Aucun des douze grands modèles d'IA évalués ne passe le seuil de conformité au RGPD et à l'AI Act, et le risque qui pesait jusqu'ici sur les intégrateurs devient désormais mesurable, documentable et opposable. C'est ce qui ressort du benchmark LARA (Legal Assessment for Real-world Agents), publié le 27 mai 2026 par la fondation de recherche à but non lucratif Aithos. Le verdict est sec: aucun des modèles évalués ne satisfait pleinement aux exigences réglementaires de l'Union européenne, et certains enfreignent les règles européennes dans jusqu'à 93 % des cas étudiés. Sur les douze modèles testés, Claude Opus 4.1 d'Anthropic obtient le meilleur score, à environ 54 % de conformité, quand Gemini 3.1 Pro de Google tombe à 10 %. Le constat tombe dix mois après l'entrée en application des obligations AI Act pour les fournisseurs de modèles à usage général, effectives depuis le 2 août 2025. L'article 25 du règlement, entré en vigueur le 1er août 2024 et pleinement applicable au 2 août 2026, avait déjà inscrit la coresponsabilité de l'intégrateur dans les textes: ce que LARA modifie, c'est le passage du risque théorique au risque chiffré par modèle.
Une grille de 3 000 scénarios, douze modèles, peu de survivants
LARA repose sur plus de 3 000 scénarios couvrant les principaux risques visés par le RGPD et l'AI Act. Le protocole place chaque modèle dans des situations agentiques où il doit naviguer des dilemmes juridiques ou réglementaires: obtenir le consentement avant collecte, éviter le profilage psychologique, refuser de manipuler un utilisateur, protéger les publics vulnérables, assurer la transparence des décisions automatisées. Les manquements les plus fréquents documentés concernent l'exploitation de données personnelles sans base légale claire, la création implicite de profils psychologiques et des comportements susceptibles d'influencer ou de manipuler les utilisateurs. Le classement est sévère: entre le haut (Claude Opus 4.1) et le bas (Gemini 3.1 Pro), les modèles d'OpenAI, Meta, Mistral AI, xAI et DeepSeek affichent eux aussi des taux de non-conformité significatifs dans plusieurs catégories. Aithos, fondation à but non lucratif dont Daan Henselmans est directeur de recherche, a publié l'étude sur sa propre plateforme Substack le 27 mai 2026; le travail n'est pas relu par les pairs et n'a pas reçu d'accréditation réglementaire formelle. Le verbatim de l'auteur résume sans détour la conclusion: «Aucun modèle de pointe n'atteint des niveaux de conformité acceptables au regard de l'AI Act et de la législation européenne sur la vie privée» (traduction libre). L'article source ne précise ni la date des tests ni les versions exactes des modèles évalués au-delà des deux nommés - une zone d'ombre méthodologique que la documentation publique de l'outil ne lève pas à ce jour.
Conformité RGPD / AI Act — benchmark LARA d'Aithos (mai 2026, 3 000+ scénarios)
| Modèle | Éditeur | Taux de conformité |
|---|---|---|
| Claude Opus 4.1 | Anthropic | ~54 % |
| Gemini 3.1 Pro | ~10 % | |
| Modèles OpenAI, Meta, Mistral AI, xAI, DeepSeek | Divers | Non publié individuellement |
Aucun des 12 modèles testés ne satisfait pleinement aux exigences européennes. Certains enfreignent les règles dans jusqu'à 93 % des cas. Source : Aithos LARA benchmark, mai 2026.
Article 25 AI Act: l'intégrateur devient cofournisseur, et le savait déjà
Le mécanisme juridique central que LARA rend opérationnel n'est pas neuf. L'article 25 §1 de l'AI Act, inscrit dans le règlement entré en vigueur le 1er août 2024 et applicable à compter du 2 août 2026, prévoit qu'un déployeur qui modifie l'usage prévu d'un système d'IA à haut risque, ou qui y appose sa marque, devient cofournisseur. Concrètement, cette qualification déclenche l'application directe de l'article 16, qui définit le socle d'obligations du fournisseur: gestion des risques, documentation technique, surveillance après commercialisation. Un DPO qui intègre un modèle généraliste dans un usage à haut risque hérite, par cette mécanique, du même régime probatoire que l'éditeur amont.
Au-dessus de cette coresponsabilité intégrateur-fournisseur, le régime propre aux fournisseurs de modèles à usage général s'applique en parallèle. L'article 53 fixe depuis le 2 août 2025 les obligations propres aux fournisseurs de modèles d'IA à usage général: documentation, politique de respect du droit d'auteur, résumé des données d'entraînement. En cas de manquement, l'article 101 du règlement plafonne les amendes pour ces mêmes fournisseurs à 3 % du chiffre d'affaires annuel mondial ou 15 millions d'euros, le montant le plus élevé étant retenu - un pouvoir de sanction que la Commission n'exercera toutefois qu'à compter du 2 août 2026.
Aithos place l'accent sur le maillon intégrateur: «les entreprises qui construisent leurs propres agents IA en plus de ces modèles pourraient également être tenues légalement responsables» (traduction libre). La fondation ajoute, en réserve méthodologique assumée, que «les systèmes de GenAI ne sont pas encore prêts à être déployés dans des environnements fortement réglementés sans contrôles et garde-fous supplémentaires» (traduction libre). La coresponsabilité existait dans les textes; LARA en produit une mesure quantifiée par modèle - un grain d'analyse que les directions juridiques n'avaient pas encore sous cette forme, utilisable comme pièce préparatoire d'audit. C'est cette bascule, du risque théorique au risque documenté, qui modifie la donne pour les directions juridiques, plus que le score lui-même.
Précédents, sanctions effectives, et la couche de conformité qui se finance
Le constat LARA arrive dans un paysage régulatoire en tension. En Italie, le Garante della Privacy avait infligé en décembre 2024 une amende de 15 millions d'euros à OpenAI pour le traitement de données personnelles via ChatGPT, selon les informations publiées à l'époque, dans la continuité de la procédure ouverte en 2023 - ActuIA documentait déjà la restriction initiale du service en Italie. Cette sanction a été annulée en appel par le Tribunal de Rome au premier trimestre 2026 sur un motif procédural: la Data Protection Commission irlandaise étant devenue autorité chef de file pour OpenAI dès février 2024, le Garante n'avait plus compétence au titre du guichet unique RGPD. Le fond probatoire reste, lui, entièrement ouvert. Côté fournisseurs, Meta avait préféré suspendre le lancement européen de ses modèles Llama 3 multimodaux plutôt que d'affronter le triptyque DMA/RGPD/AI Act - signal que l'évitement géographique reste une option pour les acteurs qui jugent l'exposition trop coûteuse. À l'autre bout, le marché se prépare: la start-up ZeroDrift, qui développe un middleware de conformité positionné entre les LLM et les utilisateurs finaux, a annoncé, selon ses propres communications, une levée de 10 millions de dollars début juin 2026, quelques jours après la publication LARA. À la date du 8 juin 2026, aucun des fournisseurs nommés - Anthropic, Google, OpenAI, Meta, Mistral AI, xAI, DeepSeek - n'avait publiquement contesté la méthodologie Aithos, revendiqué un score ou proposé un protocole alternatif. Le verrou se loge dans un silence du texte: l'AI Act ne précise pas la répartition de la charge probatoire entre fournisseur de modèle à usage général et déployeur lorsqu'un dommage est avéré chez un utilisateur final. C'est dans ce vide que les premières affaires portées devant les autorités de contrôle nationales, à compter du 2 août 2026, devront trancher.