AdmisConcours
Recrutements Bibliothèque Concours
← Décryptages thématiques
Droit de l'Union européenne 15/04/2026

Le lancement restreint de Mythos par Anthropic et l'impuissance régulatrice européenne : l'AI Act à l'épreuve de la souveraineté technologique américaine et des risques cyber offensifs

Anthropic a annoncé le lancement en accès restreint de son modèle Mythos, issu du projet Glasswing, capable de détecter et d'exploiter des failles de sécurité informatique. La distribution du modèle est explicitement réservée à un cercle limité d'acteurs américains, dans une logique de filtrage géopolitique des bénéficiaires. Cette annonce intervient dans un contexte de concentration accélérée du marché de l'IA, où Anthropic s'est imposé avec sa plateforme agentique Cowork et Claude Code, tandis qu'OpenAI a riposté avec Codex et le navigateur Atlas. Le règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (AI Act), publié au JOUE le 12 juillet 2024 et dont les obligations relatives aux modèles d'IA à usage général sont entrées en application le 2 août 2025, se trouve frontalement confronté à un acteur qui choisit unilatéralement de ne pas mettre son produit le plus sensible sur le marché européen. La situation cristallise une triple problématique : l'effectivité extraterritoriale du droit européen, la protection des intérêts essentiels de sécurité de l'Union et l'asymétrie réglementaire transatlantique en matière de cybersécurité offensive.

L'AI Act et la qualification juridique de Mythos : entre GPAI à risque systémique et système à haut risque

Le règlement (UE) 2024/1689 distingue plusieurs catégories de systèmes selon une approche graduée par les risques. Mythos relève à l'évidence de la catégorie des modèles d'IA à usage général (GPAI) au sens de l'article 3, point 63 du règlement, et présente très probablement un risque systémique au sens de l'article 51, dès lors que la puissance de calcul cumulée pour son entraînement dépasse le seuil présomptif de 10^25 FLOPS. À ce titre, son fournisseur serait tenu, en application de l'article 55, de procéder à des évaluations de modèles incluant des tests contradictoires (red-teaming), d'évaluer et atténuer les risques systémiques, de signaler les incidents graves au Bureau européen de l'IA institué par l'article 64, et d'assurer un niveau adéquat de cybersécurité. La capacité offensive de Mythos pourrait par ailleurs justifier sa qualification comme système à haut risque au sens de l'annexe III, voire son interdiction partielle au titre des pratiques prohibées par l'article 5 si ses usages tombaient sous le coup de la manipulation comportementale ou de l'exploitation de vulnérabilités. Les sanctions prévues par l'article 99 du règlement peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, à condition toutefois que le modèle soit effectivement mis sur le marché de l'Union.

L'effectivité territoriale du droit européen : les limites de l'effet Bruxelles face à un retrait commercial volontaire

L'article 2 du règlement (UE) 2024/1689 retient un champ d'application large fondé sur le critère de la mise sur le marché ou de la mise en service dans l'Union, ainsi que sur celui de la production de résultats utilisés dans l'Union, transposant la logique extraterritoriale déjà éprouvée par le règlement général sur la protection des données (règlement (UE) 2016/679, article 3). Cette construction, qualifiée par la doctrine d'effet Bruxelles (Bradford), atteint cependant ses limites lorsque le fournisseur choisit délibérément de ne pas distribuer son modèle dans l'Union. La Cour de justice avait déjà admis dans l'arrêt Google Spain (CJUE, 13 mai 2014, C-131/12) une interprétation extensive du champ matériel du droit européen, mais cette extension suppose un rattachement effectif au territoire de l'Union. En l'espèce, l'absence volontaire de Mythos sur le marché européen prive les autorités nationales compétentes et le Bureau de l'IA de toute prise réglementaire directe, illustrant ce que la doctrine désigne comme le paradoxe de la régulation : protéger sans pouvoir contraindre l'innovation. La stratégie d'Anthropic peut être lue comme une réponse rationnelle aux coûts de mise en conformité, mais elle révèle surtout l'asymétrie structurelle entre une Union européenne régulatrice et des États-Unis producteurs.

La souveraineté numérique européenne et la doctrine de l'autonomie stratégique

Le sujet s'inscrit dans la doctrine de l'autonomie stratégique ouverte de l'Union, formalisée par les conclusions du Conseil européen des 1er et 2 octobre 2020 et déclinée dans la stratégie européenne en matière de cybersécurité (communication conjointe JOIN/2020/18). La directive (UE) 2022/2555 du 14 décembre 2022 (NIS 2) renforce les obligations de cybersécurité des entités essentielles et importantes, tandis que le règlement (UE) 2024/2847 du 23 octobre 2024 sur la cyber-résilience (Cyber Resilience Act) impose des exigences essentielles aux produits comportant des éléments numériques. Aucun de ces textes ne permet toutefois d'imposer à un fournisseur étranger la mise à disposition d'un outil défensif jugé stratégique. Le programme Europe numérique (règlement (UE) 2021/694) et l'initiative AI Factories annoncée par la Commission en 2024 tentent de combler le retard, mais l'écart capacitaire avec les acteurs américains demeure considérable. Le Conseil constitutionnel français a rappelé dans sa décision n° 2018-765 DC du 12 juin 2018 (loi RGPD) que la protection des données et de la sécurité numérique relève d'un objectif de valeur constitutionnelle, prolongeant la jurisprudence sur la protection de l'ordre public numérique.

Le droit international comparé : l'approche fragmentée des contrôles à l'exportation des technologies sensibles

Aux États-Unis, l'Executive Order 14110 du 30 octobre 2023 sur le développement sûr et digne de confiance de l'IA, complété par les Export Administration Regulations administrées par le Bureau of Industry and Security, encadre déjà la diffusion des modèles à capacités duales, notamment en matière de cybersécurité offensive. Le règlement (UE) 2021/821 du 20 mai 2021 sur le contrôle des exportations de biens à double usage couvre certaines technologies de cybersurveillance mais ne saisit qu'imparfaitement les modèles fondationnels. La Chine a adopté en juillet 2023 ses Mesures provisoires pour la gestion des services d'IA générative, tandis que le Royaume-Uni a privilégié une approche sectorielle non législative. Cette fragmentation rend illusoire toute régulation purement européenne d'un objet par nature global. La CJUE a souligné dans l'arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18) la nécessité de garantir un niveau de protection équivalent en cas de transferts internationaux, raisonnement transposable mutatis mutandis aux flux de modèles d'IA, mais qui suppose l'existence d'un cadre conventionnel.

Les enjeux institutionnels : Bureau européen de l'IA, Convention-cadre du Conseil de l'Europe et gouvernance multiniveaux

Le Bureau européen de l'IA, institué au sein de la Commission par la décision C(2024) 390 du 24 janvier 2024, dispose de pouvoirs d'investigation et de sanction à l'égard des fournisseurs de GPAI, mais son action présuppose la mise sur le marché européen. La Convention-cadre du Conseil de l'Europe sur l'intelligence artificielle, les droits de l'homme, la démocratie et l'État de droit, adoptée le 17 mai 2024 et ouverte à la signature le 5 septembre 2024, premier instrument international juridiquement contraignant en la matière, offre un cadre potentiellement plus large mais demeure tributaire des ratifications nationales. L'articulation avec la Charte des droits fondamentaux, notamment ses articles 7 (vie privée), 8 (protection des données) et 47 (droit à un recours effectif), confère au juge européen un rôle structurant. Les lignes directrices publiées par la Commission le 18 juillet 2025 sur les modèles GPAI précisent les obligations applicables, mais leur portée s'arrête à la frontière du marché unique.

Enjeux pour les concours

Les candidats doivent maîtriser plusieurs blocs de connaissances. Sur le cadre matériel : le règlement (UE) 2024/1689 du 13 juin 2024 (AI Act), son approche graduée par les risques, la qualification des GPAI (articles 3, 51 et 55), les sanctions de l'article 99, le calendrier d'application échelonné jusqu'au 2 août 2027. Sur la cybersécurité : la directive NIS 2 (UE) 2022/2555, le Cyber Resilience Act (UE) 2024/2847, le règlement biens à double usage (UE) 2021/821. Sur l'extraterritorialité : la logique du critère de mise sur le marché et de production d'effets dans l'Union, la jurisprudence Google Spain (CJUE, 13 mai 2014, C-131/12) et Schrems II (CJUE, 16 juillet 2020, C-311/18). Sur la souveraineté numérique : la doctrine d'autonomie stratégique ouverte, la décision du Conseil constitutionnel n° 2018-765 DC du 12 juin 2018, l'objectif de valeur constitutionnelle de protection de l'ordre public numérique. Sur la gouvernance internationale : la Convention-cadre du Conseil de l'Europe du 17 mai 2024, la Charte des droits fondamentaux (articles 7, 8 et 47 CDFUE), le rôle du Bureau européen de l'IA. Le cas Mythos illustre la tension fondamentale entre puissance régulatrice et capacité productive, et permet de problématiser les limites de l'effet Bruxelles : le droit de l'Union peut imposer des standards mondiaux à ceux qui veulent accéder à son marché, mais demeure impuissant face à un retrait stratégique. Cette problématique est susceptible de nourrir des sujets de dissertation en droit de l'Union, droit international public ou culture générale administrative.

Partager

Fiches pour approfondir

Les pouvoirs législatifs du Parlement européen : de la consultation à la codécision
Droit de l'Union européenne
Le dialogue des juges : mécanismes et enjeux de la coopération juridictionnelle
Droit de l'Union européenne
Le Conseil européen : genèse et nature juridique d'une institution atypique
Droit de l'Union européenne
Les greffiers des juridictions internationales : fonctions et spécificités comparées
Droit de l'Union européenne

Autres brèves — Droit de l'Union européenne

L'alignement dynamique des normes britanniques sur le droit de l'Union européenne : un rapprochement réglementaire inédit aux confins de l'ordre juridique communautaire
Le règlement européen « Retour » sur l'expulsion des ressortissants de pays tiers en séjour irrégulier : le passage de la directive au règlement comme vecteur d'harmonisation contraignante de la politique migratoire de l'Union
Le « missile tour » du commissaire européen à la défense Andrius Kubilius et l'émergence d'une politique industrielle européenne de défense : la PSDC à l'épreuve de l'autonomie stratégique et du déficit capacitaire antiaérien
La défaite historique de Viktor Orbán aux législatives hongroises du 12 avril 2026 : fin d'un cycle illibéral et perspective d'un apaisement avec l'Union européenne
La trajectoire budgétaire française à l'épreuve des critères de Maastricht et du nouveau pacte de stabilité réformé : entre engagements européens et soutenabilité de la dette