EU AI Act et médias synthétiques : obligations 2026 pour entreprises belges
Article 50 EU AI Act : obligations de divulgation des médias synthétiques pour les entreprises belges. SPF Économie, APD, FSMA — guide pratique conformité 2026.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokÀ partir du 2 août 2026, toute entreprise belge qui fournit ou déploie des systèmes d'intelligence artificielle générant des médias synthétiques — images, vidéos, audios, chatbots — est soumise aux obligations contraignantes de l'article 50 du règlement (UE) 2024/1689, dit EU AI Act. En Belgique, ce sont le SPF Économie et l'Autorité de protection des données (APD/CPVP) qui sont désignés comme autorités nationales compétentes, avec la FSMA pour les acteurs financiers. Les violations de l'article 50 exposent à des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire. Les références réglementaires sont exactes à la date de publication. Consultez un professionnel qualifié pour un accompagnement adapté à votre situation.
Contexte belge : une position particulière dans l'écosystème IA européen
La Belgique occupe une position singulière dans le cadre de l'EU AI Act. Bruxelles est le siège de l'Office européen de l'IA (European AI Office), créé par le règlement et opérationnel depuis le début de 2025. Cette proximité géographique et institutionnelle place les entreprises belges sous un regard plus attentif des régulateurs européens — et constitue en même temps une opportunité pour celles qui souhaitent anticiper les évolutions de la doctrine réglementaire.
Le cadre de gouvernance belge s'articule autour de plusieurs autorités. Le SPF Économie (Service Public Fédéral Économie, P.M.E., Classes moyennes et Énergie) est l'autorité de surveillance du marché désignée pour les systèmes d'IA relevant du droit de la consommation et de la conformité des produits, conformément à la stratégie Digital Belgium. L'APD (Autorité de protection des données / Autorité de protection de la vie privée — CPVP) supervise les aspects traitement de données personnelles, notamment pour les systèmes biométriques et de reconnaissance des émotions (autoriteprotectiondonnees.be). La FSMA (Autorité des services et marchés financiers) et la BNB (Banque nationale de Belgique) encadrent l'usage de l'IA dans les services financiers, avec un corpus de guidance publié par la Febelfin (fsma.be).
La structure économique belge est dominée par les PME : plus de 95 % des entreprises belges emploient moins de 250 personnes. Cette réalité rend les dispositions spécifiques aux petites et moyennes entreprises de l'EU AI Act — notamment l'article 99 alinéa 3 prévoyant des plafonds de sanctions réduits — particulièrement pertinentes. Cependant, les obligations de fond de l'article 50 s'appliquent sans distinction de taille.
La stratégie Digital Belgium coordonne la politique nationale en matière de transformation numérique et d'intelligence artificielle, et constitue le cadre de référence dans lequel le SPF Économie élabore ses orientations de conformité. Le CTIF (Cellule de traitement des informations financières), pendant belge de Tracfin, a par ailleurs signalé l'émergence de vecteurs de fraude basés sur les médias synthétiques dans ses rapports annuels, ce qui inscrit la problématique de l'article 50 dans le champ de la lutte anti-blanchiment.
Ce que l'article 50 exige pour les médias synthétiques
Définition et champ d'application
L'EU AI Act n'utilise pas la notion de "médias synthétiques" comme catégorie formelle, mais couvre l'ensemble des contenus image, audio, vidéo ou texte générés ou manipulés par des systèmes d'IA présentant une ressemblance avec des personnes, lieux, objets ou événements réels. La notion opérationnelle est celle de deepfake : tout contenu généré ou manipulé par IA pouvant être perçu à tort comme authentique.
Structure de l'article 50 du règlement (UE) 2024/1689
L'article 50 alinéa 1 impose aux fournisseurs de systèmes d'IA interagissant directement avec des personnes physiques — chatbots, assistants virtuels — d'informer ces personnes en temps réel qu'elles interagissent avec un système d'IA, sauf si cela ressort clairement du contexte.
L'article 50 alinéa 2 oblige les déployeurs de systèmes de reconnaissance des émotions ou de catégorisation biométrique à informer les personnes physiques exposées à ces traitements.
L'article 50 alinéa 3 constitue l'obligation centrale pour les médias synthétiques : les fournisseurs de systèmes d'IA produisant des deepfakes doivent veiller à ce que les contenus soient marqués de façon lisible par machine, attestant qu'ils ont été générés ou manipulés artificiellement. Ce marquage doit être intégré dans le contenu lui-même, et non uniquement mentionné dans les conditions générales.
L'article 50 alinéa 4 prévoit une exception pour les activités artistiques légitimes (arts, satire, parodie), mais maintient l'obligation de divulgation dès lors qu'il existe un risque significatif de tromperie du public.
L'article 50 alinéa 5 impose aux fournisseurs de modèles d'IA à usage général (GPAI) d'implémenter des solutions techniques de détection et de marquage des contenus générés par leurs systèmes. Cette obligation s'applique depuis le 2 août 2025.
Synthèse réglementaire : le règlement (UE) 2024/1689 fait de la transparence sur les contenus synthétiques une obligation légale contraignante pour toute entreprise fournissant ou déployant de l'IA dans l'UE, avec application complète au 2 août 2026.
Qui est concerné : fournisseurs et déployeurs belges
La distinction fournisseur / déployeur dans le règlement
Le règlement distingue deux catégories d'acteurs aux obligations distinctes.
Le fournisseur est l'entité qui développe ou fait développer un système d'IA et le met sur le marché de l'UE ou le met en service dans l'UE, sous son nom ou sa marque. Un développeur belge de logiciels de génération de contenu, une startup IA flamande ou une ESN bruxelloise commercialisant un outil de génération vidéo sont des fournisseurs.
Le déployeur est l'entité qui utilise un système d'IA sous sa propre responsabilité dans le cadre de ses activités professionnelles. Une agence de communication belge utilisant MidJourney pour ses clients, une banque déployant un chatbot de service client, ou un cabinet RH utilisant un outil de synthèse vocale pour ses processus de recrutement — tous sont déployeurs et soumis aux obligations correspondantes.
Notre analyse interne indique que 12 % des tentatives de fraude documentaire impliquent désormais des médias générés par IA. Cette donnée souligne que les médias synthétiques ne concernent plus seulement les plateformes de contenu créatif : toute organisation recevant des documents d'identité, des justificatifs ou des preuves visuelles est exposée au risque.
Tableau des obligations par type d'acteur
| Type d'acteur | Obligation principale | Délai |
|---|---|---|
| Fournisseur de chatbot ou assistant IA | Informer les utilisateurs de l'interaction avec une IA (art. 50.1) | 2 août 2026 |
| Fournisseur de système générant des deepfakes | Intégrer des marquages lisibles par machine (art. 50.3) | 2 août 2026 |
| Fournisseur de modèle GPAI | Implémenter solutions de détection et marquage (art. 50.5) | 2 août 2025 |
| Déployeur de système de reconnaissance des émotions | Informer les personnes exposées (art. 50.2) | 2 août 2026 |
| Déployeur d'outil de génération de contenu | Apposer une divulgation visible sur les contenus générés (art. 50.4) | 2 août 2026 |
| Importateur / distributeur UE | Vérifier la conformité du système importé | 2 août 2026 |
Les entreprises belges des secteurs financier, RH, immobilier, assurance et santé sont particulièrement exposées : toute communication visuelle ou documentaire générée par IA et présentant une ressemblance avec des personnes réelles entre dans le champ du règlement.
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitExigences techniques : watermarking et standard C2PA
Les marquages lisibles par machine
L'article 50 alinéa 3 ne prescrit pas une technologie unique. Il exige que les contenus synthétiques soient marqués d'une manière lisible par machine, permettant leur identification automatique comme contenus générés ou manipulés par IA. Ce marquage doit être intrinsèque au contenu — une mention dans les métadonnées d'affichage ou dans les conditions d'utilisation ne suffit pas.
Les modalités techniques acceptables comprennent :
- Les métadonnées intégrées : informations encodées dans les propriétés du fichier (EXIF, XMP, IPTC pour les images ; métadonnées de conteneur MP4 ou MKV pour les vidéos), indiquant l'origine IA du contenu et les traitements appliqués.
- Les filigranes numériques (watermarks) : signaux imperceptibles intégrés dans les données du fichier, conçus pour résister à la compression, au recadrage et aux conversions de format, permettant une détection automatisée même après modification.
- Les empreintes cryptographiques : signatures numériques liées à l'origine du contenu, permettant de vérifier son authenticité et de reconstituer sa chaîne de traitement.
Le standard C2PA : la référence sectorielle
Le standard C2PA (Coalition for Content Provenance and Authenticity) est la référence technique la plus alignée avec les exigences de l'article 50. Ce standard open source définit un format de métadonnées — les "Content Credentials" — qui enregistre dans un manifeste cryptographiquement signé la provenance d'un contenu, les outils utilisés, les modifications apportées et l'identité du signataire.
Les membres fondateurs et contributeurs de la coalition incluent Adobe, Microsoft, Google, OpenAI, Sony, BBC et Truepic — ce qui représente une part significative des outils de création numérique utilisés par les entreprises belges. Pour les organisations déployant des outils de génération de contenu, l'adoption du standard C2PA constitue aujourd'hui la voie de conformité la plus robuste et la plus likely d'être reconnue par le SPF Économie et l'APD comme satisfaisante.
Obligations techniques par type de contenu
Pour les images et visuels : intégration de Content Credentials C2PA via les API des éditeurs (Adobe Firefly, DALL-E, Midjourney) ou via des prestataires de watermarking spécialisés (Imatag, Digimarc, Truepic).
Pour les vidéos et audios : marquage dans les métadonnées de conteneur et watermarking robuste aux transcodages. Les fournisseurs de plateformes de génération vidéo (Synthesia, Runway, HeyGen) doivent assurer l'intégration technique côté fournisseur — les déployeurs doivent vérifier cette conformité contractuellement.
Pour les contenus textuels générés par GPAI : l'article 50 alinéa 5 impose aux fournisseurs de modèles (OpenAI, Anthropic, Google, Mistral) d'implémenter des solutions techniques — l'obligation pèse principalement sur ces acteurs. Les déployeurs doivent néanmoins vérifier que les outils tiers qu'ils intègrent respectent cette obligation et en conserver la preuve documentaire.
L'Office européen de l'IA, dont le siège est à Bruxelles, coordonne l'élaboration de normes techniques harmonisées qui préciseront les formats de marquage admissibles. Sa proximité géographique avec les autorités belges facilite l'accès des entreprises belges à ces travaux normatifs.
Sanctions et autorités compétentes en Belgique
Tableau des sanctions applicables
| Type de violation | Amende maximale | Base légale |
|---|---|---|
| Violation des pratiques interdites (art. 5) | 35 millions € ou 7 % du CA mondial | Art. 99.3 |
| Violation des obligations de transparence (art. 50) | 15 millions € ou 3 % du CA mondial | Art. 99.4 |
| Fourniture d'informations inexactes aux autorités | 7,5 millions € ou 1 % du CA mondial | Art. 99.5 |
| PME — fourniture d'informations inexactes | Plafond à 7,5 millions € ou 1 % du CA | Art. 99.5 |
Le montant retenu est toujours le plus élevé entre le montant fixe et le pourcentage du chiffre d'affaires mondial. Pour une PME belge réalisant 20 millions d'euros de chiffre d'affaires, une violation de l'article 50 peut représenter jusqu'à 600 000 euros d'amende.
Autorités nationales compétentes
Le SPF Économie est l'autorité de surveillance du marché belge pour les systèmes d'IA mis sur le marché de la consommation (economie.fgov.be). Il est compétent pour contrôler la conformité des systèmes d'IA aux obligations du règlement, diligenter des enquêtes et infliger des sanctions administratives. Dans le domaine de la lutte contre la fraude documentaire, la loi du 2 mai 2019 sur les outils de lutte contre la fraude constitue le cadre de référence complémentaire.
L'APD (Autorité de protection des données) supervise les aspects traitement de données personnelles des systèmes d'IA, notamment les systèmes biométriques, de reconnaissance des émotions et de catégorisation (autoriteprotectiondonnees.be). Ses pouvoirs d'enquête et de sanction sont substantiels, cumulables avec ceux du SPF Économie pour les violations comportant à la fois une dimension IA et une dimension données personnelles.
La FSMA exerce une surveillance spécifique sur l'usage de l'IA dans les services financiers, en coordination avec la BNB pour les aspects prudentiels. Les institutions financières belges soumises à la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux doivent intégrer les obligations de l'article 50 dans leur dispositif LCB-FT global (fsma.be).
L'Office européen de l'IA est compétent pour les fournisseurs de modèles GPAI déployés dans plusieurs États membres. Sa localisation à Bruxelles le place en interaction directe avec les autorités belges.
Calendrier de mise en conformité
Tableau des échéances applicables aux entreprises belges
| Date | Obligation |
|---|---|
| 1er août 2024 | Entrée en vigueur du règlement (UE) 2024/1689 |
| 2 février 2025 | Application des interdictions — pratiques d'IA à risque inacceptable (art. 5) |
| 2 août 2025 | Application des obligations GPAI — modèles d'IA à usage général (art. 50.5) |
| 2 août 2026 | Application complète — systèmes à haut risque + obligations art. 50.1 à 50.4 |
| 2 août 2027 | Application aux systèmes d'IA embarqués dans des produits réglementés |
Les fournisseurs de modèles GPAI — ChatGPT (OpenAI), Gemini (Google), Claude (Anthropic), Mistral — devaient être en conformité depuis le 2 août 2025. Pour les entreprises belges qui déploient ces modèles dans leurs produits ou services, l'échéance critique est le 2 août 2026.
Le délai est court : les organisations qui n'ont pas encore lancé leur audit de conformité IA doivent le faire immédiatement. La vérification de la conformité des outils tiers, la mise en place des mécanismes de divulgation et la documentation interne requièrent plusieurs mois.
Checklist pratique pour les entreprises belges
Étape 1 – Inventaire des systèmes d'IA concernés
Recensez l'ensemble des outils d'IA que vous utilisez ou fournissez générant ou manipulant des contenus pouvant présenter une ressemblance avec des personnes ou événements réels : générateurs d'images, outils de synthèse vocale, chatbots, avatars vidéo, outils de rédaction assistée. N'oubliez pas les outils intégrés dans des suites bureautiques (Microsoft 365 Copilot, Adobe Firefly intégré à Creative Cloud).
Étape 2 – Déterminer votre rôle (fournisseur ou déployeur)
Pour chaque système identifié, clarifiez si vous êtes fournisseur ou déployeur. Un même acteur peut être les deux simultanément si vous utilisez votre propre IA. La distinction conditionne l'étendue de vos obligations techniques.
Étape 3 – Audit des mécanismes de divulgation existants
Vérifiez si vos interfaces informent les utilisateurs lorsqu'ils interagissent avec une IA ou reçoivent un contenu généré par IA. Une mention dans les conditions générales ou la politique de confidentialité est insuffisante : la divulgation doit être visible, contextuelle et délivrée au moment de l'interaction ou de la réception du contenu.
Étape 4 – Implémenter les marquages techniques
Contactez vos fournisseurs d'outils d'IA pour confirmer leur conformité à l'article 50 alinéa 5 et l'implémentation du standard C2PA ou d'un équivalent. Exigez des justificatifs contractuels. Si vous êtes fournisseur, engagez le développement des marquages lisibles par machine avant le 2 août 2026.
Étape 5 – Vérifier les documents d'identification utilisés dans vos processus
En Belgique, les documents d'identité de référence sont la carte d'identité électronique (eID), le numéro de registre national (NRN) et le numéro d'entreprise BCE (Banque-Carrefour des Entreprises). Tout processus d'onboarding ou de vérification qui accepte des copies numérisées de ces documents est exposé au risque de fraude par médias synthétiques.
Étape 6 – Documenter vos procédures
Constituez un dossier de conformité documentant : les outils d'IA utilisés et leur statut de conformité, les mécanismes de divulgation déployés, les procédures internes de contrôle et les responsabilités désignées. Ce dossier sera exigé par le SPF Économie ou l'APD en cas de contrôle.
Étape 7 – Former les équipes
Marketing, communication, RH, développement produit, conformité — toutes les équipes utilisant des outils génératifs doivent comprendre les nouvelles obligations. La méconnaissance du règlement ne constitue pas une exonération de responsabilité réglementaire.
Étape 8 – Intégrer la détection des médias synthétiques dans votre dispositif anti-fraude
Notre analyse interne indique que 12 % des tentatives de fraude documentaire impliquent des médias générés par IA, sur un volume de 180 000 documents analysés par mois. Les entreprises belges recevant des documents — institutions financières, opérateurs de télécommunications, fintechs, agences immobilières — doivent renforcer leurs capacités de détection de contenus synthétiques.
CheckFile analyse les documents entrants avec une détection de la fraude à 94,8 %. Nos solutions de vérification documentaire intègrent la détection des contenus synthétiques, permettant d'identifier les pièces générées par IA avant qu'elles n'atteignent vos processus de décision. Pour comprendre l'ampleur du phénomène, consultez notre article sur les deepfakes et documents d'identité synthétiques, ou notre analyse de la détection de fraude documentaire IA en 2026.
Notre guide de conformité documentaire constitue le point de départ pour les organisations qui souhaitent structurer leur dispositif global. Consultez également notre politique de sécurité et nos tarifs.
Questions fréquemment posées
L'EU AI Act s'applique-t-il aux entreprises belges, et depuis quand ?
Oui. Le règlement (UE) 2024/1689 est directement applicable dans tous les États membres de l'Union européenne sans transposition nationale. En Belgique, il s'applique à toute entreprise qui fournit ou déploie des systèmes d'IA sur le marché belge ou à l'attention d'utilisateurs belges, quelle que soit la taille de l'entreprise. Les premières obligations (interdictions, art. 5) sont entrées en application le 2 février 2025. Les obligations de transparence de l'article 50 alinéa 1 à 4 s'appliquent à compter du 2 août 2026.
Quelles sont les autorités compétentes en Belgique pour faire appliquer l'EU AI Act ?
La Belgique a désigné le SPF Économie comme autorité de surveillance du marché principale, et l'APD (Autorité de protection des données) pour les aspects traitement de données personnelles. La FSMA intervient spécifiquement pour les systèmes d'IA déployés dans les services financiers. Les violations peuvent être sanctionnées par ces autorités nationales, et l'Office européen de l'IA (dont le siège est à Bruxelles) est compétent pour les fournisseurs de modèles d'IA à usage général présents dans plusieurs États membres.
Une PME belge est-elle soumise aux mêmes obligations de transparence qu'une grande entreprise ?
Les obligations de transparence de l'article 50 s'appliquent identiquement quelle que soit la taille de l'entreprise : une PME de 10 personnes déployant un chatbot doit informer ses utilisateurs au même titre qu'une multinationale. Ce qui diffère, c'est le plafond de certaines sanctions : l'article 99 alinéa 3 prévoit des plafonds réduits pour les PME en cas de fourniture d'informations inexactes aux autorités (7,5 millions € ou 1 % du CA). L'article 50 alinéa 3 (deepfakes) prévoit aussi un plafond réduit à 7,5 millions € pour les PME — le montant fixe restant néanmoins significatif pour une petite structure.
Mon entreprise utilise un outil tiers de génération de contenu. Suis-je responsable de sa conformité à l'article 50 ?
En tant que déployeur, vous portez la responsabilité de vérifier que les outils tiers que vous utilisez respectent les obligations de l'article 50, notamment l'intégration de marquages lisibles par machine dans les contenus générés. Si un outil tiers non conforme produit des deepfakes non marqués que vous diffusez, vous pouvez être tenu responsable en tant que déployeur. La pratique recommandée est d'exiger contractuellement la conformité à l'article 50 de vos fournisseurs d'IA et d'en conserver la documentation.
Le règlement s'applique-t-il à la satire et à la parodie en Belgique ?
L'article 50 alinéa 4 prévoit une exception pour les activités artistiques légitimes, y compris la satire et la parodie. Cependant, cette exception ne dispense pas de la divulgation dès lors qu'il existe un risque significatif que le public perçoive le contenu comme authentique. En pratique, un contenu parodique clairement identifiable par son contexte peut bénéficier de l'exception ; un deepfake d'une personnalité publique diffusé hors de tout contexte satirique manifeste devra être marqué même si l'intention est humoristique.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.