Le 10 mai 2026, le Comité européen de la protection des données (EDPB) a officiellement mis en vigueur des lignes directrices complémentaires du GDPR, exigeant que tous les sites indépendants B2B destinés au marché de l’UE (y compris les sites officiels de fournisseurs chinois) indiquent clairement, dans leur politique de confidentialité ou sur une page de déclaration AI distincte, le pays d’origine géographique des données d’entraînement utilisées pour les contenus générés par AI ainsi que la période de collecte de ces données. Cette disposition affecte directement la conformité des sites officiels des entreprises chinoises de commerce extérieur, et constitue en particulier un point de conformité substantiel pour les entreprises exportatrices qui s’appuient sur des sites indépendants en ligne pour développer leurs activités B2B, ce qui mérite une grande attention de la part des secteurs liés au commerce transfrontalier, au marketing numérique, aux services SaaS et à la conformité de la chaîne d’approvisionnement.

Aperçu de l’événement

Le Comité européen de la protection des données (EDPB) a officiellement mis en œuvre, le 10 mai 2026, des lignes directrices complémentaires du GDPR, intégrant explicitement dans le cadre réglementaire l’obligation de divulguer l’origine géographique des données d’entraînement des contenus générés par AI. Le champ d’application couvre tous les sites B2B fournissant des biens ou des services à des entreprises situées dans l’UE, y compris les sites indépendants exploités par des entités enregistrées en Chine. L’exigence concrète est la suivante : sur la page « Privacy Policy » ou sur une page de déclaration AI créée séparément, il convient d’indiquer de manière claire et lisible le pays d’origine des données d’entraînement utilisées pour les contenus générés par AI (par exemple les États-Unis, l’Inde, la Chine, etc.) ainsi que la période correspondante de collecte des données (par exemple « de janvier 2021 à juin 2024 »). Cette exigence n’est pas rétroactive, mais toutes les nouvelles fonctionnalités AI mises en ligne ou mises à jour à compter de sa date d’entrée en vigueur doivent s’y conformer immédiatement.

Quels sous-secteurs sont concernés

Entreprises de commerce direct

Les entreprises chinoises exportatrices B2B (telles que les fabricants d’équipements industriels, de composants électroniques et de machines personnalisées) atteignent généralement les acheteurs de l’UE via leurs propres sites indépendants. Si leur site officiel utilise des contenus tels que des descriptions de produits générées par AI, des résumés de paramètres techniques ou des réponses multilingues de service client, sans divulguer l’origine géographique des données d’entraînement, elles peuvent être considérées par les autorités de régulation de pays membres comme l’Allemagne ou la France comme des entités présentant un risque de conformité, ce qui peut ensuite affecter les procédures de due diligence et d’approbation des commandes menées par les acheteurs.

Entreprises de transformation et de fabrication

Pour les entreprises manufacturières réalisant de la sous-traitance pour des marques étrangères (OEM/ODM), si leur site officiel présente des scripts vidéo de lignes de production générés avec l’assistance d’AI, des résumés de rapports ESG ou des explications de certifications de conformité, elles entrent également dans le champ d’application. L’impact se manifeste principalement au niveau des audits de conformité des acheteurs — certains grands acheteurs de l’UE ont déjà inclus les exigences de divulgation AI liées au GDPR dans les annexes de leur « Code de conduite des fournisseurs », et un non-respect peut déclencher une alerte lors de l’évaluation de l’exécution contractuelle.

Entreprises de services de chaîne d’approvisionnement

Les prestataires tiers fournissant des services de logistique transfrontalière, de certification de conformité et de création de sites multilingues servent majoritairement des PME du commerce extérieur. Cette disposition élève indirectement leurs standards de livraison de services : par exemple, les prestataires de création de sites doivent vérifier si les informations sur l’origine des données d’entraînement des contenus AI de leurs clients sont traçables ; les cabinets de conseil en conformité doivent intégrer le champ de l’origine géographique dans les modèles de listes d’auto-vérification GDPR ; et les prestataires de traduction utilisant la post-édition assistée par AI (PEMT) doivent également clarifier le lieu de rattachement des données d’entraînement du modèle sous-jacent.

Points d’attention pour les entreprises ou professionnels concernés, et réponse à apporter actuellement

Suivre les exemples officiels et les questions fréquentes (FAQ) publiés ultérieurement par l’EDPB

Les lignes directrices de l’EDPB ne précisent pas encore les critères de détermination de « l’origine géographique des données d’entraînement » (par exemple : le lieu d’enregistrement du développeur du modèle, l’emplacement de l’équipe d’annotation des données, ou le pays où se trouve le serveur d’exploration des données sources). Les entreprises doivent suivre en continu les orientations pratiques publiées sur le site officiel de l’EDPB à partir du deuxième trimestre 2026, afin d’éviter de remplir elles-mêmes ces informations sur la base d’interprétations non autorisées.

Distinguer les types de fonctionnalités AI du site officiel et examiner en priorité les modules de contenu à forte visibilité

Il n’est pas nécessaire de refondre uniformément toutes les applications AI. À ce stade, il convient davantage de se concentrer sur les modules que les utilisateurs consultent fréquemment et qui influencent les décisions commerciales, par exemple : les textes de recommandation de produits générés par AI sur la page d’accueil, les tableaux comparatifs techniques générés par AI sur les pages produits, et les bibliothèques de réponses en temps réel pilotées par AI sur les pages de demande d’information. Les outils AI utilisés uniquement en back-office (comme les modèles de prévision des stocks) ne relèvent pas de cette obligation de divulgation.

Vérifier les clauses de souveraineté des données dans les accords de services AI existants

Si une entreprise achète des services AI SaaS tiers (tels que des outils de génération de textes ou de synthèse d’images), elle doit examiner les clauses contractuelles relatives à l’origine des données d’entraînement et demander une explication écrite au fournisseur. Certains prestataires AI étrangers ne divulguent pas de manière proactive la répartition géographique des données d’entraînement de leurs modèles ; les entreprises doivent donc faire de cet élément l’une des conditions préalables à l’intégration des fournisseurs dans leur processus de conformité.

Ne pas se précipiter pour modifier l’intégralité de la politique de confidentialité, mais établir d’abord des enregistrements vérifiables de traçabilité des données

D’après l’analyse, l’accent réglementaire porte sur « la capacité à prouver que les informations renseignées sont réelles et vérifiables », et non simplement sur la présence de champs sur la page. Pour les entreprises, l’approche actuellement la plus appropriée consiste à lancer un inventaire interne des usages de contenus AI, à centraliser les outils AI utilisés dans chaque module, les numéros de version, les noms des fournisseurs et la documentation disponible sur la localisation des données d’entraînement, afin de constituer un dossier de traçabilité de base servant de fondement aux futures mises à jour des pages.

Point de vue éditorial / Observation sectorielle

Observably, cette disposition ne constitue pas une révision du texte juridique du GDPR, mais une interprétation élargie par l’EDPB du « principe de transparence » fondée sur les articles 5, 13 et 14 actuellement en vigueur, relevant d’un affinement au niveau de l’application réglementaire. Elle s’apparente davantage à un signal structurel — indiquant que l’UE étend progressivement la gouvernance de l’AI du stade de la « responsabilité algorithmique » vers celui de la « transparence de la chaîne d’approvisionnement des données ». À ce jour, aucun cas de sanction visant spécifiquement cette disposition n’a encore émergé, mais le Land de Bavière en Allemagne et la Commission nationale de l’informatique et des libertés (CNIL) en France ont déjà inscrit séparément la « conformité des divulgations AI des sites B2B » sur leur liste de priorités d’application pour 2026. Le secteur doit continuer à observer si les autorités de régulation des États membres lieront cette exigence de divulgation à la qualification des systèmes à haut risque prévue par l’« AI Act » de l’UE, et si les acheteurs en feront un nouveau critère dans l’évaluation ESG des fournisseurs.

Conclusion : cette disposition marque le fait que l’axe principal de la régulation de l’AI par l’UE s’étend du côté des utilisateurs finaux (B2C) vers le côté des transactions commerciales (B2B). Son importance sectorielle ne réside pas dans une pression immédiate de sanction, mais dans l’intégration formelle des attributs géographiques des données dans l’infrastructure de conformité du commerce numérique transfrontalier. À ce stade, il est plus approprié de la considérer comme une exigence normalisée à inclure dans la liste annuelle de vérification de conformité, plutôt que comme une crise soudaine. Les entreprises devraient se préparer selon les principes de « vérifiable, traçable, contextualisé », en évitant toute surréaction, sans pour autant négliger sa tendance à long terme à l’institutionnalisation.

Indication sur les sources d’information :
Source principale : le document « Guidelines 02/2026 on GDPR Transparency Obligations for Generative AI in B2B Contexts » publié sur le site officiel du Comité européen de la protection des données (EDPB), avec une date d’entrée en vigueur au 10 mai 2026.
Éléments à observer en continu : publication ou non par l’EDPB de règles d’application contraignantes définissant la « source géographique » ; adoption éventuelle par les autorités de régulation d’États membres tels que l’Allemagne et la France de règles d’application complémentaires ou de cas typiques de sanction.