Les deux mesures sont indissociables puisqu'elles ont été votées dans le même véhicule législatif, baptisé Omnibus sur l'IA, présenté par la Commission le 19 novembre 2025 sous l'angle de la simplification.
Avec, d'un côté, une interdiction attendue sur les outils d'intelligence artificielle dont la fonction principale est de générer des images intimes non consenties (les deepnudes) ainsi que les contenus pédopornographiques produits par IA.
Cette décision, dont on peut évidemment se réjouir pour toutes les victimes, a néanmoins un coût politique nul (consensus transpartisan), un coût industriel quasi nul (les acteurs UE sérieux ne fabriquent pas d'apps de nudification) et offre un titre médiatique fort qui permet de communiquer sur une "Europe qui agit".
Et de l'autre côté, un report substantiel du calendrier d'application des règles encadrant les systèmes d'IA dits à haut risque — ceux qui pèsent sur une admission à l'école, un crédit bancaire, une orientation policière, une demande d'asile.
Pendant que la couverture médiatique se félicite, à raison, de l'interdiction des deepnudes, les modifications structurelles, elles, passent sous le radar. C'est d'ailleurs précisément ce que souhaitaient les grands acteurs de l'industrie, qui voient l'entrée en vigueur de leurs obligations repoussées à plus d'an an, et des partis qui souhaitent bénéficier de leurs services pour déployer leur agenda politique.
Avec ici un coût démocratique beaucoup plus important.
Comment l'interdiction des deepnudes va-t-elle s'appliquer ?
Pour les fournisseurs d'IA généralistes — OpenAI, Anthropic, Google, Mistral, xAI, Meta — l'interdiction a une portée concrète. Ces acteurs commercialisent leurs modèles dans l'Union et ne peuvent pas se permettre d'en sortir. Ils devront donc renforcer techniquement leurs garde-fous : refus de prompts en entrée, détection d'images intimes en sortie, traçabilité documentée à l'attention des autorités.
Comme j'ai eu l'occasion de l'expliquer au micro de Pascal Bustamante, pour le JT de la RTBF, les amendes prévues à l'article 99 de l'AI Act atteigneront 35 millions d'euros ou 7 % du chiffre d'affaires mondial selon le montant le plus élevé. L'épisode Grok de l'été 2025, qui a directement déclenché cette mesure, leur a déjà coûté en image — il leur coûtera désormais en exposition juridique.
Pour les apps de nudification grand public (dont la fonction principale est le déshabillage), l'interdiction s'applique pleinement, mais son exécution dépend largement des intermédiaires. Une enquête du Tech Transparency Project publiée en janvier 2026 a documenté que les applications identifiées dans l'App Store et le Play Store cumulent plus de 705 millions de téléchargements et 117 millions de dollars de revenus. Apple en a retiré 27 à 28 après alerte, Google 31. Plusieurs y restent visibles, parfois mises en avant par les moteurs de recherche internes des boutiques.
Pour les modèles ouverts téléchargeables, l'interdiction reste largement inopérante. Stable Diffusion, augmenté de modules d'ajustement spécialisés, circule sur des plateformes hébergées hors UE. Une fois le modèle sur un disque dur, plus aucune autorité européenne n'a prise. L'AI Act vise les fournisseurs qui mettent un système sur le marché — pas les développeurs anonymes qui publient un module sur un dépôt offshore.
Pour les victimes, enfin, l'AI Act ne crée pas de droit individuel direct au retrait des images. Le recours rapide passe par d'autres textes : le Digital Services Act pour la responsabilité des plateformes diffusantes, le RGPD pour les données personnelles, et les droits pénaux nationaux pour les sanctions individuelles. La France a renforcé le sien avec la loi du 21 mai 2024 sur la sécurisation et la régulation de l'espace numérique, qui inclut explicitement les hypertrucages à caractère sexuel.
La protection des victimes dépend de cette articulation entre régulation des outils, des plateformes, des paiements et de la pénalité. L'AI Act n'en est qu'un maillon.
Le report : le "vrai" sujet politique de l'accord
Le second volet de l'accord pèse en effet plus lourd que le premier dans la vie quotidienne des citoyens européens.
L'annexe III de l'AI Act liste en effet les usages les plus structurants d'une IA dans la trajectoire d'un individu : un algorithme qui pré-sélectionne un dossier d'admission à l'université, un système d'évaluation des risques utilisé par une administration sociale, un logiciel d'aide à la décision dans un commissariat, une IA qui examine une demande d'asile, un dispositif de reconnaissance d'émotions à l'embauche.
Pour ces usages, le règlement adopté en 2024 prévoyait, à partir du 2 août 2026, des obligations contraignantes — gouvernance des données, documentation technique, surveillance humaine, robustesse, évaluation de conformité, marquage CE, enregistrement dans une base européenne, surveillance post-marché, droit à explication pour les personnes affectées.
L'ensemble de ce dispositif est donc repoussé de seize mois. Sont concernés :
- Biométrie : identification à distance, catégorisation, reconnaissance d'émotions
- Infrastructures critiques : énergie, eau, transport
- Éducation : sélection à l'admission, évaluation, examens
- Emploi : recrutement, gestion de carrière, surveillance des salariés, licenciement
- Accès aux services essentiels : crédit, scoring, prestations sociales, secours d'urgence, assurance santé
- Forces de l'ordre : évaluation des risques, polygraphes, profilage, criminalité prédictive
- Migration et contrôle aux frontières : examen des demandes d'asile, polygraphes
- Justice et processus démocratiques : aide à la décision juridictionnelle
L'analyse publiée par Tech Policy Press en avril 2026 souligne le déséquilibre du processus : selon les données compilées par Corporate Europe Observatory et LobbyControl pour 2025, 69 % des réunions tenues par la Commission européenne sur l'IA l'ont été avec des représentants industriels, contre 16 % avec des organisations de la société civile.
Le 15 avril 2026, 41 organisations de la société civile avaient même signé une lettre ouverte coordonnée par European Digital Rights (EDRI) demandant le rejet de l'Omnibus, au motif que la rhétorique de simplification masque des reculs structurels sur les droits fondamentaux, en particulier en matière de biométrie et d'IA à l'école.
Au lendemain de l'accord, l'EDRI formule une conclusion sans détour : « Cela ne rend pas le corpus numérique européen plus simple. Cela le rend plus faible, plus difficile à appliquer, et moins protecteur des droits des personnes. »
Un calendrier qui ouvre la porte ... à Palantir
L'AI Act "haut risque" ne se discute pas dans le vide. Depuis fin 2025, l'AfD bavaroise, le Vlaams Belang belge et Reconquête ont déposé simultanément des propositions visant à créer des unités policières anti-migrants sur le modèle d'ICE, l'agence américaine d'application des lois sur l'immigration. La synchronisation des trois textes, dans trois pays différents, n'est pas une coïncidence — elle prépare une demande d'outillage qui, sans cadre régulatoire opposable, trouvera son fournisseur.
Le fournisseur existe déjà. Aux États-Unis, ICE déploie ImmigrationOS et ELITE, deux outils conçus par Palantir qui croisent reconnaissance faciale (Clearview AI), surveillance téléphonique (Paragon Solutions), analyse de réseaux sociaux (PenLink) et simulateurs de tours cellulaires (L3Harris).
Damien Van Achter
Palantir a encaissé environ un milliard de dollars de contrats gouvernementaux fédéraux en 2025, soit le double de l'année précédente. Stephen Miller, architecte des politiques d'expulsion à la Maison Blanche, détient entre 100 000 et 250 000 dollars d'actions Palanti,r selon le Project on Government Oversight — l'entreprise dont il est actionnaire, à titre privé, opère le système qui exécute la politique dont il est, à titre public, l'architecte.
Damien Van Achter
La même entreprise opère la plateforme de données du NHS britannique pour 330 millions de livres, travaille avec la police allemande, et progresse via Frontex sur les usages migratoires européens. Anduril, cofondée par un protégé de Peter Thiel, produit désormais des drones avec Rheinmetall pour des armées européennes.
L'Italie négocie quant à elle un contrat Starlink pour ses communications sécurisées — le même fournisseur qui soutient publiquement l'extrême droite allemande. Sur 250 acteurs et 45 milliards de dollars de flux financiers cartographiés, le projet de recherche Authoritarian Stack mené avec le soutien de la Rosa-Luxemburg-Stiftung formule la conclusion sobrement : le contrôle politique se déplace du bulletin de vote vers l'infrastructure technique.
Ce contexte éclaire le profil politique de l'Omnibus. Côté Parlement, le paquet a été négocié par Michael McNamara (Renew, Irlande) en commission des libertés civiles, et Arba Kokalari (PPE, Suède) en commission du marché intérieur. Côté ECR, Piotr Müller (PiS, Pologne) a porté la position du groupe en commission IMCO comme shadow rapporteur, Assita Kanko (N-VA, Belgique) en assurant la coordination en commission LIBE.
L'ECR a donc voté en faveur de l'Omnibus en regrettant qu'il n'aille pas plus loin dans l'allègement. Selon Corporate Europe Observatory, les autres groupes d'extrême droite ont également soutenu la proposition de la Commission. Meta a tenu 38 réunions de lobbying avec des députés des groupes ECR, Patriots et Europe of Sovereign Nations sur le mandat actuel — contre une seule sur le précédent. Google a participé, peu après le lancement du paquet, à un dîner à Strasbourg organisé par six députés du Rassemblement national.
Côté Verts, Kim van Sparrentak (Verts-EFA, Pays-Bas), shadow rapporteure du dossier, qualifie l'accord d'un « coup du PPE avec l'extrême droite au plus haut niveau ». Sa collègue Markéta Gregorová (Verts-EFA, Tchéquie), également shadow rapporteure, ajoute : « Quand le PPE, allié à l'extrême droite, doit choisir entre exempter les entreprises des règles sur l'IA ou protéger effectivement femmes et enfants, devinez ce qu'il choisit. »
Reporter de seize mois l'application des règles qui encadreraient ces infrastructures, c'est ouvrir une fenêtre opérationnelle. La fenêtre n'est pas vide. Elle est déjà occupée par des fournisseurs alignés et par des demandeurs en attente.
Damien Van Achter
L'argument de la simplification : qu'en penser ?
L'argument officiel du report est partiellement recevable. Les normes harmonisées européennes (CEN-CENELEC) qui doivent guider la mise en conformité ne sont effectivement pas prêtes. Sans standards techniques opposables, les entreprises ne savent pas concrètement comment se conformer. Donner du temps à la fabrique normative a une logique opérationnelle.
Mais l'Omnibus va au-delà du calendrier. Il modifie le périmètre lui-même. La nouvelle catégorie small mid-caps couvre une part substantielle de l'écosystème IA européen, désormais soumis à un régime allégé. L'allègement documentaire bénéficie aussi aux grandes entreprises pour leurs systèmes intégrés à des produits déjà régulés sectoriellement. Le report de la transparence prévue à l'article 50.2 pour les systèmes mis sur le marché avant août 2026 court désormais jusqu'en février 2027.
Simplifier un texte qui crée des obligations protectrices pour les personnes affectées par des décisions algorithmiques, c'est déplacer la charge du risque : des entreprises vers les personnes concernées, pour seize mois supplémentaires, plus les délais de mise en œuvre effective qui suivront.
Et maintenant ?
L'interdiction des outils de déshabillage et des contenus pédopornographiques générés par IA est un acquis. Les modalités du report, le périmètre des allègements et la création de la catégorie small mid-caps ouvrent en revanche une période d'arbitrage où la société civile, les associations de défense des droits, les syndicats , mes médias et les chercheurs ont une carte à jouer.
🤘 Surveiller la fabrique des normes harmonisées. La crédibilité du report ne tiendra qu'à condition que les standards CEN-CENELEC et les guidelines de la Commission soient publiés rapidement, avec un niveau d'exigence cohérent avec l'esprit du règlement de 2024. Une coalition associations + chercheurs + journalistes spécialisés peut suivre ce travail technique en temps réel et alerter sur les angles morts avant qu'ils ne soient figés.
On saura que ça marche quand des avis indépendants commencent à peser dans les comités de normalisation, et que les premiers projets de standards font l'objet de retours publics documentés.
✊ Activer les autres maillons réglementaires. Le DSA pour les plateformes diffusantes, le RGPD pour les données personnelles, les droits pénaux nationaux pour les sanctions individuelles, la pression sur les processeurs de paiement et les boutiques d'applications — c'est là que les effets concrets se construisent à court terme, sans attendre 2027. Les associations de protection des victimes ont là des leviers immédiatement actionnables.
On saura que ça marche quand un signalement de deepnude obtient un retrait en quelques heures, et quand une boutique d'applications retire systématiquement les outils de déshabillage sans qu'il faille une enquête de presse.
💪 Documenter les angles morts techniques. Modèles ouverts téléchargeables, plateformes de distribution offshore, bots Telegram, filtres de retouche qui font du déshabillage déguisé : la documentation patiente de ces points aveugles, par les chercheurs en sécurité et les journalistes spécialisés, fournit aux régulateurs les preuves dont ils ont besoin pour articuler les outils existants entre eux.
On saura que ça marche quand les rapports d'enquête publics deviennent une référence régulière dans les communications de la Commission et des autorités nationales.
Ces pistes ne sont pas des recettes toutes faites, mais des points d'entrée pour ne pas se contenter du symbole. L'AI Act, dans sa version Omnibus 2026, n'est pas la chaîne de protection — c'est un maillon. La question politique qui s'ouvre maintenant, avec le report des obligations à 2027 et 2028, est celle de la solidité des autres maillons, et de la volonté politique de les actionner ensemble.
Le règlement européen sur l'IA exclut explicitement la sécurité nationale de son périmètre. En Belgique, aucun cadre législatif ne régit aujourd'hui l'utilisation de l'intelligence artificielle par la Défense ou la Police fédérale. La pétition déposée à la Chambre demande trois choses concrètes : un inventaire des systèmes IA déjà déployés, des standards nationaux minimaux, et un positionnement parlementaire sur la surveillance de masse et les armes autonomes.
Comment agir ? La pétition nécessite 25 000 signatures, réparties entre la Flandre, la Wallonie et Bruxelles, pour déclencher un examen parlementaire. C'est un mécanisme démocratique existant — il suffit de l'activer. Signer prend moins d'une minute sur le site de la Chambre
Damien Van Achter Créé le 28/02/2026
Je m'appelle Damien Van Achter, Je suis journaliste, prof et consultant en innovation et en pédagogie entrepreneuriale. Depuis 2005, j'essaye de comprendre et de raconter comment fonctionnent nos systèmes informationnels.
Au cours du temps, j'ai développé des outils d'analyse qui repèrent les pièges tendus par les entreprises de la tech et certains états, et j'explore des pistes pour tenter de s'en libérer, positivement et avec discernement.
J'explique ici ma démarche, inspirée récemment des travaux de l'historien Timothy Snyder, comment ces analyses sont produites techniquement et humainement, ainsi que leurs limites.
On t'a transféré ce mail ? Tu peux t'abonner en 1 clic pour recevoir les suivants.
Tu as des remarques, des suggestions, ou tu veux discuter d'une idée pour avancer dans tes propres projets ? Jette un oeil à mon agenda. 📆
@davanac