Jusqu'au 2 août 2026, il reste environ un mois — et c'est ce jour-là que l'AI Act européen cesse d'être un règlement "papier" et obtient de réelles compétences en matière de sanctions. Pour tous ceux qui collectent des données en ligne — de l'entraînement de grands modèles à la simple surveillance des prix — c'est une étape après laquelle les interdictions de collecte de données lisibles par machine acquièrent pour la première fois le poids du droit d'auteur, et les fournisseurs de modèles d'IA doivent révéler sur quoi ils ont été formés. Analysons ce qui change concrètement et qui cela concerne en pratique.
Ce qui entre en vigueur le 2 août 2026
L'AI Act de l'UE a été introduit par étapes. Les pratiques interdites sont devenues inapplicables dès février 2025, et les obligations pour les fournisseurs de modèles à usage général (GPAI — intelligence artificielle à usage général) sont formellement entrées en vigueur le 2 août 2025. Mais c'est le 2 août 2026 que le règlement devient pleinement applicable : les exigences pour les systèmes à haut risque sont incluses et, surtout, l'autorité de régulation obtient le pouvoir d'imposer des amendes pour non-respect des obligations GPAI.
Le montant des sanctions est le suivant :
- jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial — pour les pratiques interdites (ce qui est supérieur) ;
- jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial — pour les violations concernant les systèmes à haut risque et les obligations GPAI ;
- jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires — pour la fourniture d'informations inexactes à l'autorité de régulation.
L'application du règlement est extraterritoriale : les obligations s'appliquent au fournisseur, quel que soit son emplacement, si le modèle est mis sur le marché de l'UE. Une entreprise d'IA américaine ou asiatique dont le produit est accessible aux Européens est soumise aux mêmes règles.
Ce que les fournisseurs de GPAI doivent faire
Il y a trois obligations clés, dont deux sont directement liées à la collecte de données :
- Documentation technique — description de l'architecture du modèle, de la méthodologie et des ressources d'apprentissage, accessible aux autorités de régulation et aux développeurs en aval.
- Résumé public des données d'apprentissage — le fournisseur doit publier une description "suffisamment détaillée" du contenu sur lequel le modèle a été formé, selon un modèle fourni par l'AI Office. C'est la première tentative au monde d'obliger les développeurs de modèles à rendre compte publiquement des sources de données.
- Politique de respect du droit d'auteur — le fournisseur doit respecter les mécanismes de refus de text-and-data-mining (TDM) selon l'article 4 de la directive sur le droit d'auteur 2019/790, y compris les signaux lisibles par machine.
Pour les modèles à risque systémique (seuil d'apprentissage de 10^25 FLOPs), des tests adversariaux et des rapports obligatoires sur les incidents sont ajoutés. Les modèles déjà existants sur le marché bénéficient d'un délai — ils doivent être conformes d'ici le 2 août 2027.
robots.txt acquiert un "poids" de droit d'auteur
Le principal changement pour l'industrie de la collecte de données est caché dans l'exigence de droit d'auteur. Auparavant, le fichier robots.txt était un accord de gentlemen : son ignorance violait les règles du site, mais n'était pas considérée comme une violation de la loi en soi. Maintenant, sous le parapluie de l'article 4 de la directive 2019/790, la réservation de droits lisible par machine — robots.txt, le nouveau standard ai.txt, les balises TDM — acquiert un poids de droit d'auteur. Le titulaire des droits qui a exprimé un refus de data mining sous une forme lisible par machine est en fait protégé par le droit d'auteur contre l'utilisation de son contenu pour l'apprentissage.
Pour standardiser ces signaux, la Commission européenne a lancé une consultation sur les protocoles de réservation de droits : l'objectif est de convenir d'un format lisible par machine qui sera reconnu comme "l'état de l'industrie" et largement accepté par les titulaires de droits. En d'autres termes, l'UE construit un langage juridiquement significatif de refus de scraping pour l'apprentissage de l'IA.
Contexte : les plateformes sont déjà en offensive
Le règlement s'applique à un marché déjà en guerre. En juillet 2025, Cloudflare, qui protège environ 20 % du web, est devenu le premier fournisseur d'infrastructure à bloquer par défaut les crawlers d'IA pour tous les nouveaux domaines — le propriétaire du site doit maintenant explicitement autoriser des bots spécifiques. En août 2025, plus de 2,5 millions de sites ont complètement interdit l'utilisation de leur contenu pour l'apprentissage de l'IA ; rien qu'un seul GPTBot est bloqué par environ 19 % des sites. Parmi les crawlers les plus bloqués figurent GPTBot, ClaudeBot, CCBot, Google-Extended et Bytespider.
Le fossé est colossal : selon Cloudflare, les bots d'IA accèdent à environ 39 % des top 1 million de ressources du réseau, mais seulement 2,98 % d'entre eux bloquent réellement ou contestent de telles requêtes. Parallèlement, Cloudflare a lancé le modèle Pay Per Crawl — le site renvoie aux bots une réponse "402 Payment Required", et les entreprises d'IA paient pour l'accès. La collecte de données à partir d'un "tout permis" gratuit se transforme en un marché avec un prix.
Le front juridique ne reste pas en arrière. Reddit a intenté des poursuites contre Perplexity AI et les collecteurs et fournisseurs de proxy associés (SerpApi, Oxylabs, AWMProxy), et son avocat principal a formulé la nature du conflit de manière ferme : "Les entreprises d'IA sont enfermées dans une course aux armements pour du contenu humain de qualité, et cette pression a engendré une économie de blanchiment de données à l'échelle industrielle". En même temps, Reddit a conclu des accords de licence avec OpenAI et Google — c'est-à-dire que les données sont vendues à ceux qui paient, et ceux qui prennent gratuitement sont poursuivis. LinkedIn a accusé dans une poursuite distincte la société ProAPIs d'avoir créé environ un million de faux comptes pour le scraping et la revente de profils à un prix allant jusqu'à 15 000 $ par mois.
Ce que cela signifie pour ceux qui collectent des données
La première et principale chose — pas de panique. L'AI Act de l'UE ne prohibe pas le web scraping en tant que tel et ne transforme pas la collecte de données publiques en un crime. Le règlement vise spécifiquement les fournisseurs de modèles d'IA et les systèmes à haut risque. Si vous surveillez les prix des concurrents, collectez des données pour l'analyse SEO, vérifiez les résultats ou agrégerez des avis publics, vous ne devenez pas un "fournisseur de GPAI" et n'êtes pas directement soumis aux nouvelles obligations.
Qui est réellement concerné par l'Act
Sont touchés ceux qui entraînent ou réentraînent de grands modèles sur des données collectées et les mettent sur le marché de l'UE. Pour eux, la publication d'un résumé des données d'apprentissage et le respect des refus TDM deviennent une exigence légale avec de réelles amendes. Si votre scraping est un maillon dans le pipeline d'apprentissage d'un modèle, les sources devront être documentées, et les interdictions lisibles par machine devront être respectées.
Comment collecter des données de manière appropriée
Le deuxième effet — indirect, mais il touchera tout le monde. Plus les refus lisibles par machine acquièrent de poids juridique et plus les plateformes bloquent agressivement le trafic automatique, plus la barre est haute pour toute collecte de données. Conclusions pratiques :
- Lisez robots.txt et les balises TDM et prenez une décision éclairée à leur sujet. Ignorer le refus lisible par machine est désormais non seulement un risque de bannissement, mais aussi une potentielle histoire de droit d'auteur, surtout si les données sont utilisées pour l'apprentissage d'un modèle.
- Séparez les tâches. La collecte de faits publics (prix, disponibilité, évaluations) et la copie de contenu protégé par le droit d'auteur pour l'apprentissage sont juridiquement des choses différentes. Construisez des processus de manière à ne pas les mélanger.
- Minimisez la charge et ne vous faites pas passer pour un utilisateur réel là où cela peut prêter à confusion. L'histoire des millions de faux comptes LinkedIn est un exemple frappant de la façon dont les méthodes "grises" se transforment en poursuites.
- Utilisez une infrastructure d'accès légale. Lorsque la collecte de données se fait de manière distribuée et à partir de véritables IP d'utilisateurs, elle crée moins de charge sur un nœud particulier et ne ressemble pas à un tir depuis un seul centre de données. Les proxies résidentiels fournissent un trafic indiscernable de celui d'un utilisateur ordinaire, et pour des tâches à forte charge où la "nature humaine" maximale n'est pas nécessaire, des proxies de centre de données plus rapides conviendront.
Il convient également de garder à l'esprit le tableau général du trafic : nous avons déjà examiné comment les bots ont pour la première fois dépassé les humains sur Internet — ce changement est précisément ce qui pousse les plateformes à se fermer. Et pour un travail pratique avec des plateformes spécifiques, notre analyse du scraping sécurisé de X (Twitter) sans bannissements est utile : les mêmes principes — respecter les limites, répartir les requêtes, utiliser des IP de confiance — s'appliquent également dans la nouvelle réalité réglementaire.
Conclusion
Le 2 août 2026 n'est pas la "fin du scraping", mais un point après lequel la collecte de données se divise définitivement en deux voies. La collecte documentée, respectant les refus lisibles par machine et travaillant avec des données publiques — devient la norme et une protection. La collecte cachée, contournant les interdictions explicites et se faisant passer pour des utilisateurs pour l'apprentissage des modèles — risque des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires et des poursuites de la part des plateformes. L'AI Act de l'UE ne ferme pas la porte — il transforme la collecte de données d'un "champ sauvage" en un mode où les règles ont enfin un prix. Et ceux qui réorganiseront leurs processus à l'avance, et non une semaine avant la date limite, en sortiront gagnants.
```