IA Act : 7 obligations pour les marketeurs en 2026

35 millions d'euros (ou 7 % de votre chiffre d'affaires mondial.)
C'est le plafond des sanctions prévues par l'Article 99 du Règlement (UE) 2024/1689, connu sous le nom d'IA Act.

Le texte est entré en vigueur le 1er août 2024. Certaines obligations s'appliquent déjà depuis le 2 février 2025. La prochaine échéance tombe le 2 août 2026 : les obligations de transparence sur les contenus générés par IA deviennent opposables à toute entreprise qui en produit.

Néanmoins, la plupart des marketeurs qui utilisent ChatGPT, Claude, Midjourney ou Gemini tous les jours au travail n'ont ni lu le règlement, ni identifié ce qui s'applique à leur usage.

Et vous êtes peut-être dans ce cas.

Dans ce guide, nous reviendrons sur les 7 obligations qui concernent votre usage de l'IA en marketing, en s'appuyant sur les articles de loi précis, dates d'application exactes et partagerons des exemples concrets pour chaque point.

L'IA Act en 30 secondes

L'IA Act est le règlement européen dédié à l'intelligence artificielle.

Adopté le 13 juin 2024 par le Parlement européen et le Conseil, publié le 12 juillet 2024 au Journal officiel de l'Union européenne (Règlement (UE) 2024/1689).

Son approche est "risk-based" : il classe les systèmes d'IA en 4 catégories selon leur niveau de risque. Plus le risque est élevé, plus les obligations sont strictes.

Pour un marketeur, l'écrasante majorité des usages quotidiens (rédaction assistée, génération d'image, analyse de données) tombe dans la catégorie risque limité. Mais certains usages basculent en risque élevé : filtrage automatique de CV, scoring de crédit client, évaluation prédictive RH.

‍La classification est le premier travail à faire.

Obligation 1 : classifier vos IA par niveau de risque

La classification des systèmes d’IA constitue l’étape préliminaire indispensable. Sans elle, il est impossible de déterminer quelles obligations s’appliquent à votre stack.

Base légale : Les articles 5, 6, 50 et 51 du Règlement (UE) 2024/1689, complétés par l'Annexe III (liste des systèmes à haut risque), encadrent cette classification.

Ce que dit le règlement en pratique

• L'Article 5 liste les pratiques strictement interdites.
• ‍L'Article 6 et l'Annexe III définissent les systèmes à haut risque.
• L'Article 50 précise les systèmes soumis à des obligations de transparence (dont les IA génératives utilisées à des fins marketing).
• L'Article 51 classifie les modèles d'IA à usage général (GPAI).

Exemples marketing

• Un outil de génération de texte pour vos articles de blog, type ChatGPT ou Claude, relève du risque limité. Votre obligation principale : respecter les exigences de transparence de l’Article 50.
• Un outil qui score automatiquement vos candidats à un poste sur des critères comportementaux relève du risque élevé (RH). Les obligations des Articles 6 à 49 s'appliquent alors pleinement.
• Un outil qui cible des audiences en exploitant leurs vulnérabilités émotionnelles documentées, par exemple des personnes en état de détresse psychologique, relève du risque inacceptable. Il tombe sous le coup de l’article 5 et est donc interdit.

Dates d’application

• Les interdictions de l’article 5 sont applicables depuis le 2 février 2025.
• Les obligations relatives aux systèmes à haut risque (articles 6 à 49) et à la transparence (article 50) entrent en vigueur le 2 août 2026.

Ce que pouvez faire

• Listez tous les systèmes IA que votre équipe utilise ou déploie.
• Classifiez chacun par niveau de risque.
• Documentez les résultats dans un registre interne.
• Mettez à jour ce registre ajout ou modification d’un outil.

Obligation 2 : Marquer les contenus générés par IA

C'est l'obligation qui concerne le plus directement le marketeur qui produit du contenu.

Base légale : Article 50, paragraphes 2 et 4 du Règlement (UE) 2024/1689.

Ce que dit le règlement en pratique

• L'Article 50.2 impose aux fournisseurs de systèmes générant du contenu synthétique (texte, image, audio, vidéo) de marquer les outputs dans un format lisible par machine et détectable comme artificiellement généré ou manipulé.
• L'Article 50.4 impose aux déployeurs, c'est-à-dire vous, si vous utilisez ces systèmes, de divulguer quand un contenu publié est un deepfake ou un texte IA d'intérêt public.

Point clé pour les marketeurs

L'Article 50.4(b) prévoit une exception majeure pour le texte d'intérêt public : l'obligation de disclosure ne s'applique pas quand le contenu est soumis à un processus de révision humaine ou de contrôle éditorial et qu'une personne physique ou morale assume la responsabilité éditoriale de la publication.

Traduit en pratique : si vos articles de blog passent par une relecture humaine formalisée, avec un responsable éditorial identifié, vous êtes exempté du disclaimer "rédigé avec l'IA".

Pour les images et vidéos générées, l'obligation de marquage machine-readable (type watermark invisible C2PA) relève du fournisseur (OpenAI, Midjourney, Adobe Firefly).
Votre rôle en tant que déployeur est d'utiliser des fournisseurs conformes et de ne pas retirer leurs marquages.

Exemples concrets en marketing

• Un article de blog rédigé avec Claude, relu par un éditeur humain qui valide chaque section, signé par un auteur identifié : exempté de disclaimer obligatoire (50.4(b)).
• Un post LinkedIn entièrement publié par un agent IA sans intervention humaine, qui traite d'une actualité politique : soumis à disclosure obligatoire (50.4(a)).
• Une vidéo deepfake utilisant le visage d'un influenceur pour une campagne : disclosure obligatoire, sans exception (50.4 partie A).

Date d'application : 2 août 2026.

Sanction : l'Article 50 relève du tier 2 des sanctions prévues à l'Article 99. Jusqu'à 15 millions d'euros, ou 3 % du chiffre d'affaires annuel mondial (le montant le plus élevé des deux est retenu).

Ce que pouvez faire

• Assurez-vous que vos fournisseurs marquent leurs outputs (ex. : OpenAI et Adobe Firefly utilisent déjà le standard C2PA pour les images).
• Mettez en place un process de révision humaine formalisé pour vos contenus rédigés à l'IA. Désignez un relecteur identifié et un responsable éditorial, avec une trace écrite de la révision.
• Sur les deepfakes en communication, ajoutez un disclaimer explicite et visible dès le premier affichage.

Obligation 3 : Garder un humain dans la boucle

Base légale

Article 14 du Règlement (UE) 2024/1689 : supervision humaine des systèmes à haut risque.
Article 50.4(b) : exception éditoriale déjà citée.

Ce que ça dit concrètement

Pour les systèmes à risque élevé, l'Article 14 impose que des personnes physiques puissent superviser le fonctionnement du système pendant son utilisation. C'est ce que la doctrine appelle "human-in-the-loop" (HITL).
Pour le texte généré par IA d'intérêt public, l'Article 50.4(b) exige implicitement un contrôle éditorial humain dans la boucle.

Applications pour les marketeurs

Peu de systèmes marketing relèvent du haut risque, mais certains usages s’en approchent :

• Les outils de scoring de lead automatisé en B2B, si leur résultat influence une décision commerciale critique sur un individu.
• Les recommandations produit personnalisées ciblant des vulnérabilités documentées (risque de frôler l'Article 5surlesprtaiques inacceptables).
• Les systèmes d'IA utilisées pour le recrutement, qui tombent sous l'Annexe III point 4

Dates d'application : 2 août 2026.

‍Ce que pouvez faire

Pour tout usage IA impactant une décision significative (recrutement, accès à un service, scoring client qui impacte un individu) : formalisez qui valide la sortie avant qu'elle produise un effet. Conservez une trace des validations humaines pour pouvoir les présenter en cas d'audit.

Pour vos contenus éditoriaux IA-assistés, documentez la révision humaine. C’est votre garantie au titre de l’article 50.4(b).

Obligation 4 : Assurer la transparence envers vos utilisateurs

Base légale

Article 50.1 du Règlement (UE) 2024/1689 : interaction directe avec un système IA.
Article 50.3 : reconnaissance d'émotions ou catégorisation biométrique.
Articulation avec le RGPD (Règlement (UE) 2016/679) pour les données personnelles.

Ce que ça dit concrètement

L'Article 50.1 impose d'informer les utilisateurs quand ils interagissent directement avec un système IA, à moins que ce soit évident du point de vue d'une personne raisonnablement informée.

L'Article 50.3 impose aux déployeurs de systèmes de reconnaissance d'émotions ou de catégorisation biométrique d'informer les personnes concernées et de traiter les données conformément au RGPD.

Exemples concrets en marketing

Si vous déployez un chatbot IA sur votre site web pour qualifier les leads entrants, l'Article 50.1 vous oblige à informer l'utilisateur qu'il interagit avec une IA. Une mention claire en début de conversation (« Je suis un assistant IA ») suffit.

Si votre outil d'analyse clientèle détecte des émotions dans les commentaires pour ajuster vos campagnes, l'Article 50.3 exige une information explicite et une double conformité RGPD.

Date d'application : 2 août 2026.

Ce que pouvez faire :

• Bannissez les chatbots non identifiés comme IA sur votre site et dans vos funnels.
• Mettez à jour votre politique de confidentialité pour mentionner explicitement les traitementsliésà IA.
• Collaborez avec votre DPO ou un conseiller juridique si vous manipulez des données personnelles dans vos workflows IA.

Obligation 5 : Documenter vos workflows IA

Base légale

Article 4 du Règlement (UE) 2024/1689 pour l'AI literacy.
Article 26 pour les obligations des déployeurs de systèmes à haut risque.

Ce que ça dit concrètement

L'Article 26 impose aux déployeurs à haut risque des obligations de monitoring, de logging et de tenue de registres.

L'Article 4 impose à tous une littératie IA suffisante, qui implique de savoir ce que fait l'IA qu'on utilise.

Pour les usages marketing non classés à haut risque, il n'y a pas d'obligation stricte de documentation imposée par le règlement. Bien qu’il n’y ait pas d’obligation stricte de documentation, un workflow non documenté est un workflow non maîtrisé. En cas de contestation, cette absence de preuve peut fragiliser votre défense.

Exemples concrets en marketing

Un playbook interne qui décrit, pour chaque usage IA récurrent, quels sont : le système utilisé, les données passées en entrée, le type de prompt, qui valide la sortie, où est archivée la trace de validation. C'est la documentation minimale.
Cette documentation sert à : prouver le contrôle éditorial (article 50.4(b)), se préparer à une éventuelle classification en haut risque (article 26) et se défendre en cas de contentieux RGPD ou de plainte utilisateur.

‍Date d'application

‍Recommandée immédiatement.
Obligation stricte pour haut risque : 2 août 2026.

‍Ce que pouvez faire.

Pour chaque usage IA récurrent (rédaction, génération d'image, scoring lead, chatbot) :

• ‍Rédigez un document court décrivant le pipeline, les données et les validations humaines.
• ‍Stockez-le dans un endroit accessible pour audit.

Obligation 6 : Former vos équipes à l'IA

Base légale : Article 4 du Règlement (UE) 2024/1689.

L'Article 4 impose aux fournisseurs et déployeurs de systèmes IA de prendre des mesures pour garantir, dans la mesure du possible, un niveau suffisant de littératie en matière d'IA de leur personnel et des autres personnes qui s'occupent du fonctionnement et de l'utilisation des systèmes d'IA en leur nom.

Ce que ça dit concrètement

L’article 4 exige que toutes les personnes utilisant des systèmes IA (y compris les équipes non techniques) soient formées pour : comprendre les capacités et les limites des outils. Identifier les risques et les bonnes pratiques.

Date d'application : 2 février 2025. C'est déjà en vigueur depuis plus d'un an.

Pour se mettre en conformité, l’enjeu n’est pas simplement d’organiser une session de sensibilisation ponctuelle. Il faut construire une montée en compétences progressive : d’abord comprendre les bases de l’IA générative, puis apprendre à utiliser les bons outils, structurer ses prompts, identifier les limites des modèles et adopter des réflexes de vérification.

C’est particulièrement vrai pour les équipes marketing, qui utilisent déjà l’IA pour produire du contenu, analyser des données, préparer des briefs, automatiser certaines tâches ou accélérer la recherche. Pour structurer cette montée en compétences, nous avons recensé 10 formations IA marketing gratuites, organisées comme un parcours progressif : de l’initiation à l’IA jusqu’aux ressources plus avancées sur les LLM et les outils officiels comme OpenAI Academy, Anthropic Academy ou Google Skills.

Enfin, documenter les formations suivies reste indispensable : participants, dates, contenus abordés, supports utilisés. En cas de contrôle, ces éléments permettent de démontrer les mesures mises en place pour respecter l’Article 4.

Obligation 7 : Mettre en place une gouvernance IA

Base légale

Article 26 du Règlement (UE) 2024/1689 pour les obligations des déployeurs de systèmes à haut risque.
Article 27 pour l'analyse d'impact sur les droits fondamentaux dans certains secteurs.
Articles 56 à 69 pour la gouvernance institutionnelle (AI Office européen, autorités nationales).

Ce que ça dit concrètement

L'Article 26 impose aux déployeurs de système à haut risque de désigner un responsable, d'assurer un monitoring continu et de coopérer avec les autorités.

L'Article 27 ajoute une analyse d'impact sur les droits fondamentaux pour certains acteurs (services financiers, services publics).

Pour les usages marketing non classés à haut risque : la gouvernance n’est pas une obligation stricte, mais elle structure votre conformité et évite les dérives.

Composantes d'une gouvernance IA  minimale en marketing‍

• Un responsable IA nommé, souvent le CMO, le Head of Growth ou un DPO élargi.
• Une grille de décision pour autoriser un nouvel outil IA intégrant : la classification de risque, l'analyse des données passées à l'outil, la vérification de conformité du fournisseur et un arbitrage ROI.
• Un process de review trimestriel des outils en place : ce qui fonctionne, ce qui est retiré, ce qui doit être mis à jour.
• Une procédure d'incident : que faire si un outil IA produit une sortie problématique (fausse, biaisée, discriminante, non conforme au RGPD).

Date d'application

• ‍‍Article 26 : 2 août 2026 pour les usages haut risque.
• Gouvernance générale : recommandée immédiatement.

Ce que pouvez faire

• Désignez un responsable IA dans votre organisation marketing.
• Rédigez une politique IA interne de 2 à 3 pages.
• Programmez une revue trimestrielle des outils et des usages.
• Préparez un schéma d'escalade pour les incidents.

Le calendrier d'application en 2025-2027

Récapitulatif des dates qui s'appliquent à votre équipe marketing.

Passer à l'action avec Mantra

L'IA Act est un sujet qu'on traite directement dans notre formation IA Générative pour le Marketing. 3 semaines, 1 600 €, finançable CPF, OPCO, France Travail, FAF.

Si votre enjeu est aussi de construire des agents IA marketing conformes, la formation Automatisation et Agent IA Marketing couvre la conception d'agents, l'automatisation marketing et le vibecoding.

FAQ

L'IA Act s'applique-t-il si j'utilise ChatGPT juste pour brainstormer en interne ?

Oui, mais légèrement.
ChatGPT relève du risque limité au sens de l'Article 50. Vos obligations directes sont minimales tant que vous ne publiez pas les outputs. Dès que vous publiez un contenu généré (article, image, post LinkedIn, email), l'Article 50.4 s'active. La meilleure protection est un process de révision humaine formalisé au sens de 50.4(b).

Une petite entreprise est-elle concernée ?

Oui. Le règlement s'applique à toute organisation qui utilise ou déploie un système IA sur le marché européen, sans seuil de taille. L'Article 99 paragraphe 6 prévoit cependant que pour les PME et start-ups, les sanctions s'appliquent au plus bas des pourcentages ou montants, pas au plus élevé.

Faut-il ajouter un disclaimer "rédigé avec l'IA" sur chaque article de blog ?

Presque jamais si vous avez un process éditorial. L'Article 50.4(b) exempte les contenus soumis à révision humaine avec responsabilité éditoriale identifiée. Un auteur humain nommé dans le byline et un process de relecture documenté couvrent 95 % des cas de blog B2B.

Qu'est-ce qu'un usage IA en risque élevé dans le marketing ?

Principalement les usages qui touchent au recrutement (tri de CV, scoring de candidats via l'Annexe III point 4), à l'accès à un service essentiel (scoring crédit client), ou à l'évaluation des personnes pour des décisions juridiquement importantes. La rédaction, l'analyse, le brainstorm, la génération d'image pour des campagnes marketing classiques n'en sont pas.

Quelle est la première action concrète à prendre ?

Faire l'inventaire des IA utilisées par votre équipe (Obligation 1) et les classifier par niveau de risque. Formaliser ensuite un process de révision humaine sur vos contenus publics (Obligation 2 et 3). Ces deux actions couvrent l'essentiel de votre exposition juridique pratique pour un usage marketing standard.