AI Act Article 50 : 23 jours pour signer le Code chatbot France

Le 10 juin 2026, Bruxelles publie le code que la moitié des DSI n'a pas lu

Beaucoup de directions générales françaises ont rangé l'EU AI Act dans le tiroir « dossier 2027 ». Le Digital Omnibus du 7 mai 2026 a effectivement repoussé les obligations annexe III — scoring, RH, biométrie — au 2 décembre 2027.¹ Nous avions détaillé ce report et ses limites le 9 mai.

Le 10 juin, à Bruxelles, l'AI Office publie le Code de Pratique sur la transparence des contenus générés par IA.² Le texte n'a pas fait la une. Il aurait dû.

Trois faits tiennent le sujet en main.

Le Code couvre deux sections distinctes. La première vise les fournisseurs de systèmes d'IA générative et fixe les règles de marquage technique (métadonnées signées numériquement, watermarking imperceptible) pour rendre un contenu IA détectable.³ La seconde vise les déployeurs — toute entreprise française qui exploite un chatbot, un callbot, un mailbot ou tout autre système conversationnel pour servir ses clients, ses assurés ou ses adhérents — et fixe les règles de divulgation aux utilisateurs et de marquage des deepfakes.³

Le périmètre de signature est large. Le calendrier est court.

Le 22 juillet à 18h : ce qui se ferme, et pourquoi c'est court

Pour être inscrit dans la première liste publique de signataires publiée en juillet, un fournisseur ou un déployeur doit déposer son formulaire avant le 22 juillet 2026 à 18h00 CEST.⁴ Soit 23 jours à partir d'aujourd'hui.

Sous réserve d'une évaluation positive de la Commission et du AI Board, cette signature aide à démontrer la conformité aux obligations Article 50(2) — marquage des contenus IA —, Article 50(4) — étiquetage des deepfakes et des textes IA d'intérêt public — et Article 50(5) sur la manière dont l'information est délivrée à l'utilisateur (clarté, accessibilité, premier contact).²⁴ En pratique : l'autorité française qui contrôle vous demande votre Code, vous le présentez, l'instruction est plus directe. Si vous n'avez pas signé, vous devez démontrer cas par cas, document à l'appui, que votre dispositif satisfait l'Article 50 — la non-signature n'est pas en soi une non-conformité, mais elle déplace la charge de la preuve sur vous.

La signature est volontaire. La conformité au 2 août 2026 ne l'est pas.

Au-delà du 22 juillet, vous pouvez encore signer plus tard. Mais vous perdez le créneau de visibilité initial : votre nom n'apparaît pas dans la première liste publique publiée en juillet, et pour démontrer la conformité à un contrôle, il faut alors produire le dossier vous-même, document à l'appui.

Article 50(1) : votre chatbot doit dire qu'il est une IA — et le Digital Omnibus n'y change rien

C'est le point le plus mal compris dans le tissu ETI français.

L'Article 50(1) de l'AI Act impose à tout fournisseur d'un système d'IA conçu pour interagir directement avec une personne physique de concevoir le système de manière à ce que l'utilisateur soit informé qu'il dialogue avec une IA, au plus tard lors de la première interaction.⁵⁶ Cette obligation entre en application le 2 août 2026.² Le Digital Omnibus n'a pas touché à cette date.

Une seule exception est tolérée : que ce soit déjà évident pour une personne raisonnablement informée et attentive.⁵ Une formulation enfouie dans des CGU, une icône discrète en pied de page ou une mention vague à « un assistant » ne suffit pas.⁶ La divulgation doit être perceptible dans l'interaction elle-même.

La sanction est lourde. L'Article 99 prévoit pour un manquement aux obligations Article 50 une amende administrative pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel consolidé de l'exercice précédent, le montant le plus élevé étant retenu.⁷

En France, la surveillance du marché passe par la DGCCRF en coordination et par la CNIL pour les traitements de données personnelles.⁸ Une assurance qui exploite un chatbot de selfcare, une banque privée qui automatise ses appels entrants avec un callbot, une mutuelle qui qualifie ses emails entrants avec un mailbot tombent toutes dans le périmètre Article 50(1).

Trois cas français concrets qui basculent au 2 août

Un cas par typologie de client Webotit.

Cas 1 — Mutuelle santé, 1 500 salariés, ACPR + HDS, 200 000 emails entrants par mois. Le mailbot qualifie les demandes d'adhérents et rédige des projets de réponse pour le gestionnaire. Article 50(1) impose une divulgation IA visible à l'adhérent dès le premier message reçu (par exemple, une mention claire et lisible en haut du corps d'email indiquant que la qualification est assistée par IA et qu'un gestionnaire valide). Article 50(4) impose, pour les textes IA d'intérêt public — notamment les communications sur les garanties santé ou la couverture d'un sinistre — un étiquetage machine-lisible. Signer le Code aide à démontrer la conformité (sous réserve d'évaluation positive par la Commission et l'AI Board) ; ne pas signer oblige l'entreprise à démontrer autrement la conformité Article 50 à l'autorité compétente, dossier à l'appui.

Cas 2 — Banque privée régionale, 2 200 collaborateurs, DORA + ACPR. Un callbot Webotit absorbe les pics d'appels entrants du service client patrimonial. Article 50(1) impose une divulgation IA au décrochage. Pas une mention juridique de huit secondes. Une phrase courte, claire, immédiate : « Bonjour, vous parlez à un assistant vocal automatisé qui peut vous orienter ou vous mettre en relation avec un conseiller. » Si l'appelant veut un humain, la passerelle existe et fonctionne. Le service juridique de la banque a 23 jours pour décider si la signature du Code passe par la BCE de tutelle ou par la maison mère.

Cas 3 — Distributeur français e-commerce, 3 500 collaborateurs, 80 000 sessions chatbot par mois. Le chatbot d'assistance répond aux questions de livraison, gère les retours, propose un produit similaire en cas de rupture. Article 50(1) impose une divulgation visible à l'ouverture de la conversation. Article 50(2) et 50(4) appliquent un marquage technique aux réponses IA si une partie est destinée à être publiée — par exemple, un récapitulatif IA d'avis clients agrégés. Sans Code signé, le distributeur doit produire son propre dossier de conformité Article 50, validable par la DGCCRF. Avec Code signé, l'instruction est plus directe pour l'autorité.

Dans les trois cas, la fenêtre de décision se ferme le 22 juillet.

Ce que ça change pour une entreprise française

Le Digital Omnibus a soulagé les directions générales sur l'annexe III. Il n'a pas touché à l'obligation chatbot. La dissociation est claire dans le texte ; elle est encore floue dans la perception des CODIR.

Première vigilance : ne pas confondre les dates. Le 2 décembre 2027 s'applique aux systèmes haut risque annexe III (scoring crédit, sélection RH, biométrie, accès aux services publics).¹ Le 2 août 2026 s'applique à l'Article 50(1) chatbot, applicable à tout système qui parle à un client, un assuré, un adhérent ou un usager. Le 2 décembre 2026 est une période transitoire pour les systèmes déjà mis sur le marché avant le 2 août 2026, le temps de mettre en place le marquage et la détection des contenus IA de l'Article 50(2).¹

Deuxième vigilance : la signature du Code est gratuite mais demande une décision juridique. Le formulaire engage l'entreprise à mettre en place les mesures techniques prévues par le Code pour le marquage et la détection des contenus IA — solutions machine-readable, robustes, interopérables, fiables — sans imposer une pile technique unique (les métadonnées C2PA, le watermarking imperceptible et la journalisation des divulgations sont des exemples d'implémentations, pas une liste obligatoire). Une DSI qui signe sans valider chez son éditeur la disponibilité de mesures effectives signe une promesse qu'elle ne tiendra pas. La règle interne devient : signature après validation contractuelle avec chaque éditeur d'IA conversationnelle utilisé.

Troisième vigilance : les sanctions s'additionnent. L'amende Article 50 de 15 M€ ou 3 % du chiffre d'affaires⁷ ne remplace pas l'amende RGPD (4 % du CA) si les données personnelles sont mal traitées en parallèle. Pour une banque privée régionale au chiffre d'affaires de 800 M€, 3 % représentent 24 millions d'euros par manquement. Pour une mutuelle de 600 M€ de cotisations, 18 millions. Ce n'est pas un coût de mise en conformité, c'est un risque de comité d'audit.

Quatrième vigilance : la divulgation chatbot ne se résume pas à une bannière de cookies. Les autorités françaises et européennes regarderont si l'utilisateur a réellement compris qu'il parle à une machine. Une phrase contractuelle invisible ne passe pas. Une mention orale au décrochage, un libellé visible dans le widget de chat, une signature claire en pied d'email : trois patterns acceptables. Webotit.ai, acteur français de l'IA conversationnelle pour ETI régulées, livre ses chatbots, callbots et mailbots avec ces patterns activés par défaut depuis avril 2026, justement pour que la mise en conformité Article 50 ne dépende pas d'un travail manuel client par client.

Trois décisions à prendre avant le 22 juillet

Pour une DSI ou une direction relation client française, voici la séquence opérationnelle réaliste.

D'ici le 8 juillet — cartographier. Lister tous les systèmes conversationnels exposés à un utilisateur externe (client, assuré, adhérent, usager, candidat) ou à un utilisateur interne couvert par le droit du travail. Inclure les chatbots de site, les widgets dans une app mobile, les callbots de centre de relation client, les mailbots qui rédigent des emails sortants, les agents IA déployés dans un CRM. Documenter, pour chaque système, le fournisseur du modèle, l'éditeur de la solution et l'endroit où la divulgation IA apparaît aujourd'hui.

D'ici le 18 juillet — valider techniquement. Demander à chaque éditeur la confirmation écrite qu'il met en place les mesures techniques attendues par le Code : marquage et détection machine-readable des contenus IA, solutions robustes et interopérables, journal d'audit des divulgations chatbot. Les implémentations concrètes (métadonnées C2PA, watermarking imperceptible) sont des exemples d'options à valider, pas une obligation. Si l'éditeur ne sait pas répondre en 10 jours, c'est un signal contractuel.

D'ici le 22 juillet 18h — signer ou justifier. Si la grille technique est tenue, déposer le formulaire de signature auprès de l'AI Office. Si une partie de la grille n'est pas tenue, ne pas signer sous peine d'engagement incohérent. Documenter en interne, dans le registre des traitements, pourquoi vous n'avez pas signé et quel plan de mise en conformité Article 50 vous suivez avant le 2 août. Et estimer le retour sur investissement de la mise à niveau, parce qu'un dossier de conformité bien chiffré passe mieux en COMEX qu'un dossier porté seul par le juridique.

Limite à dire en CODIR : signer le Code ne rend pas l'entreprise conforme à l'AI Act. Sous réserve d'évaluation positive par la Commission et l'AI Board, il aide à démontrer la conformité aux obligations 50(2), 50(4) et 50(5) sur le marquage, l'étiquetage et la manière de délivrer l'information. La conformité 50(1) — l'obligation de dire que c'est une IA — repose toujours sur le design produit, pas sur la signature. Et la non-signature n'est pas en soi une non-conformité, juste une charge de la preuve plus lourde côté entreprise.

Conclusion

Le Digital Omnibus n'a pas annulé l'AI Act, il a rangé l'annexe III à un horizon plus long. Pour tout dirigeant qui pilote un chatbot, un callbot ou un mailbot en France, le calendrier qui compte n'est pas décembre 2027. C'est juillet 2026.

Une DSI qui découvre le Code de Pratique le 28 juillet n'aura pas tort. Elle aura juste cinq jours pour démontrer cas par cas une conformité que ses voisines auront déjà obtenue par présomption.

Vous voulez cadrer la conformité Article 50 de vos chatbots, callbots et mailbots avant le 22 juillet ? Discutez-en avec nos équipes spécialisées en IA conversationnelle ou estimez le retour sur investissement d'une mise en conformité ciblée.

Questions frequentes

L'Article 50 de l'AI Act s'applique-t-il à un chatbot interne RH ?+

Oui dès que le chatbot interagit directement avec un salarié, un candidat ou un prestataire qui peut être qualifié de personne physique au sens du règlement. La divulgation IA est obligatoire dès la première interaction, sauf si l'interlocuteur est manifestement informé qu'il parle à une machine. Un chatbot RH qui répond aux questions de paie ou aux candidatures entre clairement dans ce périmètre.

Faut-il signer le Code de Pratique pour être conforme à l'AI Act ?+

Non. La signature est volontaire. Sous réserve d'une évaluation positive de la Commission et du AI Board, elle aide à démontrer la conformité aux obligations Article 50(2) — marquage des contenus IA —, Article 50(4) — étiquetage des deepfakes et textes d'intérêt public — et Article 50(5) sur la manière de délivrer l'information. La conformité à l'Article 50(1) — divulgation chatbot — relève du design produit, indépendamment de la signature. Ne pas signer n'est pas en soi une non-conformité, mais l'entreprise devra alors produire elle-même son dossier de conformité.

Quelles sont les sanctions en cas de manquement à l'Article 50 ?+

L'Article 99 du règlement prévoit une amende administrative pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel consolidé de l'exercice précédent, le montant le plus élevé étant retenu. Pour une banque privée régionale de 800 M€ de chiffre d'affaires, le plafond atteint 24 millions d'euros. Les sanctions s'additionnent aux amendes RGPD si des données personnelles sont mal traitées.

Quelle est la différence entre le Digital Omnibus du 7 mai 2026 et le Code de Pratique du 10 juin 2026 ?+

Le Digital Omnibus repousse les obligations applicables aux systèmes haut risque annexe III du 2 août 2026 au 2 décembre 2027. Il ne touche pas l'Article 50, qui reste applicable au 2 août 2026 pour les obligations chatbot, marquage et étiquetage. Le Code de Pratique du 10 juin 2026 est l'outil que la Commission propose pour démontrer la conformité aux obligations 50(2), (4) et (5), avec une fenêtre de signature qui ferme le 22 juillet 2026.

Qui contrôle l'application de l'Article 50 en France ?+

La surveillance du marché AI Act en France s'organise autour de la DGCCRF comme point de contact coordinateur avec les autorités sectorielles ; la CNIL reste compétente pour les traitements de données personnelles au titre du RGPD. Les régimes sectoriels comme l'ACPR (banque, assurance) et la certification HDS (hébergement de données de santé) s'appliquent indépendamment de l'AI Act et ne disparaissent pas avec lui.

Sources et references

1. [1]
2. [2]
3. [3]
4. [4]
5. [5]
6. [6]
7. [7]
8. [8]