutenu par l'Allemagne, souhaitait que ces produits restent regis par leur legislation sectorielle plutot que par l'AI Act ; plusieurs Etats membres et le centre-gauche s'y opposent. Aucune date de reprise n'a ete fixee. Consequence pratique : les obligations applicables aux systemes d'IA a haut risque mentionnes a l'article 6 et a l'annexe III de l'AI Act prennent effet le 2 aout 2026 comme prevu, sans report. Pour les responsables de traitement deployant des outils RH, biometriques, de scoring credit ou medicaux, l'analyse d'impact AI Act / RGPD doit etre prete a cette date.

Ce que ca change pour vous : ne misez plus sur un report et achevez avant aout 2026 la cartographie de vos systemes d'IA a haut risque, leur documentation technique (article 11 AI Act) et la coordination de votre AIPD (article 35 RGPD) avec le systeme de gestion des risques exige par l'article 9 de l'AI Act. EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle — AI Act calendrier : dates cles d'application — IA a haut risque : liste des systemes et obligations

3 mai 2026 — Five Eyes : guide commun sur le deploiement securise des agents IA

La CISA, la NSA, le NCSC-UK, l'ASD ACSC australien, le Centre canadien pour la cybersecurite et le NCSC neo-zelandais ont publie le 1er mai 2026 un guide commun intitule « Careful Adoption of Agentic AI Services », consacre au deploiement securise des agents IA en entreprise et dans les infrastructures critiques. Le document identifie cinq grandes familles de risques : risques de privileges, risques de conception et de configuration, risques comportementaux (desalignement d'objectifs, comportements trompeurs), risques structurels lies aux dependances entre composants, et risques de redevabilite et d'auditabilite. Les agences designent l'injection d'instruction (« prompt injection ») comme la menace la plus persistante, les modeles de langage ne pouvant pas distinguer de facon fiable une instruction legitime d'une donnee malveillante embarquee dans un document, un email ou une page web. Les recommandations operationnelles sont : deploiement incremental, supervision humaine effective, controles de chaine d'approvisionnement, et obligation organisationnelle qu'aucun agent ne soit deploye sans evaluation de risques cartographiant les outils accessibles, la sensibilite des donnees et le perimetre d'impact en cas de compromission. Ces exigences rejoignent l'article 32 du RGPD pour les systemes traitant des donnees personnelles et l'article 9 de l'AI Act sur la gestion des risques des systemes IA a haut risque.

Ce que ca change pour vous : avant de generaliser un agent IA en production, formalisez une analyse de risques cartographiant ses outils, ses canaux d'entree et ses privileges, et integrez les scenarios d'injection d'instruction a votre AIPD au titre de l'article 35 du RGPD. AIPD pour l'IA : quand et comment realiser une analyse d'impact — IA et RGPD : les regles applicables au traitement par intelligence artificielle — EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle

2 mai 2026 — Okta : les agents IA exfiltrent des identifiants quand leur canal est detourne

Le rapport « Phishing the agent: Why AI guardrails aren't enough », publie par Okta Threat Intelligence et relaye le 1er mai 2026 par CSO Online, documente plusieurs scenarios dans lesquels des agents IA deployes en entreprise ont divulgue des donnees sensibles, contourne leurs propres garde-fous ou transmis des identifiants a un attaquant via un canal de messagerie tiers. Dans l'un des tests, un assistant IA agentique configure pour piloter le poste de travail d'un utilisateur a accepte, apres detournement du compte de messagerie servant de canal de commande, de retrouver et d'afficher un jeton OAuth. Le rapport souligne que les garde-fous evalues en mode chatbot isole ne tiennent plus une fois que l'agent dispose d'acces aux fichiers, navigateurs, comptes et credentials de l'utilisateur. Cette typologie de risque rejoint les obligations de l'article 32 du RGPD et l'article 9 de l'AI Act sur la gestion des risques pour les systemes a haut risque : un agent intelligent qui mediatise l'acces a des donnees personnelles doit faire l'objet d'une analyse specifique de surface d'attaque et d'une journalisation effective des actions sensibles, sous peine de transferer un risque non maitrise au responsable de traitement.

Ce que ca change pour vous : avant de deployer un agent IA enterprise, cartographiez ses canaux de commande, appliquez le principe du moindre privilege a ses credentials, et integrez les scenarios de detournement de canal a votre AIPD au titre de l'article 35 du RGPD. AIPD pour l'IA : quand et comment realiser une analyse d'impact — IA et RGPD : les regles applicables au traitement par intelligence artificielle — EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle

30 avril 2026 — Doctrine.fr : son IA juridique invente le sens d'une decision de la CEDH

L'IA de Doctrine.fr, qui se presente comme la premiere plateforme d'intelligence artificielle juridique francaise, a affirme dans une reponse a un utilisateur que la Cour europeenne des droits de l'homme avait "rejete" la requete d'un plaidant alors que la CEDH l'avait au contraire accueillie et que la France avait ete condamnee a verser des indemnites. L'erreur, reperee par une contributrice de Wikipedia et documentee par Next, intervient au moment ou Doctrine.fr est en negociations pour un rachat par le britannique RELX, et alors que l'editeur revendique des hallucinations "residuelles" sur ses benchmarks. L'affaire illustre un risque concret pour les professionnels du droit qui utilisent ces outils sans verification systematique des sources : la responsabilite civile et deontologique reste a la charge de l'avocat ou du juriste qui s'appuie sur la synthese generee. Sur le terrain de l'AI Act, les systemes d'IA destines a aider les autorites judiciaires ou les professions juridiques relevent des categories sensibles encadrees par les obligations de transparence (article 50 AI Act) et, pour certains usages, par les exigences applicables aux systemes a haut risque (article 6 et annexe III).

Ce que ca change pour vous : si votre cabinet ou votre direction juridique utilise un outil d'IA pour la recherche, exigez une politique ecrite de verification systematique des citations et conservez la source primaire avant tout usage en conseil ou contentieux. IA generative et donnees personnelles : cadre juridique — IA a haut risque : liste des systemes et obligations — EU AI Act : guide complet du reglement europeen

29 avril 2026 — Grece : la HDPA juge illicite le Smart Policing par reconnaissance faciale

L'autorite grecque de protection des donnees (HDPA) a juge illicite le programme "Smart Policing" deploye par la police hellenique, dote de 4 millions d'euros et integrant des technologies d'intelligence artificielle, dont un module de reconnaissance faciale. La decision, relayee par EDRi et son membre Homo Digitalis a l'origine de la plainte, confirme des annees d'avertissements sur l'absence de base legale claire et l'inadequation des garanties. L'affaire illustre l'articulation entre la directive police-justice 2016/680, le RGPD et l'AI Act : la reconnaissance faciale dans les espaces publics, lorsqu'elle est utilisee a des fins repressives, rentre dans la categorie des systemes interdits ou strictement encadres par l'article 5 et les annexes III de l'AI Act. Pour les autorites publiques francaises et leurs prestataires (videosurveillance augmentee, reconnaissance biometrique sur le terrain), la decision grecque enrichit le corpus europeen d'AIPD obligatoires (article 35 RGPD) avant tout deploiement et de bases legales documentees. Elle rejoint la jurisprudence de la CNIL sur les experimentations biometriques.

Ce que ca change pour vous : tout projet integrant reconnaissance faciale ou IA biometrique impose une AIPD documentee, une base legale solide et une consultation prealable de l'autorite si les risques residuels sont eleves. IA et videosurveillance : cadre RGPD et AI Act — AIPD pour l'IA : quand et comment realiser une analyse d'impact — Une proposition de loi veut interdire la biometrie

29 avril 2026 — AI Act : echec du trilogue sur l'Omnibus, reprise en mai

Les representants des Etats membres et du Parlement europeen n'ont pas trouve d'accord, le 28 avril 2026, sur la revision de l'AI Act portee par la Commission dans son paquet Digital Omnibus, selon une depeche Reuters relayee notamment par Yahoo Finance. Les negociations, ouvertes a 11h GMT, ont ete suspendues apres une douzaine d'heures de discussions, achoppant sur la portee des exemptions reclamees pour les secteurs deja couverts par une reglementation produit (securite des produits, dispositifs medicaux, machines, etc.). Les representants insistent pour que ces secteurs soient soustraits aux obligations supplementaires de l'AI Act, ce que plusieurs groupes politiques refusent en denoncant un affaiblissement du regime des systemes a haut risque. Le Digital Omnibus vise a simplifier plusieurs textes numeriques pour alleger la charge des entreprises europeennes face a leurs concurrents americains et asiatiques ; il modifie notamment l'AI Act dont l'entree en vigueur etait echelonnee a partir de 2026. Les discussions doivent reprendre courant mai. Dans l'attente de l'adoption d'un compromis, le reglement (UE) 2024/1689 demeure applicable dans sa redaction actuelle, et les fournisseurs de systemes d'IA listes a l'annexe III doivent continuer de preparer leur conformite aux obligations des articles 6, 9 et 11 de l'AI Act.

Ce que ca change pour vous : ne suspendez pas vos chantiers de conformite AI Act tant que le compromis Omnibus n'est pas adopte ; continuez a documenter la classification de vos systemes d'IA, le systeme de gestion des risques (art. 9) et la documentation technique (art. 11) sur la base du texte en vigueur. EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle — AI Act calendrier : dates cles d'application — Classification des risques IA : comprendre les 4 niveaux du AI Act

28 avril 2026 — IA générative et droit d'auteur : Alain Bensoussan plaide la refonte

Dans le numéro 96 de Planète Robots (mars-avril 2026), l'avocat Alain Bensoussan consacre une chronique à la confrontation entre droit d'auteur et IA générative. L'auteur distingue deux régimes : lorsque l'IA reste un outil au service d'un créateur humain, le droit d'auteur classique s'applique ; lorsque la machine produit seule à partir d'une instruction, la qualification d'œuvre protégeable vacille faute d'auteur identifiable. La chronique souligne aussi la question des données d'entraînement, en général utilisées sans consentement explicite des ayants droit, et appelle à un nouvel équilibre entre innovation et rémunération. Ce débat doctrinal s'articule avec les obligations de transparence sur les corpus d'entraînement prévues par l'AI Act pour les modèles à usage général.

Ce que ça change pour vous : documenter dans votre registre IA les sources de données d'entraînement et la chaîne d'autorisations d'usage, en anticipation des exigences de transparence de l'AI Act. EU AI Act : guide complet du règlement européen — IA et RGPD : les règles applicables au traitement par IA — Deepfakes : cadre juridique en France

27 avril 2026 — Mythosready : 250 RSSI publient un plan face aux vulnérabilités IA

Le SANS Institute et la Cloud Security Alliance (CSA) ont publié, le 12 avril 2026, un rapport intitulé « La tempête de vulnérabilités liées à l'IA : créer un programme de sécurité Mythosready », rédigé en un week-end par plus de 60 contributeurs et relu par plus de 250 responsables de la sécurité des systèmes d'information (RSSI / CISO). Next.ink en livre une synthèse le 27 avril 2026 dans le troisième volet de sa série consacrée aux IA agentiques. Le document a été publié dans la foulée de l'annonce, le 7 avril 2026, de Mythos Preview, l'IA spécialisée en cybersécurité d'Anthropic, accessible à une cinquantaine d'entreprises et organismes du projet Glasswing : Anthropic devra communiquer dans 90 jours les résultats des vulnérabilités identifiées. Parmi les signataires figurent Jen Easterly, ex-directrice de la CISA américaine, Chris Inglis, premier National Cyber Director des États-Unis et ancien numéro 2 de la NSA, Rob Joyce, ex-patron de l'unité Tailored Access Operations (TAO) puis directeur de la cybersécurité de la NSA. Le rapport propose un cadre opérationnel structuré en mesures immédiates, priorités à court terme et changements à long terme pour des organisations « qui doivent se présenter lundi matin avec un plan crédible ». Pour les entreprises soumises à l'article 32 du RGPD ou à l'article 21 de la directive NIS2, cette doctrine fournit une grille de lecture utile pour la gestion des vulnérabilités, la priorisation des correctifs et la coordination avec les fournisseurs de logiciels au regard du règlement IA européen.

Ce que ça change pour vous : intégrez dès maintenant la doctrine Mythosready à votre programme de gestion des vulnérabilités, en rapprochant la cadence patch / SBOM / test d'intrusion de la fenêtre des 90 jours annoncée par Anthropic, et confrontez votre dispositif à l'article 32 du RGPD et à l'article 21 NIS2. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

25 avril 2026 — CERT-FR : alerte sur les agents IA sur poste de travail

Le CERT-FR, dependant de l'ANSSI, a publie le bulletin d'actualite CERTFR-2026-ACT-016 consacre aux vulnerabilites et risques des produits d'automatisation par IA agentique sur les postes de travail. Le rapport vise explicitement OpenClaw, Claude Cowork et plus largement les assistants autonomes capables d'executer des commandes, de piloter le navigateur, de lire et d'ecrire des fichiers, de gerer la messagerie ou l'agenda a partir d'instructions textuelles recues via Slack, WhatsApp, Discord ou tout canal connecte. Le CERT-FR considere que ces solutions ne doivent pas etre deployees en environnement de production en l'etat : un agent qui orchestre des outils capables d'agir au niveau du systeme d'exploitation augmente significativement le risque de compromission, notamment via l'injection de prompts ou le detournement de messages, avec exfiltration de donnees a la cle. L'agence recommande de cantonner ces assistants a des environnements de test isoles, sans donnees sensibles, de limiter strictement les outils et canaux accessibles, d'imposer une invocation explicite (mentions @) et de soumettre toute commande systeme a une validation humaine. Pour les responsables de traitement, cette mise en garde rejoint les exigences de securite de l'article 32 du RGPD : tout deploiement non encadre d'un agent IA susceptible d'acceder a des donnees personnelles expose a un risque qualifie de violation au sens de l'article 33 du RGPD.

Ce que ca change pour vous : avant tout deploiement d'un assistant IA agentique sur les postes de votre organisation, documentez une AIPD, restreignez les outils accessibles et interdisez explicitement les usages sur donnees clients tant qu'une revue de securite n'a pas ete conduite. Sécurité des données personnelles : les obligations de l'article 32 du RGPD — AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et RGPD : les règles applicables au traitement par intelligence artificielle

24 avril 2026 — ICO (UK) : consultation sur les décisions automatisées et l'IA en recrutement

L'Information Commissioner's Office (ICO) britannique a lance le 31 mars 2026 une consultation publique sur un projet de guide consacre aux decisions automatisees, y compris le profilage, accompagne d'un rapport sectoriel sur l'usage de ces systemes en recrutement. La consultation, rapportee le 24 avril par Covington Inside Privacy, reste ouverte jusqu'au 29 mai 2026. Le projet est la premiere interpretation detaillee par l'ICO de la reforme introduite par le Data (Use and Access) Act : les decisions automatisees passent formellement d'une interdiction assortie d'exceptions a un droit de contestation assorti de garanties. L'ICO retient une lecture large de la notion de 'decision' et integre au perimetre les systemes dont l'impact depend du contexte (gel de compte bancaire, refus de service). Le regulateur reaffirme l'exigence d'une intervention humaine significative, precisant qu'un humain ayant concu l'algorithme ne constitue pas en soi un controle humain. Il prohibe l'usage de la nouvelle base legale d''interet legitime reconnu' pour les traitements entierement automatises, et rappelle l'obligation d'AIPD. Le rapport recrutement recoupe directement le classement en systeme d'IA a haut risque de l'annexe III de l'AI Act pour les outils de tri de candidatures. Pour les entreprises francaises qui utilisent ces solutions, le regime de l'article 22 du RGPD reste le cadre applicable, mais les grilles d'analyse de l'ICO prefigurent les questions que la CNIL posera en cas de controle.

Ce que ca change pour vous : si vous utilisez un outil algorithmique de tri de candidatures ou de scoring client, documentez l'intervention humaine reelle, la base legale retenue et l'AIPD avant votre prochain audit. Décisions automatisées : article 22 RGPD — IA et recrutement : cadre légal et discrimination — AIPD pour l'IA : quand et comment réaliser une analyse d'impact

23 avril 2026 — AEPD : lignes directrices sur la transcription vocale par IA et le RGPD

L'Agence espagnole de protection des données (AEPD) a publié le 20 avril 2026 des lignes directrices sur la conformité RGPD des outils de transcription vocale alimentés par intelligence artificielle. Le document, relayé par Covington Inside Privacy le 22 avril 2026, prolonge une première note publiée en janvier 2026. L'AEPD confirme que la voix constitue généralement une donnée à caractère personnel, sauf anonymisation effective ou voix purement synthétique, et rappelle que les métadonnées et le contenu transcrit peuvent également être personnels. L'organisation qui déploie un outil de transcription (interne ou tiers) agit comme responsable de traitement au sens du RGPD, avec les obligations associées : choix diligent du fournisseur, information claire sur les traitements ultérieurs, garanties de confidentialité, mesures de sécurité, réentraînement des modèles, durées de conservation et minimisation, et respect de l'article 28 pour les contrats de sous-traitance. L'AEPD impose une approche par les risques autour de quatre axes opérationnels : gouvernance continue, transparence active pendant l'enregistrement (indicateur visible, signal sonore ou lumineux), due diligence renforcée sur les fournisseurs, et gestion proactive des erreurs de transcription. Les outils qui infèrent des émotions, des opinions, des données de santé ou des identifiants biométriques relèvent par ailleurs des systèmes d'IA à haut risque voire des pratiques interdites au sens du règlement IA européen.

Ce que ça change pour vous : si vos équipes utilisent la transcription vocale par IA (prise de notes en réunion, support client, comptes rendus médicaux), cartographiez le traitement au registre, vérifiez la base légale, l'information des personnes, les clauses article 28 du sous-traitant et la durée de conservation, et réalisez une AIPD si vous inférez des caractéristiques sensibles ou traitez des volumes importants. IA et CNIL : recommandations pratiques 2025-2026 — AIPD : guide complet analyse d'impact RGPD (2026) — Registre des systèmes IA : obligation et modèle

22 avril 2026 — Meta : surveillance clics/clavier des salariés pour entraîner ses IA

Silicon.fr a relayé le 22 avril 2026 une note interne de Meta annonçant à ses salariés américains, le 21 avril, le déploiement d’un outil baptisé « Model Capability Initiative » (MCI). L’outil enregistre les mouvements de souris, les clics, les frappes au clavier et des captures d’écran ponctuelles sur une liste définie d’applications professionnelles (Gmail, GChat, Metamate, VSCode), uniquement sur les ordinateurs fournis par l’entreprise, pour alimenter les modèles d’IA maison en données comportementales. D’après Business Insider, cité par Silicon, le CTO Andrew Bosworth a indiqué aux salariés qu’il n’existe pas de mécanisme d’opt-out. Le programme est limité, pour l’instant, au territoire américain. Dans l’Union européenne, un dispositif équivalent soulèverait la question de la base légale de l’article 6 du RGPD, de la minimisation au sens de l’article 5, et des garanties spécifiques au contexte professionnel prévues à l’article 88. La doctrine de la CNIL et du CEPD en matière de surveillance des salariés impose une information préalable détaillée (article 13), la consultation des instances représentatives, et une AIPD (article 35) en raison de la surveillance systématique à grande échelle. L’usage de ces données pour entraîner un modèle d’IA ajoute une finalité distincte, soumise au principe de limitation des finalités et susceptible d’ouvrir des obligations au titre du règlement IA européen.

Ce que ça change pour vous : avant d’envisager un tel dispositif sur les postes de vos collaborateurs en Europe, définissez une base légale défendable, réalisez une AIPD détaillée, consultez le CSE et prévoyez explicitement une finalité distincte pour tout réemploi des données à des fins d’entraînement de modèles. Données personnelles et droit du travail — AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et RGPD : les règles applicables au traitement par intelligence artificielle

22 avril 2026 — Mozilla : Mythos (Anthropic) trouve et corrige 271 failles dans Firefox

Mozilla a annoncé, via une publication de Wired du 21 avril 2026 et une intervention publique de sa CTO relayée le 22 avril par The Register, avoir utilisé l’outil « Mythos » d’Anthropic pour détecter et corriger 271 vulnérabilités dans le code source de Firefox. Selon la fondation, aucune des failles identifiées n’aurait été hors de portée d’un analyste humain expérimenté ; la contribution essentielle du modèle réside dans la mise à l’échelle de la revue de code et dans la réduction du délai entre l’introduction d’une régression et sa correction. Cet usage défensif contraste avec l’alerte publiée le 15 avril 2026 par l’Institut britannique de sécurité de l’IA, qui avait souligné les capacités cyber-offensives de Mythos et de GPT-5.4-Cyber. Pour les responsables de traitement et les entités essentielles ou importantes au sens de la directive NIS2, l’épisode illustre que les obligations de sécurité de l’article 32 du RGPD et de gestion des vulnérabilités de l’article 21 de la directive NIS2 peuvent désormais s’appuyer sur des outils d’IA défensifs industrialisables. Les fabricants soumis au Cyber Resilience Act (CRA) devront intégrer ces moyens dans leur processus de traitement des vulnérabilités au titre de l’article 13.

Ce que ça change pour vous : évaluez l’intégration d’outils d’IA de détection de vulnérabilités dans votre cycle de développement logiciel et votre gestion de correctifs, documentez les limites connues de ces outils dans votre analyse de risques, et tracez les décisions de correction ou de non-correction pour pouvoir les justifier à l’autorité de contrôle. RGPD et sécurité : les mesures techniques et organisationnelles exigées — Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires — IA et RGPD : les règles applicables au traitement par intelligence artificielle

20 avril 2026 — Royaume-Uni : alerte officielle sur les capacités cyber-offensives des IA

Le gouvernement britannique a publié le 15 avril 2026 une lettre ouverte alertant les entreprises sur les risques de cybersécurité posés par la nouvelle génération de modèles d'IA, en citant nommément Claude Mythos (Anthropic) et GPT-5.4-Cyber (OpenAI). Selon l'Institut britannique de sécurité de l'IA (rattaché au ministère des Sciences, de l'Innovation et de la Technologie), Claude Mythos serait « nettement plus performant en matière de cyberoffensive que tout autre modèle évalué jusqu'à présent » : ses capacités de détection de vulnérabilités et de génération de code d'exploitation ont conduit Anthropic et OpenAI à ne pas rendre ces modèles publics et à les réserver à des partenaires de confiance. L'exécutif souligne que ces outils permettent désormais d'accomplir à l'échelle des tâches qui relevaient jusqu'ici de compétences rares. Pour les responsables de traitement et les entités essentielles / importantes, ce constat renforce les exigences de gestion des vulnérabilités et de sécurité au titre de l'article 32 du RGPD et de l'article 21 de la directive NIS2, ainsi que les obligations de gestion des risques cyber des produits au titre de l'article 13 du Cyber Resilience Act.

Ce que ça change pour vous : intégrez dans votre analyse de risque l'hypothèse d'attaquants disposant de modèles d'IA capables d'automatiser la découverte de vulnérabilités et la génération d'exploits ; rehaussez la fréquence de vos scans, la rigueur du patch management et vos tests d'intrusion. RGPD et sécurité : les mesures techniques et organisationnelles exigées — Conformité NIS2 : checklist des 10 mesures de sécurité obligatoires — IA et RGPD : les règles applicables au traitement par intelligence artificielle

20 avril 2026 — AI Act Omnibus : haut risque repoussé à décembre 2027, trilogues ouverts

La proposition de règlement Omnibus AI Act (COM(2025) 836, Commission européenne, 19 novembre 2025) fait l'objet d'un suivi publié le 20 avril 2026 par In Cyber. Sur le plan procédural, le Conseil a arrêté sa position le 13 mars 2026 et le Parlement européen a adopté ses amendements le 26 mars 2026 ; les trilogues interinstitutionnels sont désormais ouverts. Le texte initial proposait de décaler l'entrée en application du régime des systèmes d'IA à haut risque pour une durée maximale de 16 mois, la Commission justifiant ce report par l'indisponibilité des normes harmonisées nécessaires à la mise en conformité. Conseil et Parlement convergent désormais sur un calendrier fixe : application au 2 décembre 2027 pour les systèmes à haut risque autonomes listés à l'annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, forces de l'ordre, justice, gestion des frontières) et au 2 août 2028 pour les systèmes à haut risque intégrés dans des produits relevant de la législation sectorielle de sécurité. Le Conseil reporte également au 2 décembre 2027 l'échéance de mise en place des bacs à sable réglementaires par les autorités nationales compétentes. Dans l'attente de l'adoption formelle du compromis, l'AI Act demeure applicable dans sa rédaction issue du règlement (UE) 2024/1689.

Ce que ça change pour vous — les fournisseurs de systèmes d'IA listés à l'annexe III (RH, scoring crédit, biométrie, éducation, etc.) disposent désormais d'une perspective de calendrier étendue jusqu'au 2 décembre 2027, mais doivent anticiper dès à présent la documentation technique, la gouvernance des données d'entraînement et le système de gestion des risques exigés aux articles 9 et 11 de l'AI Act. AI Act calendrier : dates clés d'application — IA à haut risque : liste des systèmes et obligations — Documentation technique AI Act : exigences

16 avril 2026 — CNIL-HAS : clôture de la consultation sur l'IA en santé

La consultation publique lancée conjointement par la CNIL et la Haute Autorité de Santé (HAS) sur le projet de guide « IA en contexte de soins » s'est clôturée le 16 avril 2026. Ce guide de bonnes pratiques comprend dix fiches couvrant l'ensemble du cycle de vie d'un système d'IA en établissement de santé — de l'acquisition à la désinstallation — ainsi que deux fiches transversales sur la gouvernance et les spécificités de l'IA générative. Il s'adresse aux professionnels et établissements de santé de toute taille, et vise à clarifier le cadre juridique applicable à l'intersection du RGPD, de l'AI Act et du code de la santé publique. Les associations de patients et fournisseurs de systèmes d'IA étaient également invités à contribuer.

Ce que ça change pour vous : les établissements de santé utilisant ou envisageant des systèmes d'IA doivent suivre la publication du guide définitif pour adapter leur gouvernance et leurs processus de conformité. IA et CNIL : recommandations pratiques 2025-2026 — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

13 avril 2026 — CNIL et ANSSI : premier atelier public de l'outil d'audit IA PANAME

La CNIL, l'ANSSI, le PEReN et Inria organisent le 13 avril 2026 un atelier hybride réunissant les acteurs ayant répondu à l'appel à manifestation d'intérêt pour tester la librairie PANAME (Privacy Auditing of AI Models). Cet outil open source, dont la publication est prévue à l'automne 2026, permettra de réaliser des tests d'extraction et de réidentification de données sur les modèles d'IA afin d'évaluer leur conformité au RGPD. Le projet vise à unifier la façon dont la confidentialité des modèles est évaluée, un enjeu majeur à l'approche de l'échéance haut risque de l'AI Act (2 août 2026).

Ce que ça change pour vous — Si vous entraînez ou déployez des modèles d'IA, surveillez la publication de PANAME à l'automne 2026 : cet outil deviendra probablement la référence pour les audits CNIL de conformité des modèles. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et CNIL : recommandations pratiques 2025-2026

11 avril 2026 — 127 ONG alertent : l'Omnibus UE menace le RGPD et l'AI Act

Amnesty International et 126 autres organisations de la société civile ont signé une lettre ouverte dénonçant les propositions de « simplification » de la Commission européenne. Présenté comme un allègement administratif, le paquet Omnibus modifierait en profondeur le RGPD et l'AI Act : redéfinition restrictive des données personnelles, assouplissement des exigences de consentement, exemptions spécifiques pour l'IA qui pourraient permettre aux grandes entreprises technologiques d'exploiter davantage de données personnelles pour l'entraînement des systèmes d'IA. Le report d'au moins un an des obligations clés de l'AI Act est également prévu. Les signataires dénoncent une tentative de « démantèlement déguisé » des protections numériques européennes.

Ce que ça change pour vous — Suivez attentivement l'évolution législative de l'Omnibus : si adopté, il pourrait modifier vos obligations de conformité RGPD et AI Act dès 2027. EU AI Act : guide complet — AI Act : calendrier d'application

9 avril 2026 — AI Act : le Parlement vote le report des obligations haut risque et l'interdiction des nudifiers

Le 26 mars 2026, le Parlement européen a adopté par 569 voix contre 45 le texte du Digital Omnibus sur l'IA, proposant de reporter l'application des obligations relatives aux systèmes d'IA à haut risque. Les systèmes autonomes (annexe III) verraient leur échéance repoussée du 2 août 2026 au 2 décembre 2027, et les systèmes intégrés à des produits réglementés (annexe II) au 2 août 2028. Ce report est justifié par le retard dans la finalisation des normes harmonisées et des outils de conformité. Le texte introduit également une interdiction explicite des systèmes de nudification par IA, qui génèrent des images intimes non consenties. Le Conseil avait adopté sa propre position le 13 mars. Les trilogues entre co-législateurs vont maintenant s'ouvrir.

Suivez de près les trilogues : la date définitive de mise en conformité haut risque pourrait reculer à fin 2027. Adaptez votre feuille de route IA en conséquence. Classification des risques IA : les 4 niveaux du AI Act — EU AI Act : guide complet du règlement européen sur l'IA

5 avril 2026 — Digital Omnibus : la Commission propose de modifier le RGPD et l'AI Act

Présentées le 19 novembre 2025, les deux propositions de règlement du « Digital Omnibus » continuent leur parcours législatif au Parlement européen et au Conseil. Les modifications envisagées pour le RGPD incluent l'exclusion des données pseudonymisées du champ d'application pour faciliter l'entraînement de modèles d'IA, l'intégration des règles cookies directement dans le RGPD avec l'obligation d'un mécanisme de refus aussi simple que l'acceptation, et l'interdiction de redemander le consentement pendant 6 mois après un refus. Côté AI Act, l'entrée en vigueur des obligations pour les systèmes à haut risque (prévue le 2 août 2026) serait reportée de 16 mois maximum. Le CEPD et le CEPD ont publié deux avis conjoints (1/2026 et 2/2026) alertant sur les risques d'affaiblissement des droits fondamentaux et d'insécurité juridique. L'adoption finale est attendue fin 2026, pour une application à partir de 2027-2028.

Ce que ça change pour vous : suivez attentivement les négociations du Digital Omnibus, qui pourraient modifier en profondeur vos obligations RGPD et IA dès 2027. RGPD : faut-il une case à cocher pour obtenir un consentement ? — RGPD : arrêtez de demander le consentement ! — Le consentement RGPD impose-t-il une case à cocher ?

5 avril 2026 — HAS et CNIL : guide IA en santé ouvert à consultation jusqu'au 16 avril

La Haute Autorité de santé (HAS) et la CNIL ont publié conjointement un projet de guide intitulé « IA en contexte de soins », soumis à consultation publique jusqu'au 16 avril 2026. Ce document de référence contient dix fiches pratiques couvrant l'ensemble du cycle de vie d'un système d'IA en milieu médical — de l'acquisition à la désinstallation — ainsi que deux fiches transversales sur la gouvernance et l'IA générative. Les recommandations distinguent les pratiques « standards » (à suivre dans la majorité des cas) et les pratiques « avancées » (pistes d'amélioration). Ce guide s'inscrit dans la convention de partenariat HAS-CNIL signée le 10 mars 2026 et anticipe l'entrée en application du Règlement IA (AI Act) pour les systèmes à haut risque en santé au 2 août 2026. La consultation est ouverte à l'ensemble des acteurs du secteur : établissements de santé, professionnels, associations de patients et fournisseurs de systèmes d'IA.

Ce que ça change pour vous — Si vous déployez ou envisagez un système d'IA en contexte clinique, participez à la consultation avant le 16 avril et utilisez les fiches pratiques comme grille d'auto-évaluation de votre conformité RGPD et AI Act. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — IA et RGPD : les règles applicables au traitement par intelligence artificielle

4 avril 2026 — AI Act : J-120 avant l'échéance haut risque du 2 août 2026

Le 2 août 2026 — dans quatre mois — les obligations de l'AI Act s'appliquent pleinement aux systèmes d'intelligence artificielle à haut risque visés à l'Annexe III du règlement. À cette date, les fournisseurs et déployeurs de systèmes d'IA à haut risque devront disposer d'une documentation technique complète, d'un système de gestion des risques opérationnel, d'une inscription dans la base de données européenne des systèmes d'IA à haut risque et, pour les systèmes commercialisés, du marquage CE. L'Annexe III couvre notamment : la biométrie, les infrastructures critiques, l'éducation et la formation, l'emploi et les ressources humaines, les services essentiels, l'application de la loi, la gestion des migrations et l'administration de la justice. Les sanctions pour non-conformité peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour les systèmes haut risque. Moins de 30 % des PME européennes ont entamé une démarche de conformité, selon les estimations sectorielles disponibles à ce jour.

Ce que ça change pour vous — Identifiez sans délai si vos systèmes d'IA relèvent de l'Annexe III de l'AI Act et engagez les travaux de documentation technique, gestion des risques et enregistrement européen pour être en conformité avant le 2 août 2026. EU AI Act : guide complet du règlement européen sur l'intelligence artificielle — IA à haut risque : liste des systèmes et obligations — Documentation technique AI Act : exigences

3 avril 2026 — CNIL : Rémi Stefanini nommé directeur des technologies et de l'IA

La CNIL a annoncé la nomination de Rémi Stefanini au poste de directeur des technologies, de l'innovation et de l'intelligence artificielle (DTIA) à compter du 15 avril 2026. Cette direction pilote les analyses techniques des systèmes IA, les audits de cookies, les travaux sur la portabilité des données et la participation aux instances du Bureau européen de l'IA. Son arrivée coïncide avec la montée en puissance des dossiers IA à la CNIL : enquêtes sur les modèles d'entraînement, mise en œuvre du plan stratégique 2025-2028 et instruction de dossiers relatifs à l'AI Act. Aucune information n'est disponible à ce stade sur les orientations techniques spécifiques qu'il imprimera au poste.

À suivre pour les organisations en dialogue avec la DTIA de la CNIL sur des projets IA ou des demandes d'avis techniques.

26 mars 2026 — AI Act : report des règles IA à hauts risques voté au Parlement européen

Le Parlement européen a adopté le 26 mars 2026, à 569 voix pour et 45 contre, sa position sur le paquet Digital Omnibus consacré à l'IA. Il propose de reporter l'application des règles relatives aux systèmes IA à hauts risques de l'annexe III du 2 août 2026 au 2 décembre 2027. Pour les systèmes relevant de l'annexe I (produits réglementés intégrant de l'IA), la date passerait du 2 août 2027 au 2 août 2028. Le Parlement introduit en parallèle une interdiction explicite des applications « nudifiers » générant des deepfakes à caractère sexuel. Les négociations inter-institutionnelles visent un accord final avant le 28 avril 2026. Concrètement, toute organisation dont le système IA relève de l'annexe III (recrutement, crédit, éducation, justice…) disposera d'un délai supplémentaire de 16 mois pour achever sa mise en conformité — sans que les obligations RGPD ni les interdictions en vigueur de l'Art. 5 AI Act soient remises en cause.

Vérifiez si vos systèmes IA relèvent de l'annexe III ou I de l'AI Act et révisez votre calendrier de conformité. AI Act calendrier : dates clés d'application — Classification des risques IA

3 avril 2026 — Reconnaissance faciale : 5 mois de détention pour erreur algorithmique aux É-U

Angela Lipps, 50 ans, a passé cinq mois en détention aux États-Unis après avoir été confondue avec une suspecte par un système de reconnaissance faciale. Arrêtée dans le Tennessee pour un crime commis à 2 000 km de là dans le Dakota du Nord, elle n'avait jamais mis les pieds dans cet État. L'affaire illustre les risques concrets des erreurs algorithmiques dans les systèmes biométriques utilisés par les forces de l'ordre. En droit européen, l'utilisation de données biométriques à des fins d'identification est strictement encadrée par l'Art. 9 RGPD, qui requiert une base légale explicite et, dans la plupart des cas, une analyse d'impact (AIPD). L'AI Act interdit l'identification biométrique en temps réel dans les espaces publics, sauf exceptions limitées (Art. 5(1)(h) AI Act). Cette affaire renforce la pression pour une réglementation stricte de la biométrie policière en Europe. Voir : proposition de loi française sur l'interdiction de la biométrie et notre guide EU AI Act.

Ce que ça change pour vous : tout traitement de données biométriques à des fins d'identification doit faire l'objet d'une AIPD et d'une base légale explicite au titre de l'Art. 9 RGPD — et rester conforme aux interdictions de l'AI Act. Proposition de loi sur l'interdiction de la biométrie — EU AI Act : guide complet

31 mars 2026 — PANAME : la CNIL et l'ANSSI testent leur outil d'audit RGPD des IA

La CNIL, l'ANSSI, le PEReN et le projet IPoP (INRIA) ont lancé un appel à manifestation d'intérêt pour tester PANAME (Privacy Auditing of AI Models), une bibliothèque logicielle open source destinée à auditer la confidentialité des modèles d'IA au regard du RGPD. L'outil permet de simuler plusieurs scénarios d'attaque connus : inférence d'appartenance (membership inference), inférence d'attributs et reconstruction de données d'entraînement. L'appel à testeurs était ouvert du 26 février au 28 mars 2026. Une première phase de tests se déroulera jusqu'en juin, suivie d'une éventuelle seconde phase. La publication de la bibliothèque open source complète est prévue pour l'automne 2026. Ce projet s'inscrit à l'intersection du RGPD et de l'AI Act.

Suivez la publication de PANAME à l'automne 2026 si vous entraînez ou déployez des modèles d'IA sur des données personnelles — cet outil pourrait devenir le standard d'audit de référence. IA et RGPD : les règles applicables — AIPD pour l'IA : quand et comment réaliser une analyse d'impact

31 mars 2026 — AI Act : 2e version du Code de pratique sur le marquage des contenus IA

La Commission européenne a publié le 5 mars 2026 la deuxième version du Code de pratique sur le marquage et l'étiquetage des contenus générés par l'intelligence artificielle, au titre de l'article 50 de l'AI Act. Ce projet intègre les retours de centaines de participants — industriels, universitaires et société civile — recueillis lors d'ateliers et d'une enquête en janvier 2026. La nouvelle version simplifie l'approche en proposant un marquage à deux niveaux : métadonnées sécurisées et tatouage numérique (watermarking), avec fingerprinting et journalisation optionnels. La période de commentaires s'est clôturée le 30 mars 2026. Le code définitif est attendu début juin 2026, avant l'entrée en application des règles de transparence le 2 août 2026.

Identifiez dès maintenant vos systèmes d'IA générative concernés par les obligations de marquage et commencez à évaluer les solutions de watermarking disponibles. EU AI Act : guide complet du règlement européen — Éthique de l'IA : cadre juridique et obligations

25 février 2026 — AI Act : enforcement GPAI lancé, guidelines haut risque en retard

L'application de l'AI Act pour les modèles d'IA à usage général (GPAI) a officiellement débuté en février 2026, selon l'IAPP et Silicon Canals. La Commission européenne a manqué son propre délai pour publier les lignes directrices sur les systèmes d'IA à haut risque, créant une incertitude pour les organisations en cours de mise en conformité. Le Bureau européen de l'IA (EU AI Office) a créé une task force signataire pour accompagner la conformité avec les règles GPAI (Art. 53 AI Act). Pour les développeurs et déployeurs de systèmes d'IA à haut risque (santé, emploi, crédit, justice), l'absence de guidelines officielles ne suspend pas les obligations : les annexes I et III du règlement définissent les critères applicables. L'intersection avec le RGPD est directe : tout traitement de données personnelles par un système d'IA à haut risque nécessite une AIPD (Art. 35 RGPD) et une base légale robuste.

Vérifier si vos systèmes d'IA relèvent des catégories à haut risque (Annexe III AI Act) et documenter la conformité même en l'absence de guidelines finales. EU AI Act : guide complet — Éthique de l'IA : cadre juridique — AIPD pour l'IA

25 mars 2026 — CNIL : Rémi Stefanini nommé directeur des technologies et de l'IA

La CNIL a annoncé le 25 mars 2026 la nomination de Rémi Stefanini au poste de directeur des technologies, de l'innovation et de l'intelligence artificielle (DTIA). Il prendra ses fonctions le 15 avril 2026. Cette direction, créée pour renforcer l'expertise technique de l'autorité, joue un rôle central dans l'accompagnement de la mise en œuvre du règlement européen sur l'IA (AI Act) et dans les travaux de la CNIL sur les enjeux de protection des données liés à l'intelligence artificielle.

Cette nomination intervient dans un contexte de montée en puissance des sujets IA au sein de la CNIL, qui multiplie les publications sur l’encadrement des modèles d’IA, les analyses d’impact et les outils d’audit RGPD appliqués à l’IA.

Nomination à suivre : la direction DTIA de la CNIL sera un interlocuteur clé pour les entreprises déployant des systèmes d'IA soumis au RGPD et à l'AI Act. AIPD pour l'IA : quand et comment réaliser une analyse d'impact — EU AI Act : guide complet du règlement européen sur l'intelligence artificielle

26 mars 2026 — AI Act : les eurodéputés repoussent les échéances et interdisent les deepfakes sexuels

Le Parlement européen vote un amendement au règlement Omnibus qui repousse certaines échéances de l’AI Act et introduit une interdiction explicite des deepfakes à caractère sexuel non consenti. Le report des échéances donne plus de temps aux entreprises pour se conformer, mais l’interdiction des deepfakes sexuels entre en vigueur immédiatement et s’applique à tous les fournisseurs et déployeurs de systèmes d’IA dans l’UE. Le lien RGPD est direct : les deepfakes constituent un traitement de données biométriques (art. 9 RGPD).

Ce que ça change pour vous : vérifiez que vos systèmes d’IA ne peuvent pas générer de deepfakes non consentis, et mettez à jour votre calendrier de conformité AI Act. EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle — AI Act calendrier : dates cles d'application

12 mars 2026 — AI Act Omnibus : les eurodéputés parviennent à un accord préliminaire

Les membres du Parlement européen ont atteint un accord préliminaire sur le volet IA du règlement Omnibus. L’accord prévoit un report de certaines échéances de l’AI Act pour les PME et une clarification des règles applicables aux modèles d’IA à usage général (GPAI). Les obligations de transparence et de gestion des risques pour les systèmes d’IA à haut risque restent en l’état. L’intersection avec le RGPD demeure un sujet clé : les données d’entraînement des modèles d’IA restent soumises aux obligations de protection des données personnelles.

Ce que ça change pour vous : suivez l’évolution du calendrier AI Act, particulièrement si vous déployez des systèmes d’IA à haut risque. Documentation technique AI Act : exigences — EU AI Act : guide complet du reglement europeen sur l'intelligence artificielle

2 mars 2026 — L’ANSSI lance un AMI pour un outil d’audit RGPD des modèles d’IA

L’ANSSI publie un appel à manifestation d’intérêt pour le développement d’un outil d’audit de conformité RGPD spécifiquement conçu pour les modèles d’intelligence artificielle. L’initiative traduit la prise de conscience des régulateurs français que les modèles d’IA posent des défis spécifiques en matière de protection des données : données d’entraînement, minimisation, droit à l’effacement. Cet outil devra couvrir les obligations croisées RGPD et AI Act.

Ce que ça change pour vous : si vous développez ou déployez des modèles d’IA, anticipez les audits RGPD spécifiques qui arriveront avec ce type d’outil. Audit RGPD : tarifs, methodes et comment reduire les couts — Logiciel RGPD : comparatif complet des solutions de conformite 2026