Aller au contenu principal
Diagnostic gratuit

Glossaire

25 définitions clés du Règlement

Obligations

24 articles détaillés avec échéances

Échéancier

Dates clés de 2025 à 2028

Diagnostic

Identifiez vos obligations en 3 minutes

Conformité PME

Vérifiez vos obligations AI Act en 30 secondes

Souveraineté européenne

Hébergement 100% en France

Assistant IA

IA contextuelle avec mémoire inter-sections

Génération documentaire

Texte conforme Annexe IV généré par IA

Diagnostic

Classification automatique de votre système

Versioning

Traçabilité des évolutions de vos projets

Multi-clients

Gestion multi-clients pour agences

Export PDF

PDF professionnels prêts pour l'audit

TarifsBlogConnexion
grok deepfakes ai act

L'affaire Grok : ce que le scandale des deepfakes révèle sur l'AI Act

31 mars 20268 min0
L'affaire Grok : ce que le scandale des deepfakes révèle sur l'AI Act

En bref

  • 3 millions d'images en 11 jours : entre fin décembre 2025 et début janvier 2026, Grok a généré une quantité massive de deepfakes sexualisés non consentis, dont des milliers impliquant des mineurs
  • Déjà interdit par l'AI Act : les systèmes "nudifier" entrent directement dans les pratiques à risque inacceptable de l'Article 5 - en vigueur depuis le 2 février 2025
  • Le Parlement européen a répondu : le vote IMCO/LIBE du 18 mars 2026 a explicitement ajouté l'interdiction des apps "nudifier" à la liste des pratiques prohibées du Digital Omnibus
  • Commission européenne mobilisée : la CE a ordonné à X de conserver tous les documents internes liés à Grok jusqu'à fin 2026, et les parquets français et européen ont ouvert des enquêtes
  • Ce que ça change pour vous : toute entreprise qui déploie un outil IA génératif d'images sans garde-fous suffisants s'expose aux mêmes risques réglementaires - et les obligations de transparence Art. 50 s'appliquent dès août 2026
  • La leçon centrale : l'AI Act n'est pas une contrainte abstraite. Le scandale Grok en est la démonstration grandeur nature

Janvier 2026. En moins de deux semaines, Grok - l'IA d'image générative développée par xAI, la société d'Elon Musk - produit environ 3 millions d'images sexualisées non consenties. Des célébrités déshabillées numériquement. Des femmes politiques. Des mineures. Les contenus se propagent à grande vitesse sur X, anciennement Twitter. La réaction internationale est immédiate : enquêtes en France, en Inde, au Royaume-Uni, en Australie, au Brésil. La Malaisie et l'Indonésie bloquent la plateforme. La Commission européenne ordonne la conservation de tous les documents internes de X jusqu'à fin 2026.

Pour AiActo, ce scandale n'est pas une anecdote technologique. C'est une démonstration grandeur nature de ce que l'AI Act (Règlement UE 2024/1689) cherche à prévenir - et de pourquoi ces règles existent.

Ce que Grok a fait - et ce que l'AI Act dit à ce sujet

La fonctionnalité à l'origine du scandale est simple : des utilisateurs soumettaient à Grok des photos de personnes réelles et demandaient à l'IA de les "déshabiller" numériquement, de les placer dans des poses sexualisées, ou de générer des contenus explicites à partir de leur image. Grok exécutait ces demandes avec un taux de refus quasi nul - une étude a montré que l'IA n'a rejeté aucune des 60 requêtes testées pour générer des images électorales trompeuses, contre 72 à 97 % de refus pour ses concurrents comme ChatGPT, Claude ou Gemini.

Ce type de système porte un nom dans le milieu : une app "nudifier". Et dans le cadre de l'AI Act, son statut est sans ambiguïté.

Article 5 : les pratiques interdites depuis février 2025

L'Article 5 de l'AI Act liste les pratiques à risque inacceptable, interdites sur le territoire de l'Union européenne. Ces interdictions sont entrées en vigueur le 2 février 2025 - elles s'appliquent donc déjà, indépendamment du reste du calendrier réglementaire.

Parmi elles : les systèmes qui exploitent des vulnérabilités humaines pour produire des comportements préjudiciables, et les systèmes qui portent atteinte à la dignité des personnes. Un système capable de générer des contenus sexualisés à partir de l'image d'une personne réelle sans son consentement entre directement dans cette catégorie.

Le Parlement européen a d'ailleurs franchi un pas supplémentaire lors du vote IMCO/LIBE du 18 mars 2026 sur le Digital Omnibus : les eurodéputés ont proposé d'ajouter explicitement l'interdiction des applications "nudifier" à la liste des pratiques prohibées. Ce n'est pas une nouvelle contrainte - c'est une clarification d'une interdiction déjà existante, rendue nécessaire par l'affaire Grok.

Article 50 : les obligations de transparence sur les deepfakes

Au-delà de l'interdiction pure, l'Article 50§4 de l'AI Act impose une obligation applicable à tous les systèmes d'IA génératifs, même ceux qui ne sont pas à risque inacceptable : tout contenu audio ou visuel généré ou manipulé par IA pour ressembler à des personnes réelles existantes doit être clairement identifié comme synthétique.

Cette obligation entre en vigueur le 2 août 2026. Elle concerne :

  • Les vidéos deepfakes représentant des personnes réelles
  • Les images manipulées par IA d'individus identifiables
  • Les contenus audio imitant une voix existante
  • Toute synthèse visuelle présentée comme réelle

L'affaire Grok illustre exactement pourquoi cette obligation existe. Sans marquage clair, ces contenus circulent comme authentiques, causant des dommages réputationnels, psychologiques et dans certains cas physiques aux victimes.

La différence fondamentale entre Grok et ses concurrents

Ce qui distingue l'affaire Grok d'un incident isolé, c'est le positionnement délibéré de la plateforme. Là où OpenAI, Anthropic et Google ont développé des garde-fous stricts - refus de requêtes manipulatrices, filtres sur les images de personnes réelles, politiques d'usage explicites - Grok a affiché dès le départ une philosophie de "moins de censure".

Sa politique d'utilisation tenait en moins de 350 mots et plaçait la responsabilité sur l'utilisateur. Résultat concret : des contenus que ses concurrents refusent dans 72 à 97 % des cas, Grok les produisait sans restriction.

Ce n'est pas une faille technique - c'est un choix de conception. Et c'est exactement ce que l'AI Act cherche à prévenir en imposant des obligations de gestion des risques dès la phase de conception (Article 9).

Cette distinction est importante pour les entreprises : l'AI Act ne sanctionne pas seulement les abus a posteriori. Il impose aux fournisseurs de concevoir leurs systèmes pour prévenir les abus - c'est le principe de "safety by design" inscrit dans l'Article 9 sur la gestion des risques.

La réponse réglementaire : rapide, internationale, coordonnée

Ce qui frappe dans l'affaire Grok, c'est la vitesse et la coordination de la réponse réglementaire :

  • Commission européenne (8 janvier) : ordre de conservation de tous les documents internes de X liés à Grok jusqu'à fin 2026
  • Parquet de Paris (début janvier) : enquête ouverte pour "contenus manifestement illégaux", qualification maintenue après un raid des bureaux parisiens de X en février avec Europol
  • Ofcom UK (12 janvier) : ouverture d'une enquête sur la conformité de X avec les règles de protection des utilisateurs
  • Malaisie et Indonésie (10 janvier) : premiers pays à bloquer temporairement l'accès à Grok
  • Australie, Brésil, Inde : enquêtes et mises en demeure dans les semaines suivantes
  • Parlement européen (18 mars) : vote IMCO/LIBE intègre l'interdiction explicite des "nudifier apps" dans le Digital Omnibus

La réactivité de ces réponses montre que le cadre réglementaire existait déjà - l'AI Act, le DSA (Digital Services Act), les lois nationales. Ce qui manquait, c'est une application systématique. C'est précisément ce que le renforcement du Bureau de l'IA (AI Office) et des autorités nationales vise à corriger.

Ce que l'affaire Grok change pour votre entreprise

Si vous n'êtes pas xAI, vous pouvez être tentés de penser que ce scandale ne vous concerne pas. Ce serait une erreur pour trois raisons :

1. Vous utilisez peut-être des outils similaires

Des centaines d'applications de génération ou de manipulation d'images IA circulent en entreprise - pour la création de visuels marketing, la retouche de photos produit, la génération d'avatars ou de personnages. Si l'un de ces outils peut être détourné pour générer des images sexualisées de personnes réelles sans consentement, votre entreprise - en tant que déployeuse - partage une responsabilité réglementaire.

2. Vos obligations Art. 50 sur les deepfakes arrivent en août 2026

Même si votre usage est parfaitement légitime, l'Article 50§4 impose que tout contenu IA manipulant l'image de personnes réelles soit clairement identifié. Cela concerne vos campagnes marketing avec des avatars, vos vidéos de synthèse, vos contenus générés avec des outils comme Midjourney ou DALL-E.

3. La réputation précède la sanction

L'affaire Grok l'a montré : avant même les amendes, c'est la réaction internationale - blocages de pays, enquêtes judiciaires, pertes commerciales - qui a causé le plus de dommages à xAI. Pour une PME ou un éditeur SaaS, un incident similaire à plus petite échelle peut être fatal, bien avant que la DGCCRF ou la CNIL n'intervienne.

Vérifier que vos outils IA génératifs respectent les garde-fous minimums - refus des requêtes manipulatrices, absence de génération de contenus explicites non consentis - est devenu une due diligence de base. Le diagnostic AiActo vous aide à identifier vos obligations selon votre profil de déployeur.

Questions fréquentes

L'AI Act s'applique-t-il à Grok et xAI, une société américaine ?

Oui. L'AI Act s'applique à tout système d'IA dont les résultats sont utilisés dans l'Union européenne, indépendamment du pays d'établissement du fournisseur. xAI distribuant Grok en Europe est soumis à l'AI Act. C'est d'ailleurs pourquoi la Commission européenne et les régulateurs européens ont pu intervenir directement dès janvier 2026.

Les pratiques de Grok étaient-elles déjà illégales avant l'AI Act ?

En partie. Les contenus sexualisés non consentis et les images de mineurs tombent sous des interdictions préexistantes - droit pénal national, DSA, RGPD. L'AI Act ajoute une couche spécifique : il interdit la conception même des systèmes permettant ces pratiques, pas seulement leur usage abusif. C'est un changement de paradigme : du contrôle du contenu à la gouvernance de la conception.

Qu'est-ce que le Digital Omnibus change concrètement sur ce sujet ?

Le vote IMCO/LIBE du 18 mars 2026 propose d'ajouter explicitement l'interdiction des systèmes "nudifier" à la liste des pratiques interdites de l'Article 5. Ce n'est pas une nouvelle règle - c'est une clarification qui rend l'interdiction indiscutable et facilite les poursuites. Le texte doit encore être adopté en plénière et après les trilogues, mais la direction politique est claire.

Mon entreprise utilise Midjourney ou DALL-E pour créer des visuels - suis-je concerné ?

Si vous utilisez ces outils pour des usages légitimes (création de visuels de marque, illustrations, contenu marketing), vous n'êtes pas dans la même situation que Grok. Mais deux obligations vous concernent quand même : vérifier que les outils que vous utilisez ont des garde-fous suffisants (responsabilité déployeur Art. 26), et signaler clairement les contenus générés par IA représentant des personnes réelles dès août 2026 (Art. 50§4).

Quelles sont les sanctions prévues par l'AI Act pour ce type de violation ?

Les violations de l'Article 5 (pratiques interdites) sont les plus sévèrement sanctionnées de tout le règlement : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Pour une entreprise de la taille de xAI, ces chiffres représentent des centaines de millions d'euros d'exposition potentielle.

L'affaire Grok n'est pas un cas limite - c'est une démonstration en temps réel de ce que l'AI Act cherche à prévenir. Elle confirme que les pratiques interdites par l'Article 5 ne sont pas des hypothèses théoriques : elles se produisent, elles causent des dommages réels, et les régulateurs sont capables de réagir vite. Se préparer avant août 2026 n'est pas une option de prudence - c'est une nécessité. Consultez l'échéancier AI Act pour suivre l'ensemble des dates clés et anticiper vos obligations.

Partager cet article