TL;DR
L'essentiel en 30 secondes - L'Article 50 du Règlement (UE) 2024/1689 impose l'étiquetage des contenus générés ou manipulés par IA, y compris les deepfakes publicitaires. - Les sanctions pour non-conformité atteignent 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (Article 99, paragraphe 4). - Le consentement écrit de la personne représentée est juridiquement requis au titre du droit à l'image (Code civil, art. 9) et du RGPD. - La CNIL et la DGCCRF sanctionnent en parallèle les pratiques commerciales trompeuses (Code de la consommation, art. L121-1). - Le service desk européen (
ai-act-service-desk.ec.europa.eu) répond aux questions techniques sur la mise en œuvre de l'Article 50.
1. Contexte du cas pratique
Imaginons une PME française du secteur cosmétique, 45 salariés, qui prépare une campagne digitale pour le lancement d'une crème anti-âge. Le budget marketing est serré. L'agence créative propose d'utiliser un deepfake : générer la voix et le visage d'une influenceuse beauté reconnue, sans tournage réel, à partir de ses publications publiques sur les réseaux sociaux.
Le scénario produit présente l'influenceuse appliquant le produit et déclarant : « J'ai testé cette crème pendant trois semaines, le résultat est bluffant. » La voix est synthétisée par un modèle d'IA générative. Le visage est animé via une technique de face-swap. Aucun contrat n'a été signé avec l'influenceuse. Aucune information n'a été communiquée aux consommateurs sur la nature synthétique du contenu.
Ce cas concentre quatre risques majeurs :
- Atteinte au droit à l'image de l'influenceuse (Code civil, art. 9).
- Pratique commerciale trompeuse au sens de l'Article L121-1 du Code de la consommation.
- Violation de l'Article 50 du Règlement (UE) 2024/1689 sur la transparence des contenus IA.
- Traitement de données personnelles sans base légale (RGPD, art. 6).
Cette configuration n'est pas théorique. La CNIL a publié en 2024 plusieurs alertes sur la prolifération des deepfakes publicitaires. La répression visant ces pratiques s'intensifie depuis l'entrée en application progressive de l'AI Act le 1er août 2024.
Pour comprendre le cadre général de l'AI Act applicable aux PME, consultez notre dossier AI Act et PME françaises.
2. Les obligations de l'Article 50
L'Article 50 du Règlement (UE) 2024/1689 organise les obligations de transparence pour les systèmes d'IA destinés à interagir avec des personnes physiques ou à générer des contenus synthétiques. Il s'applique à tous les déployeurs, y compris les PME utilisatrices d'outils IA tiers.
2.1 Étiquetage obligatoire des contenus synthétiques
L'Article 50, paragraphe 2, impose aux fournisseurs de systèmes d'IA générative de marquer leurs sorties dans un format « lisible par machine » et détectable comme artificiellement généré. Pour la PME utilisatrice, l'obligation se déplace au paragraphe 4 : tout déployeur d'un système qui produit ou manipule une image, un son ou une vidéo constituant un deepfake doit « divulguer que le contenu a été généré ou manipulé artificiellement ».
2.2 Définition légale du deepfake
L'Article 3, point 60, définit le deepfake comme « une image ou un contenu audio ou vidéo généré ou manipulé par IA, présentant une ressemblance avec des personnes, des objets, des lieux, des entités ou des événements existants et pouvant être perçu à tort par une personne comme authentique ou véridique ».
La synthèse vocale d'une influenceuse réelle entre pleinement dans cette définition.
2.3 Périmètre des exceptions
L'obligation de divulgation connaît des tempéraments limités :
| Cas | Obligation de divulgation |
|---|---|
| Deepfake publicitaire commercial | Oui, divulgation claire et visible |
| Œuvre artistique ou satirique manifeste | Allégée : mention compatible avec l'œuvre |
| Détection ou prévention d'infractions | Exemption sous conditions |
| Contenu éditorial révisé par un humain | Divulgation requise si influence sur le public |
La campagne cosmétique imaginée ne relève d'aucune exception. La divulgation est exigée.
2.4 Articulation avec les pratiques interdites
L'Article 5 prohibe certaines pratiques manipulatrices. Un deepfake conçu pour induire un consommateur en erreur de manière à altérer matériellement son comportement économique peut basculer dans le champ de l'Article 5(1)(a) — pratiques exploitant des techniques subliminales ou manipulatrices. Le risque qualitatif n'est plus seulement un défaut de transparence : il devient une pratique interdite.
3. Les risques pour la PME
Le cumul juridique distingue le risque deepfake des autres manquements AI Act. La PME s'expose à des sanctions simultanées sur plusieurs fondements.
| Fondement juridique | Sanction maximale | Autorité |
|---|---|---|
| Art. 50 AI Act (transparence) | 15 M€ ou 3 % CA annuel mondial | Autorité nationale compétente |
| Art. 5 AI Act (pratiques interdites) | 35 M€ ou 7 % CA annuel mondial | Autorité nationale compétente |
| RGPD (traitement sans base légale) | 20 M€ ou 4 % CA annuel mondial | CNIL |
| Code consommation (art. L121-1) | 300 000 € (personne morale) | DGCCRF |
| Code civil (art. 9, droit à l'image) | Dommages-intérêts | Tribunal judiciaire |
Pour le détail du régime de sanctions AI Act, voir notre article Sanctions AI Act pour les PME : amendes Article 99.
Au-delà des amendes, le risque réputationnel est immédiat. Une influenceuse découvrant l'usage non autorisé de son image diffusera publiquement le différend. Les boycotts en ligne se propagent en quelques heures. Les partenariats existants avec d'autres créateurs de contenu sont souvent rompus par effet de contagion.
Vous utilisez l'IA générative dans vos campagnes marketing ?
Notre pack documentaire AI Act inclut un modèle de mention de transparence Article 50, un contrat type de cession d'image avec clause IA, et un registre des contenus synthétiques conforme.
Demander le pack documentaire4. Les étapes de conformité
La mise en conformité d'une campagne deepfake suit un parcours en cinq étapes opérationnelles.
- Qualifier le contenu. Établir si le visuel produit constitue un deepfake au sens de l'Article 3, point 60. La présence d'une ressemblance avec une personne identifiable suffit à déclencher l'obligation.
- Obtenir le consentement écrit. Le consentement de la personne représentée doit être préalable, spécifique, éclairé et révocable. Il distingue explicitement l'autorisation d'utilisation de l'image et l'autorisation de génération synthétique.
- Documenter la chaîne de production. Conserver les contrats avec le fournisseur du modèle IA, les paramètres utilisés, les jeux de données d'entraînement le cas échéant, et les sorties intermédiaires. Cette documentation conditionne la défense en cas de contrôle.
- Implémenter la divulgation. Intégrer une mention visible et lisible sur chaque support de diffusion. La mention doit apparaître au plus tard lors de la première interaction.
- Tenir le registre interne. Maintenir un registre des contenus synthétiques diffusés, avec date, finalité, personne représentée, mention de divulgation et durée de conservation.
Formulations de mention conformes
| Support | Exemple de mention |
|---|---|
| Vidéo Instagram / TikTok | « Contenu généré par intelligence artificielle » en surimpression dès la première seconde |
| Bannière display | « Visuel synthétique IA » lisible en bas de la création |
| Spot radio / podcast | Annonce orale « Voix synthétisée par IA » avant le message commercial |
| Post Facebook / LinkedIn | Mention textuelle en début de légende, avant le contenu principal |
Pour les définitions complètes, consultez le glossaire regulia.
5. Les outils de conformité
Plusieurs ressources facilitent la mise en œuvre opérationnelle.
- Fiches pratiques CNIL sur l'IA — 13 fiches publiées entre 2023 et 2025, couvrant la base légale, l'analyse d'impact, le développement et le déploiement (
cnil.fr/fr/les-fiches-pratiques-ia). - Service desk européen AI Act — guichet de questions-réponses opéré par la Commission européenne (
ai-act-service-desk.ec.europa.eu). - ISO/IEC 42001:2023 — norme internationale de système de management de l'IA, structurant l'audit interne et la documentation.
- Guide Cigref AI Act (janvier 2025) — analyse opérationnelle française, utile pour les fonctions DSI et conformité.
- Guide Numeum (mars 2025) — focus sur les éditeurs et utilisateurs PME.
Une formation interne des équipes marketing et création est indispensable. L'Article 4 du Règlement (UE) 2024/1689 impose désormais une obligation d'« AI literacy » aux fournisseurs et déployeurs : le personnel doit posséder un niveau suffisant de compétences pour utiliser les systèmes d'IA en connaissance de cause.
6. Les alternatives sans deepfake
L'interdiction n'est pas absolue, mais la charge de conformité d'un deepfake publicitaire est lourde. Des alternatives juridiquement plus simples méritent d'être considérées.
| Alternative | Avantage juridique | Coût relatif |
|---|---|---|
| Tournage réel avec l'influenceur | Cession d'image classique, jurisprudence stabilisée | Élevé |
| User-generated content authentique | Pas de génération IA, droit d'auteur via licence | Faible |
| Avatar IA non ressemblant | Hors champ Article 50, paragraphe 4 | Moyen |
| Voix de synthèse non-clonée | Hors définition deepfake si voix originale | Moyen |
| Témoignages clients vidéo | Authenticité garantie, conforme art. L121-1 | Faible |
| Motion design illustratif | Création originale, aucun enjeu IA | Moyen |
L'avatar IA non ressemblant mérite une précision. Si l'avatar ne présente aucune ressemblance avec une personne réelle, il sort de la définition de deepfake. L'obligation de divulgation de l'Article 50, paragraphe 4, ne s'applique pas en tant que telle. Toutefois, si l'avatar interagit avec le consommateur (chatbot, assistant vocal), l'obligation de l'Article 50, paragraphe 1 — informer que la personne interagit avec un système d'IA — reste applicable.
7. Les sanctions possibles
L'Article 99 du Règlement (UE) 2024/1689 fixe trois plafonds de sanctions, applicables selon la gravité de l'infraction.
| Type d'infraction | Plafond | Référence |
|---|---|---|
| Pratiques interdites (Article 5) | 35 M€ ou 7 % du CA annuel mondial | Art. 99, §3 |
| Non-conformité aux autres obligations (dont Art. 50) | 15 M€ ou 3 % du CA annuel mondial | Art. 99, §4 |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA annuel mondial | Art. 99, §5 |
Pour les PME, l'Article 99, paragraphe 6, prévoit l'application du montant le plus faible entre le pourcentage et la valeur absolue. Cette disposition adapte la sanction à la capacité contributive de l'entreprise. Elle ne supprime pas le risque, elle le calibre.
Les sanctions civiles s'ajoutent. Le tribunal judiciaire peut prononcer :
- Le retrait des contenus litigieux sous astreinte.
- Des dommages-intérêts pour préjudice moral et patrimonial de la personne représentée.
- La publication judiciaire de la décision aux frais de la PME.
Les sanctions pénales pour usurpation d'identité (Code pénal, art. 226-4-1) sont également mobilisables. Elles atteignent un an d'emprisonnement et 15 000 euros d'amende pour la personne physique responsable.
Sécurisez vos campagnes IA en 48 heures
Le pack regulia couvre la mention de transparence Article 50, le contrat de cession d'image avec clause IA, le registre des contenus synthétiques, et la matrice d'analyse de risque deepfake. Livré en 48 h après formulaire.
Recevoir le pack8. Les bonnes pratiques pour les PME
Cinq pratiques structurent une démarche pérenne.
- Cartographier les usages IA marketing. Recenser tous les outils d'IA générative utilisés par les équipes internes et les agences externes. La cartographie conditionne l'analyse de risque.
- Verrouiller la contractualisation. Tout contrat avec un influenceur doit comporter une clause IA distincte : autorisation ou interdiction d'usage synthétique, périmètre, durée, droit de retrait.
- Tenir un registre des contenus synthétiques. Format minimal : identifiant du contenu, date de création, finalité, personne représentée, modèle IA utilisé, mention de divulgation appliquée, durée de conservation, responsable interne.
- Mettre en place un contrôle qualité avant diffusion. Une validation à quatre yeux (DPO ou responsable conformité plus directeur marketing) avant chaque mise en ligne.
- Former les équipes aux évolutions législatives. Le calendrier d'entrée en application de l'AI Act s'étale jusqu'au 2 août 2027. Les obligations évoluent. Une veille trimestrielle est minimale.
Pour les références réglementaires consolidées, consultez nos sources officielles.
FAQ
Qu'est-ce qu'un deepfake considéré comme trompeur selon l'EU AI Act ?
Un deepfake est trompeur lorsqu'il représente une personne réelle sans son consentement et conduit le public à percevoir comme authentique un contenu artificiellement généré. L'Article 50, paragraphe 4, du Règlement (UE) 2024/1689 impose la divulgation systématique. L'Article 5(1)(a) prohibe les déploiements manipulateurs altérant matériellement le comportement économique du consommateur.
Quelles sont les sanctions pour une PME qui utilise un deepfake non conforme ?
Le défaut de divulgation Article 50 expose à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus faible étant retenu pour les PME (Art. 99, §4 et §6). Si la pratique bascule en manipulation interdite (Art. 5), le plafond passe à 35 millions ou 7 %. S'ajoutent les sanctions RGPD (jusqu'à 20 millions ou 4 %), les amendes DGCCRF (300 000 euros), les dommages-intérêts civils et les sanctions pénales pour usurpation d'identité.
Comment obtenir le consentement d'un influenceur pour un deepfake ?
Le consentement doit être écrit, préalable, spécifique, éclairé et révocable. Il distingue explicitement l'autorisation d'utilisation de l'image (Code civil, art. 9) et l'autorisation de génération synthétique par IA. Le contrat précise le périmètre des contenus, la durée, les supports de diffusion, la rémunération et les modalités de retrait. La preuve écrite doit être conservée pendant toute la durée de diffusion et trois ans après.
Quelles sont les alternatives aux deepfakes pour les campagnes d'influenceurs ?
Les alternatives juridiquement plus simples incluent le tournage réel sous cession d'image classique, l'user-generated content authentique, les avatars IA non ressemblants à des personnes réelles, les voix de synthèse non clonées, les témoignages clients vidéo et le motion design illustratif. Chacune réduit la charge de conformité tout en préservant l'efficacité marketing.
Où trouver de l'aide pour se conformer à l'EU AI Act ?
Le service desk européen ai-act-service-desk.ec.europa.eu répond aux questions techniques. La CNIL publie 13 fiches pratiques sur l'IA et instruit les questions de protection des données. Les guides Cigref (janvier 2025) et Numeum (mars 2025) fournissent une lecture opérationnelle française. La norme ISO/IEC 42001:2023 structure le système de management interne.
Sources officielles
- Service desk européen AI Act — Commission européenne
- Règlement (UE) 2024/1689 — texte consolidé EUR-Lex
- CNIL — nouveautés de la loi sur l'IA
- CNIL — fiches pratiques IA
- AI Act consolidé — artificialintelligenceact.eu
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.