La Commission européenne investigate activement les implications pratiques de la décision d'Anthropic de déployer Claude Mythos, un modèle d'IA avancé doté d'une spécialité inhabituelle : découvrir des vulnérabilités logicielles mieux que la plupart des experts humains. Cette révision constitue l'un des exemples les plus visibles à ce jour de l'exercice par Bruxelles de son pouvoir réglementaire sur une entreprise d'IA basée aux États-Unis opérant dans le cadre émergent de gouvernance de l'IA en Europe.
Anthropic s'est engagée au Code de conduite de l'UE pour les IA à usage général en juillet 2025, se positionnant comme un acteur coopératif avant l'application de la loi sur l'IA en août 2025. Ce bon vouloir est désormais mis à l'épreuve alors que les régulateurs tentent de comprendre ce que signifie concrètement le fait qu'une entreprise étrangère développe un outil capable de révéler systématiquement des failles dans les infrastructures logicielles critiques.
Ce que Mythos fait et pourquoi Bruxelles s'en préoccupe
Le modèle a démontré des capacités de détection de vulnérabilités logicielles dépassant celles de la plupart des analystes humains, en avril 2026, lorsque ses capacités sont devenues plus largement comprises.
La Commission européenne a confirmé avoir tenu au moins quatre ou cinq réunions avec Anthropic d'ici mai 2026, à compter d'avril 2026. Ces discussions se seraient concentrées sur deux axes : les stratégies d'atténuation des risques et un éventuel accès à Mythos pour les entités de l'UE, y compris l'ENISA, l'Agence de l'Union européenne pour la cybersécurité.
Au mois de juin 2026, les discussions étaient toujours en cours, sans résolution finale annoncée publiquement.
La question de la souveraineté cachée en pleine vue
La situation Mythos est devenue un point de tension accumulé sur le paysage politique européen : la dépendance technologique vis-à-vis des entreprises américaines d'IA. L'intérêt de la Commission à garantir l'accès à Mythos pour des agences comme l'ENISA révèle le côté pragmatique de ce dilemme.
L'ensemble du cadre de la loi sur l'IA de l'UE a été conçu en partie pour garantir que les citoyens et institutions européennes ne soient pas soumis à des décisions technologiques unilatérales prises par des entreprises dont le siège est ailleurs. L'engagement volontaire d'Anthropic envers le code de conduite pour les IA à usage général était une étape vers la conformité, mais les engagements volontaires et les obligations contraignantes sont deux choses très différentes.
Ce que cela signifie pour les investisseurs
Pour toute personne ayant un intérêt dans le secteur de l’IA, l’analyse de Mythos mérite d’être suivie de près, car elle établit un précédent sur la manière dont l’UE traite les capacités d’IA avancées touchant à la sécurité nationale. Si Bruxelles décide que les modèles ayant des applications significatives en cybersécurité nécessitent des accès spéciaux ou des restrictions opérationnelles à l’intérieur des frontières de l’UE, ce modèle s’appliquera à toutes les entreprises d’IA, et non seulement à Anthropic. OpenAI, Google, Meta et toute autre entreprise développant des modèles de pointe seraient soumis au même cadre.
Les réunions entre Bruxelles et Anthropic sont toujours en cours, ce qui signifie que la forme finale de tout accord reste inconnue. L'UE entend être un partenaire négociateur actif quant au déploiement des modèles d'IA puissants sur son territoire, et non un consommateur passif de ce que la Silicon Valley décide d'envoyer.