CONCEPTS — DU MODÈLE AU SYSTÈME · PROVENANCE
Sources officielles et travaux de recherche vérifiés au 18 juillet 2026.
La question tombe dans tous les métiers qui manipulent de l'écrit ou de l'image. Un recruteur reçoit une lettre de motivation impeccable. Un enseignant lit un devoir dont le style a changé du jour au lendemain. Une équipe conformité doit attester, sur un rapport transmis au régulateur, ce qui vient d'un modèle et ce qui vient d'un humain. Même demande : prouver l'origine.
Le marché propose trois réponses techniques que le vocabulaire courant mélange en permanence — on parle indifféremment de « filigrane », de « détection IA » ou de « signature ». Ce sont trois objets radicalement différents : ils n'interviennent pas au même moment, ne prouvent pas la même chose, ne se cassent pas de la même manière. Les confondre, c'est prendre une devinette probabiliste pour une preuve opposable.
Trois familles, trois promesses différentes
La différence fondamentale tient au moment d'intervention. Le filigrane et les métadonnées sont posés à la source, par celui qui génère, et supposent sa coopération. Le détecteur intervient après coup, sur un contenu dont on ne sait rien, sans coopérer avec personne. Cette asymétrie explique tout le reste : un dispositif posé à la source se vérifie — le filigrane cherche un signal qu'il sait avoir été inséré, les métadonnées contrôlent une signature dont la chaîne de confiance est traçable. Le détecteur, lui, n'a que le contenu fini, et doit inférer une intention de production à partir de propriétés de surface : régularité du vocabulaire, prévisibilité statistique, uniformité du rythme.
Les trois ne répondent d'ailleurs pas à la même question. Le filigrane : « ce contenu porte-t-il la marque d'un générateur donné ? ». Les métadonnées : « quelqu'un a-t-il déclaré, de façon vérifiable, comment ce fichier a été produit ? ». Le détecteur : « ce texte ressemble-t-il à ce que produirait une IA ? ». Seule la troisième est celle que se pose l'organisation confrontée à un contenu suspect — et c'est précisément celle à laquelle on ne sait pas répondre.
Les trois familles comparées : moment d'intervention, nature de ce qu'elles établissent, point de rupture connu. Le filigrane et les métadonnées supposent la coopération de celui qui génère ; le détecteur s'en passe, au prix de ne produire qu'une estimation. Les points de rupture ne se recouvrent pas — ce qui détruit l'un laisse souvent l'autre intact.
Le filigrane : un biais invisible dans le choix des mots
Le principe a été posé en janvier 2023 par une équipe de l'université du Maryland, dans « A Watermark for Large Language Models ». À chaque étape, le modèle choisit le prochain token parmi des dizaines de milliers d'entrées. On partitionne pseudo-aléatoirement ce vocabulaire en liste « verte » et liste « rouge », puis on biaise légèrement l'échantillonnage vers la verte. Le texte reste fluide — mais contient trop de tokens verts pour que le hasard l'explique. Il suffit de rejouer la même partition pour mesurer si l'écart est significatif. Les auteurs indiquent un signal détectable dès une centaine de tokens, sans accès aux poids du modèle.
Le passage à l'échelle est venu de Google DeepMind avec SynthID-Text, décrit dans Nature en octobre 2024. L'argument fort est le test en conditions réelles — selon la couverture de la MIT Technology Review, environ 20 millions de réponses Gemini, filigranées ou non, ont été comparées sans que les utilisateurs perçoivent de différence. Le mécanisme est open source dans Hugging Face Transformers depuis la version 4.46.0, avec un détecteur bayésien à trois états — filigrané, non filigrané, incertain — aux seuils réglables. Cette troisième réponse est une honnêteté rare dans ce domaine.
Le périmètre de SynthID dépasse le texte : image depuis août 2023, audio, vidéo, avec une robustesse revendiquée au recadrage, aux filtres, à la compression JPEG et au décalage colorimétrique. C'est l'avantage du filigrane sur les métadonnées : il vit dans le contenu, pas à côté.
Son point de rupture est net. Les travaux d'évaluation adversariale, notamment « Watermark under Fire » et les études sur les attaques par paraphrase, montrent que les filigranes encaissent les perturbations mineures mais se dégradent sous la paraphrase profonde et la traduction-relais. La raison est mécanique : le filigrane vit dans la statistique du choix des tokens, et réécrire revient à rechoisir les tokens. Ces travaux relèvent que le « polissage » par un second modèle abîme davantage le signal que la simple retraduction. Faire réécrire un texte filigrané par une autre IA est donc l'attaque la plus simple, et l'une des plus efficaces.
Un filigrane vit dans la statistique du choix des mots. Réécrire le texte, c'est rechoisir les mots — et c'est précisément ce qu'une paraphrase automatique fait le mieux.
— Principe de fragilité des filigranes textuels
La provenance : signer le fichier, et tout perdre au premier recadrage
La seconde famille ne touche pas au contenu : elle lui attache une déclaration. La spécification technique C2PA — version 2.4 en vigueur début 2026 — définit un manifeste signé cryptographiquement : outil utilisé, date, transformations subies, identité du signataire. La signature garantit que la déclaration n'a pas été altérée depuis son émission.
L'adoption matérielle est réelle : une revue des appareils compatibles en 2026 recense la signature à la capture chez Leica, Sony, Nikon, Canon et Samsung, et Google a porté le C2PA sur smartphone avec la série Pixel 10, au niveau d'assurance le plus élevé de la norme. La même source documente un échec instructif : le firmware C2PA du Nikon Z6 III a été suspendu après une vulnérabilité critique de signature, tous les certificats révoqués, le service non rétabli début 2026. Une chaîne de confiance casse au maillon le plus faible.
La faiblesse structurelle est ailleurs, et bien plus banale. Les métadonnées C2PA sont logées dans le conteneur du fichier — au format JUMBF — et non dans les pixels. Toute opération qui ré-encode l'image les détruit : redimensionnement, changement de format, recompression par une plateforme sociale. Une analyse des limites du standard souligne le cas le plus radical : la capture d'écran ne dégrade pas le manifeste, elle crée un fichier entièrement nouveau, sans aucune référence à l'original. Le contenu visuel survit ; la preuve d'origine tombe à zéro.
Le cycle de vie d'une image et la perte progressive de sa provenance. Créée avec métadonnées signées et filigrane intégré, elle traverse une publication, un partage social qui la recompresse, puis une capture d'écran qui produit un fichier neuf. Le manifeste C2PA perd du terrain à chaque étape ; seul le filigrane inscrit dans les pixels garde une chance d'être détectable en bout de chaîne.
Le standard a pris acte de cette fragilité. C2PA 2.0 a introduit le soft binding : un filigrane invisible embarqué dans les valeurs de pixels plutôt que dans des métadonnées détachables. L'industrie a prolongé cette logique en 2026. Le 19 mai, OpenAI a rejoint le comité de pilotage du C2PA et annoncé l'intégration du filigrane SynthID en complément de ses métadonnées ; le même jour, Google annonçait la vérification C2PA et la détection SynthID nativement dans son moteur de recherche et son navigateur. La justification résume tout le sujet : les métadonnées apportent le contexte riche, le filigrane apporte la durabilité — aucune des deux n'est suffisante seule.
Les détecteurs a posteriori : pourquoi on a arrêté d'y croire
Reste la troisième famille, la plus vendue et la plus fragile. Son discrédit commence par l'aveu de l'un de ses promoteurs. OpenAI avait mis en ligne fin janvier 2023 un classifieur destiné à repérer les textes écrits par IA ; il a été retiré le 20 juillet 2023 pour « faible taux de précision ». Les chiffres publiés par l'éditeur, repris par TechCrunch, sont sans appel : 26 % seulement des textes réellement générés par IA étaient correctement identifiés, et 9 % des textes humains étaient étiquetés à tort. Un outil qui rate trois quarts des cas cibles et accuse à tort près d'un texte humain sur onze n'est pas un outil de preuve.
Le second coup vient de la recherche, et il porte sur l'équité. Dans une étude publiée le 10 juillet 2023 dans Patterns (Cell Press), une équipe de Stanford a évalué sept détecteurs GPT largement utilisés sur deux corpus : essais d'élèves américains locuteurs natifs, et essais TOEFL rédigés par des non-natifs. Précision quasi parfaite côté natifs — et une majorité des essais TOEFL mal classés comme générés par IA. La cause est comprise : ces détecteurs s'appuient sur la richesse et l'imprévisibilité lexicale. Un locuteur non natif écrit dans un registre plus simple ; le détecteur lit cette régularité comme une signature de machine. Les auteurs concluent au risque de marginalisation des non-natifs dans les contextes évaluatifs et éducatifs.
Les institutions en ont tiré les conséquences : Vanderbilt University a désactivé le détecteur IA de Turnitin dès août 2023, et l'University of Texas at Austin a interdit l'achat d'outils de détection IA en 2024, invoquant faux positifs, biais contre les non-natifs et procédure équitable. Turnitin avait reconnu en juin 2023 que le taux de faux positifs de son détecteur dépassait ses annonces initiales.
La raison de fond rejoint un thème récurrent de ce blog. Un détecteur est un classifieur entraîné sur des données : il hérite des biais de son corpus d'apprentissage — ici, une conception implicite du « bon » texte humain. Et il produit une sortie assertive sur une base incertaine, comme un modèle génératif énonce une affirmation fausse avec aplomb. Un score de 87 % sans intervalle de confiance est une opinion en habit de chiffre.
Ce que la réglementation exige vraiment
Les textes qui entrent en application ne parient pas sur la détection : ils imposent le marquage à la source, c'est-à-dire les deux premières familles, pas la troisième.
Dans l'Union européenne, l'article 50 de l'AI Act impose deux obligations : aux fournisseurs de systèmes d'IA générative, marquer les sorties dans un format lisible par machine et détectable comme générées ou manipulées artificiellement ; aux déployeurs de systèmes produisant des deepfakes, divulguer que le contenu est généré, avec un régime allégé pour les œuvres manifestement artistiques ou satiriques. Application à partir du 2 août 2026. Un accord provisoire dit « AI Omnibus » de mai 2026 accorde aux systèmes déjà sur le marché un délai jusqu'au 2 décembre 2026 ; les systèmes lancés après le 2 août 2026 s'y conforment immédiatement.
La Chine a devancé ce calendrier. Les mesures d'étiquetage publiées par l'administration du cyberespace en mars 2025, avec la norme nationale obligatoire GB 45438-2025, sont en vigueur depuis le 1er septembre 2025. Leur particularité : exiger les deux niveaux à la fois — étiquetage explicite, visible par l'utilisateur, et étiquetage implicite, filigrane ou métadonnées identifiant le fournisseur de service. Les grandes plateformes ont instauré une déclaration obligatoire pour les créateurs, avec des sanctions allant du retrait de contenu à la suspension.
En Californie, la loi applicable est le California AI Transparency Act (SB 942), signé le 19 septembre 2024 : filigrane de provenance caché et lisible par machine dans les images, vidéos et audio générés, plus un outil gratuit de détection. Son amendement AB 853, signé en octobre 2025, a repoussé l'entrée en vigueur du 1er janvier 2026 au 2 août 2026 et ajouté des obligations pour les plateformes d'hébergement au 1er janvier 2027. Un mot de vigilance : le texte AB 3211, souvent cité dans les notes de veille comme la grande loi californienne du filigranage, n'est jamais devenu loi. Placé au fichier inactif fin août 2024, il n'a jamais atteint le bureau du gouverneur. Le citer comme réglementation en vigueur est une erreur courante.
| Famille | Ce que ça prouve | Qui doit l'activer | Ce qui le détruit | Valeur en cas de litige |
|---|---|---|---|---|
| Filigrane statistique | La présence d'un signal délibérément inséré, avec une significativité statistique mesurable | L'éditeur du modèle, à la génération | Paraphrase profonde, réécriture par un autre modèle, traduction-relais. Côté image : résiste au recadrage et à la compression | Indice sérieux si le signal est présent ; son absence ne prouve rien |
| Métadonnées de provenance (C2PA) | Qu'une déclaration signée sur l'origine et les transformations existe et n'a pas été altérée | Le producteur du fichier : appareil photo, logiciel d'édition, plateforme de génération | Capture d'écran, recompression, changement de format, pipeline de diffusion des réseaux sociaux | Fort si le manifeste est intact et la chaîne de certificats valide ; nul dès qu'il a sauté |
| Détecteur a posteriori | Rien de vérifiable — une estimation de ressemblance à un style dit « IA » | Personne : s'applique sans coopération de la source | Rien ne le « détruit » : il est faillible dès l'origine et biaisé contre les écritures régulières | Aucune. Faux positifs documentés et inégalement répartis ; désactivé par plusieurs institutions |
Ce qui marche en pratique : tracer le processus, pas le fichier
La conclusion est inconfortable mais nette. Pour un contenu déjà diffusé, sans dispositif de traçage posé en amont, aucune des trois familles ne donne de certitude d'origine. Il n'existe pas d'outil qui rende sa provenance à un fichier qui l'a perdue.
D'où un déplacement du problème. Plutôt que de détecter a posteriori, l'organisation gagne à rendre le processus traçable : conserver historiques de versions et brouillons intermédiaires, journaliser quels outils ont été appelés et quand, exiger une déclaration d'usage plutôt qu'un verdict de machine, privilégier les formats et plateformes qui préservent les métadonnées au lieu de les écraser. Un document dont on peut exhiber les quinze états successifs horodatés est mieux établi qu'un document dont un détecteur affirme à 87 % qu'il est humain.
Le raisonnement vaut aussi vers l'amont. Quand des sorties de modèles circulent sans marquage et reviennent dans les corpus, on retombe sur le problème que pose l'entraînement d'une IA sur des données produites par une IA : la provenance est une condition d'hygiène pour les jeux de données de demain, pas seulement un enjeu de conformité. Et le sujet dépasse le texte — dès lors qu'un même système produit indifféremment texte, image, audio et vidéo, le marquage doit être traité modalité par modalité, avec des points de rupture propres à chacune.
Cette série a suivi la chaîne qui relie un modèle à un système en production : aller chercher la bonne information, déclencher une action, servir la réponse assez vite, se fournir en poids sans importer de porte dérobée, et prouver ce qui a été produit. Le fil est partout le même. La confiance dans un système d'IA ne se fabrique pas en aval, à coups de détecteurs qui devinent : elle se construit en amont — qualité des données, maîtrise de la provenance des poids, garde-fous autour de l'exécution, traces que l'on décide de conserver. Un système dont on ne peut pas expliquer d'où viennent les entrées ne démontrera jamais d'où viennent les sorties. C'est moins spectaculaire qu'un pourcentage affiché — mais c'est la seule chose qui tient devant un contradicteur.
Une question, un projet IA ?
Vous devez documenter l'usage de l'IA dans vos contenus, préparer les obligations de transparence, ou fixer une politique interne qui tienne devant un auditeur — échangeons sur votre contexte.
Prendre contact →Pour aller plus loin : côté pratique, nos décryptages d'outils IA suivent l'arrivée des vérificateurs de provenance dans les plateformes du quotidien ; et sur le versant qualité des sorties, l'article « Pourquoi l'IA hallucine » éclaire pourquoi un verdict assertif n'est jamais, à lui seul, un verdict fiable.