AI Act, DSA et crise informationnelle : ce que les DirCom doivent savoir en 2026

Une année charnière pour la communication

2026 n’est pas une année comme les autres pour les directions de la communication. Pour la première fois depuis l’adoption du RGPD, les DirCom européens doivent composer simultanément avec deux textes qui redessinent en profondeur l’écosystème informationnel : le Digital Services Act (DSA), pleinement applicable depuis le 17 février 2024 mais dont la jurisprudence et les procédures entrent en 2026 dans leur phase de maturité, et l’AI Act (règlement UE 2024/1689), dont le cœur des obligations devient contraignant le 2 août 2026.

Ces deux textes ne sont pas des sujets juridiques réservés aux directions juridiques ou aux DPO. Ils transforment directement la manière dont une crise se déclenche, se propage, se gère et se raconte. Un DirCom qui pilote aujourd’hui sa cellule de crise sans maîtriser les leviers offerts et les contraintes imposées par le DSA et l’AI Act prend un risque réputationnel et juridique considérable. Il se prive aussi d’outils précieux pour reprendre la main face à une vague de désinformation, à un deepfake ciblant son dirigeant ou à un contenu viral hostile qui échappe à toute logique de modération classique.

Le DSA : un outil que les DirCom sous-exploitent encore

Rappel du cadre et maturité du dispositif en 2026

Le DSA instaure une responsabilisation graduée des plateformes numériques, avec une asymétrie assumée : plus une plateforme est structurante pour l’espace public, plus ses obligations sont lourdes. Vingt-six « très grandes plateformes en ligne » (VLOP) et « très grands moteurs de recherche » (VLOSE) sont aujourd’hui concernés — Meta, Google, TikTok, X, YouTube, Snapchat, LinkedIn et, depuis le 26 janvier 2026, WhatsApp. Ces plateformes sont tenues d’évaluer et d’atténuer leurs risques systémiques, parmi lesquels figurent explicitement la désinformation, la manipulation électorale et les atteintes aux droits fondamentaux.

En France, l’Arcom est le coordinateur des services numériques désigné par la loi SREN du 21 mai 2024. C’est l’interlocuteur institutionnel que tout DirCom doit connaître nommément lorsqu’une crise informationnelle prend une dimension systémique.

Ce que le DSA change concrètement pour le DirCom

Trois éléments méritent une attention particulière.

Premièrement, les mécanismes de notification accélérée. Le DSA oblige les plateformes à mettre en place des systèmes de signalement permettant à toute personne physique ou morale de signaler des contenus illicites. Pour un DirCom confronté à un faux communiqué, à l’usurpation d’identité de son entreprise, à un rappel produit mensonger ou à une campagne de dénigrement orchestrée, ces canaux ne sont plus un vague guichet SAV : ce sont des obligations légales dont les plateformes doivent rendre compte. Les délais de traitement, la motivation des décisions et les voies de recours sont désormais encadrés.

Un DirCom qui ne dispose pas, en amont de toute crise, d’un annuaire à jour des points de contact DSA de chaque plateforme majeure — avec les identifiants « trusted flagger » lorsque l’organisation peut y prétendre — perd des heures précieuses quand chaque minute compte. Le signalement qualifié, correctement argumenté juridiquement, est désormais l’un des leviers les plus rapides pour obtenir le retrait ou la déréférencement d’un contenu hostile.

Deuxièmement, les rapports de transparence et l’accès aux données. Les VLOP publient désormais des rapports de transparence détaillés et doivent permettre à des chercheurs agréés d’accéder à leurs données. Pour un DirCom averti, cela constitue une ressource inédite : on peut, dans certains cas, mobiliser ces données pour documenter objectivement la portée d’une attaque informationnelle, identifier des patterns coordonnés, et nourrir une réponse argumentée auprès de journalistes, d’autorités ou de juridictions.

Troisièmement, le mécanisme de réponse aux crises (article 36). C’est le dispositif le moins connu et peut-être le plus stratégique. Le DSA permet à la Commission européenne, sur recommandation du Comité des coordinateurs, d’activer un mécanisme de crise en cas de « circonstances extraordinaires entraînant une menace grave pour la sécurité publique ou la santé publique ». Les très grandes plateformes peuvent alors se voir imposer des mesures spécifiques d’évaluation et d’atténuation : ajustements algorithmiques, visibilité accrue d’informations officielles, limitation de la monétisation de certains contenus.

Ce mécanisme a été pensé dans le sillage de la pandémie et de l’invasion russe de l’Ukraine. Aucun DirCom n’aura le pouvoir de l’activer lui-même, mais un DirCom qui pilote une crise sectorielle majeure — alimentaire, sanitaire, industrielle, environnementale — doit savoir qu’il existe et que son activation suppose un dialogue direct entre les pouvoirs publics et les plateformes. Anticiper ce canal institutionnel, c’est être prêt à porter un plaidoyer auprès des autorités quand la dynamique informationnelle menace l’ordre public.

Les angles morts du DSA côté DirCom

Attention cependant aux fausses certitudes. Le DSA n’impose pas aux plateformes de retirer la désinformation en tant que telle : il leur impose de gérer les risques systémiques liés à la désinformation. Cette nuance est capitale. Un contenu trompeur mais licite ne sera pas retiré au motif qu’il est faux ; il pourra, au mieux, voir son amplification algorithmique limitée ou être assorti d’un contexte. Le DirCom qui pense qu’un signalement DSA suffira à faire disparaître un contenu hostile s’expose à une désillusion rapide.

Par ailleurs, les procédures nationales de transposition et les controverses politiques autour du texte — notamment sur sa compatibilité avec la liberté d’expression — créent un environnement instable. Plusieurs États membres pratiquent une application hétérogène, et le texte cristallise des critiques venues des États-Unis qui l’assimilent à un instrument de censure. Le DirCom doit donc intégrer que toute communication s’appuyant trop ostensiblement sur le DSA pour « faire taire » des voix critiques peut se retourner en crise réputationnelle secondaire. L’usage du DSA doit rester un outil, jamais un argument public.

L’AI Act : le texte qui redéfinit le contrat de vérité avec les publics

Un calendrier qui s’accélère en 2026

Le règlement UE 2024/1689, adopté le 13 juin 2024, s’applique progressivement. Les interdictions sur les IA à risque inacceptable sont effectives depuis février 2025. Les obligations applicables aux modèles d’IA à usage général (GPAI) — ChatGPT, Claude, Gemini, Mistral, Llama — sont en vigueur depuis août 2025. Le 2 août 2026 marque l’étape déterminante : application de la majorité des obligations, notamment celles portant sur les systèmes à haut risque de l’annexe III et sur les exigences de transparence de l’article 50. Une proposition de règlement « omnibus numérique » pourrait ajuster le calendrier pour certains systèmes à haut risque, mais le socle transparence reste l’échéance ferme à retenir.

En France, trois autorités se partagent la surveillance : la CNIL, la DGCCRF et l’Arcom. Les sanctions peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites, 15 millions ou 3 % pour les manquements aux obligations applicables aux systèmes à haut risque, et 7,5 millions ou 1 % pour les manquements aux obligations de transparence.

L’article 50 : le nouveau pacte de sincérité avec les publics

L’article 50 est, de loin, l’article que les DirCom doivent connaître par cœur. Il impose des obligations de transparence qui touchent directement la production et la diffusion de contenus :

• Tout système d’IA qui interagit avec une personne physique doit le signaler clairement — le chatbot qui anime un site corporate, le voicebot qui répond aux clients, l’assistant conversationnel embarqué dans une application.
• Tout contenu de synthèse — texte, image, audio, vidéo — généré ou substantiellement modifié par IA doit être identifié comme tel, avec des mécanismes de marquage lisibles par machine (watermarks, métadonnées C2PA ou équivalents).
• Les deepfakes, entendus comme contenus manipulés représentant des personnes, objets ou événements de manière trompeuse, doivent être explicitement étiquetés.
• Les contenus générés par IA portant sur des sujets d’intérêt public doivent, sauf exceptions éditoriales clairement cadrées, faire l’objet d’une information du public.

Pour une direction de la communication, cela signifie une refonte des chartes éditoriales, une révision des contrats avec les agences, une adaptation des process de validation et, surtout, une cohérence entre ce que l’on dit à l’externe et ce que l’on fait en interne. Une entreprise qui communique sur sa responsabilité numérique tout en diffusant des visuels génératifs non signalés s’expose à un double risque : sanction administrative et scandale réputationnel lorsqu’un journaliste ou un concurrent le révélera.

GPAI, shadow AI et risque organisationnel

Au-delà de l’article 50, le DirCom doit être attentif à la question des modèles d’IA à usage général que ses équipes utilisent au quotidien. Les obligations principales pèsent sur les fournisseurs (OpenAI, Anthropic, Mistral, Google), mais la qualité de déployeur engage l’organisation. Rédaction de communiqués par IA, production de visuels, analyse de sentiment, veille automatisée, scripts de prise de parole : chacun de ces usages doit être cartographié, documenté, et intégré dans le dispositif de gestion des risques.

La « shadow AI » — ces outils utilisés par les collaborateurs sans validation centrale — est le risque organisationnel le plus sous-estimé en 2026. Un attaché de presse qui copie un dossier confidentiel dans un modèle grand public, un graphiste qui génère un visuel à partir d’une bibliothèque douteuse, un community manager qui délègue une réponse sensible à un assistant conversationnel : chacun de ces gestes peut créer une vulnérabilité majeure à la veille d’une crise. Le DirCom doit co-piloter avec la DSI et le DPO une politique d’usage explicite, accompagnée d’une obligation de « AI literacy » — formation minimale des équipes manipulant l’IA — qui est elle-même une exigence de l’AI Act depuis février 2025.

L’intersection : pourquoi la crise informationnelle change de nature en 2026

La fin du monopole humain sur la production de récits

Ce qui rend la situation de 2026 inédite, c’est la conjonction de trois phénomènes : des modèles génératifs accessibles à tous qui produisent du contenu indistinguable du réel, des plateformes dont les algorithmes amplifient les contenus à forte charge émotionnelle, et un cadre réglementaire qui impose à la fois des obligations de transparence sur les contenus IA et des obligations d’atténuation des risques systémiques sur les plateformes.

Concrètement, cela signifie que la crise informationnelle type de 2026 ne ressemble plus à celle de 2018 ou même de 2022. Elle commence souvent par un contenu synthétique — un audio deepfake prêté au PDG, une vidéo manipulée d’un incident industriel, une fausse interview — diffusé via un compte de faible notoriété, amplifié par des bots, repris par des influenceurs de niche, puis absorbé par des médias qui tentent de vérifier en temps réel. À chaque étage, le DirCom dispose désormais d’un levier réglementaire : l’AI Act impose une traçabilité du contenu synthétique, le DSA impose aux plateformes une réponse structurée aux signalements, et l’article 36 ouvre, dans les cas les plus graves, un canal institutionnel.

Mais ces leviers ne fonctionnent que si le DirCom les a intégrés en amont dans ses playbooks, ses contrats et ses relations.

Le paradoxe de la transparence

Un paradoxe mérite d’être signalé. L’AI Act mise sur la transparence comme mécanisme de protection du public : signaler qu’un contenu est généré par IA est censé suffire à restaurer la confiance. Or l’expérience montre que l’étiquetage n’efface pas l’effet émotionnel d’un contenu. Un deepfake identifié comme tel continue souvent de circuler, et sa charge symbolique persiste. Pour un DirCom, cela signifie que la conformité réglementaire — indispensable — ne remplace jamais le travail narratif. Dire la vérité plus vite, plus clairement et avec plus d’incarnation que le faux reste la seule méthode robuste.

Le risque secondaire : être accusé de conformité performative

À mesure que ces textes deviennent familiers, un nouveau risque apparaît : celui de la conformité performative. Les organisations qui affichent de grandes promesses de transparence IA mais laissent circuler des contenus non étiquetés, celles qui brandissent le DSA pour faire retirer des critiques légitimes, celles qui traitent l’AI literacy comme une case à cocher plutôt qu’une culture à construire — toutes s’exposent à une crise de deuxième génération. Les ONG, les journalistes spécialisés et les régulateurs scrutent désormais l’écart entre les déclarations publiques et les pratiques réelles. Le DirCom doit se considérer comme garant de cette cohérence, et non simplement comme porte-parole.

Un playbook opérationnel pour les DirCom

À partir de ces analyses, voici un cadre de travail en cinq axes pour les six prochains mois.

Axe 1 — Cartographier. Le DirCom doit disposer d’une cartographie à jour de tous les usages d’IA dans la chaîne de communication : production éditoriale, visuels, vidéos, veille, relation presse, community management, études, chatbots clients. Pour chaque usage, il faut identifier le fournisseur, le niveau de risque au sens de l’AI Act, les données exposées et les obligations de transparence applicables. Cette cartographie doit être co-signée avec la DSI, la direction juridique et le DPO.

Axe 2 — Contractualiser. Les contrats avec les agences, les producteurs de contenu et les prestataires de veille doivent être révisés. Clauses obligatoires : déclaration explicite de l’usage d’IA générative, engagement de marquage des contenus synthétiques, garantie de conformité à l’article 50, clause de responsabilité en cas de manquement. Les contrats de licence d’outils d’IA doivent être relus avec un œil sur les obligations du déployeur et sur la documentation exigible du fournisseur GPAI.

Axe 3 — Former. L’obligation d’AI literacy est en vigueur depuis février 2025. Mais au-delà de l’obligation, c’est un enjeu d’efficacité. Une équipe qui comprend comment fonctionne un modèle génératif, où sont ses limites, comment détecter un deepfake et comment rédiger un signalement DSA est incomparablement plus rapide en situation de crise. La formation doit être spécifique aux métiers de la communication, pas un module généraliste en e-learning.

Axe 4 — Préconstruire les canaux DSA. Chaque DirCom doit disposer, avant toute crise, d’un annuaire opérationnel : contacts « trusted flagger » auprès des VLOP quand cela est possible, points de contact de l’Arcom, identifiants des mécanismes de signalement accélérés, modèles de notification juridiquement qualifiée. En crise, on ne découvre pas les procédures, on les exécute. Un exercice annuel de crise informationnelle intégrant ces canaux devrait faire partie du programme standard d’une direction de la communication.

Axe 5 — Tenir la ligne narrative. Tous les leviers réglementaires du monde ne remplacent pas un récit clair, rapide, incarné et cohérent. En 2026 plus qu’hier, la vitesse et la sincérité sont les deux ressources rares. Le DirCom doit pouvoir mobiliser en moins d’une heure une parole authentifiée du dirigeant, une documentation factuelle accessible, un dispositif de question-réponse en direct, et un ancrage dans des médias de confiance. Le droit vient en soutien, jamais en substitution.

Quatre scénarios que tout DirCom doit avoir travaillés

Pour rendre ces principes tangibles, il est utile de penser quatre scénarios concrets.

Le premier est celui du deepfake audio du dirigeant. Un fichier de trente secondes circule sur un canal Telegram, reprenant la voix du PDG tenant des propos racistes ou annonçant une décision stratégique fictive. Il est repris par X en vingt minutes. La réponse mobilise simultanément : un démenti signé et incarné par le dirigeant lui-même en vidéo authentifiée, une notification DSA adressée aux plateformes concernées en s’appuyant sur le caractère manifestement trompeur et sur les obligations de transparence issues de l’AI Act, un dépôt de plainte pour usurpation, et un briefing des journalistes de confiance avec éléments techniques de preuve.

Le deuxième scénario est celui du contenu critique viral mais licite. Un client mécontent publie une vidéo au vitriol qui cumule des millions de vues. Rien n’est faux, rien n’est diffamatoire. Le DSA ne permet pas le retrait. La stratégie n’est pas juridique mais dialogique : répondre publiquement, prendre en charge la réclamation, documenter les mesures correctives, et démontrer par les actes que l’entreprise a entendu.

Le troisième scénario est celui de l’attaque coordonnée par bots. Un rapport d’ONG met en cause les pratiques environnementales de l’entreprise. Dans les heures qui suivent, un volume inhabituel de comptes répercute l’accusation avec une tonalité hostile. Ici, les données de transparence imposées aux VLOP par le DSA et, dans certains cas, l’accès chercheur peuvent aider à documenter la dimension artificielle de l’amplification — à condition d’avoir noué en amont les bonnes relations avec des chercheurs indépendants ou des structures d’investigation numérique.

Le quatrième scénario est celui de la révélation d’usage non déclaré d’IA. Un média spécialisé démontre que l’entreprise a publié pendant des mois des visuels génératifs sans le signaler, en contradiction avec l’article 50. La crise devient immédiatement juridique, éthique et réputationnelle. Le seul chemin de sortie praticable combine un aveu rapide, une explication documentée, une mise en conformité visible et une revue publique de la gouvernance. Tenter de minimiser serait fatal.

La communication de crise comme discipline hybride

Ce qui frappe en 2026, c’est que la communication de crise cesse d’être une discipline autonome. Elle devient une discipline hybride, à la croisée du droit européen, de la compréhension technique des systèmes d’IA, de la connaissance fine des plateformes et du vieux métier toujours vivant de construire et porter un récit analyse l’expert en communication de crise Florian Silnicki, Président Fondateur du cabinet LaFrenchCom. Les DirCom qui réussiront ne seront pas nécessairement ceux qui connaîtront par cœur chaque article du DSA ou de l’AI Act. Ce seront ceux qui auront compris que ces textes ouvrent des leviers nouveaux sans abolir les fondamentaux : anticipation, incarnation, vérité, rapidité.

Le 2 août 2026 n’est pas une date couperet pour la communication, mais un repère symbolique. Il signale qu’une période s’achève — celle où l’on pouvait encore traiter l’IA et les plateformes comme des sujets techniques, délégables à d’autres directions — et qu’une autre commence, où la direction de la communication est pleinement comptable de la manière dont son organisation construit sa relation de vérité avec ses publics. Les textes européens n’ont pas inventé cette exigence. Ils l’ont rendue juridiquement opposable. C’est peut-être là, au fond, leur apport principal : obliger les communicants à redevenir, dans les faits, les gardiens de la parole de leur organisation.