La Commission européenne a ouvert un nouveau canal de signalement au titre de l’AI Act de l’UE : un portail dédié aux lanceurs d’alerte qui transmet les informations directement au Bureau européen de l’IA. Annoncé le 24 novembre 2025, cet outil est conçu pour faire remonter des violations présumées de l’AI Act via un processus sécurisé et confidentiel.
Dans son positionnement, il ne s’agit pas d’une simple boîte aux lettres de conformité. La Commission présente le portail comme un moyen de signaler des violations potentielles susceptibles de mettre en danger les droits fondamentaux, la santé ou la confiance du public, des domaines où les défaillances et les usages abusifs de l’IA peuvent avoir des conséquences immédiates dans le monde réel.
1) Ce que l’UE vient de lancer et pourquoi c’est important
Le 24 novembre 2025, la Commission européenne a annoncé le lancement d’un outil de signalement pour l’AI Act destiné aux lanceurs d’alerte, le décrivant comme « un canal sécurisé et confidentiel permettant aux personnes de signaler des violations présumées de l’AI Act directement au Bureau européen de l’IA ». Cela marque une étape opérationnelle concrète pour faire passer l’AI Act d’un texte juridique à un régime exécutoire doté de capacités de réception, de tri et de suivi.
L’objectif est de réduire les frictions pour les personnes en interne et les professionnels concernés afin qu’ils puissent alerter les régulateurs lorsqu’ils constatent des pratiques d’IA risquées ou illégales. En pratique, les informations des lanceurs d’alerte peuvent compléter les audits, la surveillance du marché et les enquêtes formelles, en particulier dans des déploiements rapides où les autorités publiques ne détectent parfois les problèmes qu’une fois les dommages survenus.
Les médias ont rapidement relayé l’annonce. Anadolu Agency a résumé les points clés de la Commission, notamment les garanties de confidentialité et la possibilité d’assurer un suivi sans compromettre l’anonymat, tandis que l’ANSA (Italie) a repris le message de la Commission selon lequel « des mécanismes de chiffrement certifiés garantiront le plus haut niveau de confidentialité et de protection des données ».
2) Qui peut utiliser le portail et que peut-on signaler
Selon la page de politique de la Commission dédiée à l’outil de signalement de l’AI Act, le portail s’adresse aux personnes ayant un lien professionnel avec un fournisseur de modèle d’IA. Ce périmètre est important : les régulateurs indiquent explicitement que les personnes les plus proches du développement et du déploiement , employés, prestataires, partenaires et autres acteurs liés professionnellement , sont susceptibles de détenir les éléments de preuve les plus exploitables.
Le même cadrage met en avant le signalement de pratiques préjudiciables par des fournisseurs de modèles d’IA à usage général (GPAI) ainsi que par certains systèmes d’IA couverts par le texte. Si l’outil ne remplace pas l’arsenal plus large d’application de l’AI Act, il crée un canal direct pour des pistes crédibles et étayées techniquement.
Sur le fond, la communication de novembre 2025 de la Commission cadre l’objectif du signalement autour de violations présumées « susceptibles de mettre en danger les droits fondamentaux, la santé ou la confiance du public ». Cet accent traduit une logique de priorisation : le portail est particulièrement pertinent lorsque une non-conformité potentielle peut se traduire par des dommages sociétaux, des discriminations, des problèmes de sécurité ou des risques pour l’intégrité des systèmes.
3) Confidentialité, chiffrement et promesse d’anonymat
L’un des atouts majeurs est la confidentialité. La Commission indique que « le plus haut niveau de confidentialité et de protection des données est garanti grâce à des mécanismes de chiffrement certifiés ». Pour les lanceurs d’alerte potentiels, cela vise à lever l’un des principaux obstacles à la prise de parole : la crainte d’être exposé ou de subir des représailles.
Point important, l’outil n’est pas conçu comme une simple boîte de dépôt unidirectionnelle. La Commission précise que le système permet un suivi sécurisé afin que les lanceurs d’alerte puissent recevoir des mises à jour et répondre à des questions supplémentaires « sans compromettre leur anonymat ». Cette capacité bidirectionnelle peut être déterminante, car une application efficace dépend souvent de la clarification de faits techniques, de chronologies, de versions de systèmes et de processus décisionnels internes.
La page de politique décrit également le signalement anonyme et une « boîte de réception sécurisée » pour soumettre des documents justificatifs, tout en permettant la communication de suivi. Cette combinaison , anonymat plus dialogue itératif , vise à produire des signalements à la fois sûrs pour l’individu et utiles pour les enquêteurs.
4) Langue et preuves : réduire les obstacles aux signalements exploitables
La Commission indique que les lanceurs d’alerte peuvent soumettre des informations « dans n’importe quelle langue officielle de l’UE et dans tout format pertinent ». Dans un marché à l’échelle de l’UE, avec des effectifs diversifiés et des chaînes d’approvisionnement en IA transfrontalières, la réception multilingue n’est pas un simple confort ; c’est une nécessité pour l’application des règles.
Autoriser « tout format pertinent » indique que la Commission s’attend aux types de supports que les personnes en interne possèdent réellement : documents, captures d’écran, journaux, projets de politiques, communications internes, résultats de tests ou évaluations des risques. C’est particulièrement précieux dans les contextes d’IA, où les artefacts techniques et de gouvernance constituent souvent les preuves les plus solides de ce qui était connu, à quel moment, et des garde-fous qui ont été (ou n’ont pas été) appliqués.
Cette approche reflète les pratiques antérieures de la Commission. En avril 2024, la Commission a lancé des outils de signalement pour le Digital Services Act (DSA) et le Digital Markets Act (DMA), autorisant des soumissions anonymes (ou non anonymes) dans toute langue officielle de l’UE et acceptant un large éventail de supports (tels que rapports, notes, courriels et métriques de données). Le portail de l’AI Act s’inscrit dans ce schéma établi, adapté aux risques et acteurs propres à l’IA.
5) Où le trouver : accès au portail, FAQ et références officielles
L’annonce de la Commission inclut un lien officiel vers le portail de soumission de l’outil de signalement de l’AI Act, rendant le canal directement accessible plutôt que dissimulé derrière des formulaires de contact généraux. C’est important, car le signalement est très sensible : des étapes supplémentaires, des incertitudes ou un acheminement flou peuvent dissuader de signaler.
Le 25 novembre 2025, la Commission a également référencé l’outil dans le guichet de service de l’AI Act sous « Resources », avec une entrée dédiée « Access the AI Act Whistleblower Tool » et un lien vers une FAQ. La centralisation de l’accès et des orientations aide les rapporteurs à comprendre quelles informations sont utiles, comment fonctionne l’anonymat et à quoi s’attendre après la soumission.
Des guides pratiques ont également commencé à situer le portail dans des flux de conformité concrets. Un aperçu du 5 décembre 2025 dans la presse juridique/économique espagnole (Cinco Días) a décrit l’outil comme un « canal confidencial y seguro » pour les signalements liés à l’AI Act et a noté qu’il peut coexister avec les canaux de signalement internes, un point important pour les organisations qui disposent déjà de lignes d’alerte ou de mécanismes d’expression.
6) Ce que cela pourrait changer pour la gouvernance de l’IA et la conformité des entreprises
Pour les régulateurs, le portail peut accroître le volume et la qualité des informations exploitables. Les systèmes d’IA peuvent être opaques de l’extérieur et les audits formels peuvent être périodiques ; les signalements des lanceurs d’alerte peuvent révéler plus tôt des problèmes, notamment en matière de gouvernance des données d’entraînement, de documentation, de contrôles des risques, de gestion des incidents ou d’allégations faites aux clients et aux utilisateurs.
Pour les entreprises et les fournisseurs de modèles, le portail rehausse les enjeux de la gouvernance interne. Si des professionnels peuvent signaler des violations présumées directement au Bureau européen de l’IA avec de solides protections d’anonymat, les organisations peuvent être davantage exposées lorsque l’escalade interne est ignorée ou lorsque la documentation et la gestion des risques sont faibles.
Parallèlement, l’outil peut encourager de meilleures cultures d’expression interne. Si les entreprises souhaitent que les employés fassent remonter leurs préoccupations d’abord en interne, elles peuvent renforcer les voies de signalement internes, améliorer les garanties de non-représailles et s’assurer que les équipes de conformité à l’AI Act peuvent répondre de manière crédible, car une alternative externe et chiffrée existe désormais.
Le portail de lanceurs d’alerte de l’AI Act de l’UE marque un passage de « règles sur le papier » à une posture d’application plus opérationnelle. En combinant une voie directe vers le Bureau européen de l’IA avec le signalement anonyme, un suivi sécurisé, une réception multilingue et la prise en charge de formats de preuves variés, la Commission construit une infrastructure destinée à traduire l’intention réglementaire en véritable supervision.
Que le portail devienne ou non une pierre angulaire de l’application de l’AI Act dépendra de son adoption, des capacités d’enquête et de la clarté avec laquelle l’UE communique les résultats. Mais la direction est claire : lorsque des pratiques d’IA mettent en risque les droits fondamentaux, la santé ou la confiance du public, la Commission veut que les professionnels proches des systèmes disposent d’un moyen sécurisé pour s’exprimer et pour poursuivre l’échange sans révéler leur identité.
