JanitorAI annonce le blocage de son service pour les utilisateurs britanniques en raison de la régulation de l’Online Safety Act au Royaume-Uni

 (blog.janitorai.com)
2 points par GN⁺ 2025-07-22 | 1 commentaires | Partager sur WhatsApp
  • JanitorAI, une plateforme de chatbot où l’on crée des personnages IA personnalisés pour discuter avec eux, a officiellement annoncé le blocage de son service au Royaume-Uni (Angleterre, Écosse, pays de Galles, Irlande du Nord) à partir du 24 juillet
  • Cette décision est due à la régulation excessive de l’Online Safety Act britannique et à la lourde charge juridique et financière qu’elle implique (jusqu’à 18 millions de livres d’amende, avec possibilité de poursuites pénales contre l’équipe dirigeante)
  • Des obligations de niveau grand groupe comme les évaluations de risques juridiques, la mise en place de systèmes d’authentification biométrique et un examen juridique continu s’appliquent aussi aux petits services, créant une véritable barrière à l’entrée pour les petites plateformes
  • JanitorAI explique cette séparation d’avec sa communauté britannique comme un « choix inévitable pour protéger l’équipe », tout en explorant diverses solutions de mise en conformité pour l’avenir, comme la vérification des mineurs
  • Les utilisateurs ne subiront aucune autre conséquence que la restriction d’accès : les comptes ne seront pas supprimés, l’accès sera simplement limité depuis les IP britanniques

Annonce du blocage du service et contexte

  • JanitorAI a annoncé qu’il bloquera l’accès depuis le Royaume-Uni à partir du 24 juillet 2025 à 23:59 (UTC)
  • L’annonce, faite dans l’urgence seulement quatre jours à l’avance, s’accompagne d’excuses adressées aux utilisateurs britanniques

L’impact de l’Online Safety Act britannique

  • L’équipe du service avait d’abord mal compris la portée de l’Online Safety Act, avant de réaliser tardivement qu’il ne s’agissait pas simplement de modération de contenu, mais d’une réglementation de niveau grand groupe applicable à toutes les plateformes
  • Des obligations comme les évaluations de risques juridiques, l’authentification biométrique (par exemple Persona adopté par Reddit, à 1,5 dollar par personne) et des revues juridiques permanentes sont imposées, à un niveau impossible à supporter pour les petits acteurs
  • En cas de non-conformité, cela peut entraîner jusqu’à 18 millions de livres d’amende et une responsabilité pénale des dirigeants (avec risque d’emprisonnement)

Une conformité impossible et des critiques de la politique

  • Entre les quelque 250 pages de la loi, plus de 3 000 pages de lignes directrices de l’Ofcom et l’absence de dispositions dérogatoires pour les petites plateformes, la conformité est jugée irréaliste en pratique
  • Le gouvernement britannique est critiqué pour se présenter comme un hub de l’innovation tout en construisant en réalité un système que seuls les grands groupes comme Google peuvent supporter

Impact sur les utilisateurs et informations pratiques

  • À partir du 24 juillet, les accès à JanitorAI depuis des IP britanniques afficheront une page de blocage
  • Les comptes des résidents britanniques ne seront pas supprimés : seule la restriction d’accès s’appliquera
  • Si un utilisateur contourne la restriction, la responsabilité juridique incombe uniquement au fournisseur de service (la plateforme), sans sanction légale pour l’utilisateur

Plans futurs et position de l’entreprise

  • JanitorAI précise qu’il n’abandonne pas complètement le marché britannique et explore activement des moyens supplémentaires de se conformer à la réglementation, comme la vérification des mineurs
  • En exprimant la crainte que « de nombreuses plateformes innovantes prendront la même décision » et que « le Royaume-Uni choisit de s’isoler lui-même de l’innovation mondiale », l’entreprise demande aux utilisateurs et au gouvernement de participer à une pétition pour réexaminer la réglementation
  • L’équipe de JanitorAI souligne qu’il s’agit d’une mesure de blocage temporaire et laisse ouverte la possibilité d’une reprise du service si les exigences futures sont remplies

Corriger les malentendus (FAQ)

  • Les utilisateurs britanniques ne seront pas sanctionnés pour avoir utilisé JanitorAI ; les sanctions pénales ou financières ne concernent que les opérateurs de la plateforme
  • Il ne s’agit pas d’une suppression de compte : seul le blocage des accès depuis des IP britanniques s’applique
  • Si un utilisateur accède au service par d’autres moyens, cela relève d’un choix personnel, et l’absence de conséquence juridique est réaffirmée

À lire aussi

1 commentaires

 
GN⁺ 2025-07-22
Avis Hacker News

  • Je connais bien l’environnement des entreprises en Europe et au Royaume-Uni. C’est pareil non seulement dans l’administration, mais aussi dans de grands établissements comme les banques. On y recrute deux catégories d’employés : ceux qui font réellement avancer le travail, et ceux qui mettent le plus d’obstacles possible au nom de la gestion des risques, de la conformité, de la sécurité et de la réglementation (RCSR). Les effectifs RCSR sont recrutés à un volume trois fois supérieur à celui des équipes techniques. Ils produisent des milliers de pages de directives, au point de rendre le travail pratiquement impossible. Dans notre équipe tech, cela fait déjà quatre mois qu’on attend simplement une validation pour tester une mise à niveau de base de données. La direction n’ose jamais contredire les gens du RCSR, qui détiennent le pouvoir comme un clergé médiéval. Ils considèrent tout ce qui bouge comme un risque, sans objectif lié à des résultats concrets. Les managers pensent que le RCSR aide à garder le contrôle, mais en réalité cela ne fait qu’ajouter du travail vide de sens, jusqu’à enfermer l’entreprise derrière ses propres murs

    • Plus la surveillance RCSR s’intensifie, plus la sécurité réelle se dégrade. Les équipes en charge des politiques comprennent mal la technique et s’acharnent sur des sujets secondaires, ce qui gaspille l’énergie des développeurs. Par exemple, pour respecter la recommandation CIS dans k8s de ne pas stocker de secrets dans des variables d’environnement, notre équipe a dû passer deux semaines à modifier des charts Helm. C’est une charge de maintenance permanente avec très peu de bénéfice réel en sécurité. Pendant ce temps, on aurait pu mettre en place des mesures beaucoup plus utiles comme des politiques réseau ou du CSP. En haut de la chaîne, il n’y a que des matrices de risque et d’impact, sans aucune évaluation de l’effort réel ni des résultats. Au final, il ne reste plus d’ingénierie, seulement des tâches inutiles

    • J’imagine bien ce sentiment. En pratique, les ingénieurs ont tendance à être insensibles aux enjeux liés aux données. Les cadres juridiques sont souvent conçus par des gens qui ne connaissent pas le terrain, donc beaucoup de lois sont affreuses. Mais dans le monde réel, dès qu’on enfreint la loi, quelqu’un peut toujours engager une procédure, donc il faut rester constamment sur ses gardes. Aux États-Unis en particulier, des particuliers peuvent directement s’appuyer sur ce genre de lois pour attaquer en justice. Bien sûr, dans l’absolu, la plupart des exigences de conformité ne sont pas très complexes, mais elles deviennent d’autant plus agaçantes qu’elles entrent en conflit avec les pratiques de développement logiciel fondées sur l’usage libre des données. Autrefois, sur un blog public, c’était moins grave, mais aujourd’hui il peut être question d’informations médicales, financières ou autres, et en cas d’erreur on peut se retrouver avec une affaire à la Cambridge Analytica. Le poids de la responsabilité est donc bien plus lourd. C’est pénible, mais en tant qu’ingénieurs, nous devons être conscients des conséquences et des responsabilités liées à ce que nous construisons. Ce manque de conscience est à l’origine de nombreux incidents majeurs dans le secteur

    • Les États-Unis ont un problème comparable, mais un peu moins grave. Personne ne peut se permettre d’entrer en conflit avec les services conformité. En cas de procès, la question devient : « Pourquoi avez-vous ignoré l’avis de l’équipe conformité ? », et cela peut même faire tomber la protection juridique de l’entreprise. L’équipe conformité ne s’intéresse pas à l’avancement du business, tandis que les opérationnels n’ont pas vraiment d’incitation à respecter les règles. Au final, le risque contentieux conduit toujours à privilégier la conformité et une approche prudente

    • Ce n’est pas un problème propre à l’Europe. J’ai travaillé dans des entreprises très similaires aux États-Unis. Le vrai problème, c’est la structure des incitations : il y a la peur qu’une simple infraction réglementaire fasse fermer l’entreprise entière — du moins c’est l’hypothèse de la direction — alors qu’il n’y a aucune conséquence à ne pas accomplir la mission réelle. Dans ces conditions, ne rien faire devient le choix rationnel

    • Tu dis attendre depuis quatre mois l’autorisation de tester une mise à niveau de base de données ; moi, je râlais déjà quand il fallait une journée pour déployer en production après un changement. Dans mon entreprise précédente, cela prenait quatre heures. Avec de bons systèmes et de bons processus d’automatisation, la plupart des changements pourraient sans doute être approuvés rapidement. Ce qui est frustrant, c’est cette réaction organisationnelle qui consiste à ajouter toujours plus de gens dont le seul pouvoir est de dire « NON » à chaque incident ou évolution réglementaire

  • Je trouve l’approche britannique de la sécurité en ligne irréaliste et peu convaincante. On a toujours l’impression que les textes sont écrits par quelqu’un qui imprimerait encore ses e-mails pour les lire. Cela dit, le principe « petite plateforme = exemption » n’est pas forcément raisonnable non plus. Si l’objectif est de protéger les enfants, alors les contenus dangereux — par exemple l’incitation au suicide — restent un problème quelle que soit la taille de la plateforme. On peut même imaginer que des endroits petits et peu connus, comme certains sites de type chan, soient plus dangereux

    • Les petites entreprises ne demandent pas une exemption totale ; elles veulent au minimum que le respect de la réglementation reste possible sans être une grande entreprise. Par exemple, pour la taxe sur les emballages plastiques, une société comme Amazon peut monter une équipe dédiée et très bien s’en sortir, alors qu’un petit indépendant peut perdre de l’argent rien qu’à cause de la charge administrative. On pourrait préserver l’intention initiale tout en évitant des dégâts réels en appliquant aux entreprises sous un certain seuil de chiffre d’affaires un forfait avec moins de contraintes administratives

    • Le problème, c’est l’efficacité de la loi. Si, pour empêcher un impact d’astéroïde, on obligeait tous les bâtiments à avoir un toit en béton d’un mètre d’épaisseur, les petits bâtiments supporteraient une charge énorme tandis que les grands seraient à peine affectés. Même si cela semble absurde, ce type de régulation finit par chasser les petites entreprises du marché et ne laisser survivre que les grands groupes disposant de capitaux. Plus la société dans son ensemble tolère mal le risque, plus les phénomènes de capture réglementaire au profit des grands acteurs deviennent naturels

    • Le Royaume-Uni est un exemple typique de la manière dont la régulation tech fonctionne en pratique. J’ai aussi remarqué qu’il y a de plus en plus de commentaires sur Hacker News réclamant de la régulation. Dès qu’il y a des plaintes sur les LLM — erreurs, sorties ressemblant à du contenu protégé, etc. — on lit très souvent « il faut réguler » ou « il faut sanctionner ». Beaucoup imaginent qu’avec de la régulation, seuls les grands groupes seront punis et que les consommateurs profiteront de produits parfaits. En réalité, une régulation dure pousse surtout les entreprises à quitter le pays concerné, et les utilisateurs continuent quand même à se servir du service via un VPN. Les entreprises évitent les pays trop régulés ou y cessent leurs activités. Et quand on pointe les effets pervers de la régulation, on balaie cela d’un revers de main en disant qu’il suffisait d’exempter les petites entreprises. Plus on observe de près une régulation technologique sévère dans la vraie vie, plus on a tendance à la détester

    • L’objectif ultime de la régulation en ligne au Royaume-Uni finit souvent par être la « surveillance ». Il n’y a pas de vraie réflexion sur l’usage des données, mais une obsession pour les lois servant à surveiller

  • Ce genre de cas se répète aussi avec des situations comme https://www.thehamsterforum.com/threads/big-sad-forum-news-online-safety-act.2091/ (à noter qu’au Royaume-Uni, même un forum de passionnés de hamsters est effectivement devenu illégal)

    • Quand on voit que thehamsterforum en est venu à proposer à tout le monde de migrer sur Instagram, on comprend pourquoi les grandes entreprises se réjouissent de ce type de loi. Plus il y a de régulation, plus la barrière à l’entrée monte, et seuls les grands groupes disposant d’équipes de juristes internes peuvent encore participer

    • Je suis curieux de savoir pour quelle raison le forum a finalement repris ses activités après avoir mis en place « quelque chose de nouveau ». Ils disent avoir atteint la conformité via des changements de conditions d’utilisation et de nouveaux outils de modération, mais j’aimerais vraiment savoir à quelle conclusion ils sont arrivés pour estimer que le risque était écarté, et si ces outils sont réellement suffisants

    • Le forum est toujours en ligne, donc je me demande si le message d’origine n’était pas tout simplement erroné

    • C’est peut-être pour ça que le café dans la série Fleabag paraît plus ordinaire (même si les cochons d’Inde et les hamsters, ce n’est pas la même chose)

  • Je ne sais pas très bien quel type de service c’est, mais en regardant le site, on voit que c’est un service 18+ et qu’il interdit la « pédopornographie, les descriptions sexuelles de mineurs, le gore excessif, la zoophilie et les agressions sexuelles ». Je ne suis pas d’accord à 100 % avec l’Online Safety Act, mais pour ce genre de service, une évaluation des risques distincte semble clairement nécessaire

    • À la lecture de l’article, cela m’avait semblé problématique, mais après avoir regardé le site moi-même, j’ai trouvé l’explication insuffisante et il me semble bien qu’il y ait des risques qui justifient une certaine régulation. En revanche, je me demande si des services comparables mais nettement moins risqués sont eux aussi affectés de la même manière

    • Si je comprends bien, la fonction principale du service est de fournir aux utilisateurs des modèles d’IA très peu censurés. Tout est donc permis sauf les contenus illégaux — et ici, « illégaux » inclut non seulement les lois gouvernementales, mais aussi les règles imposées par les réseaux de paiement comme Visa ou Mastercard. Il y a probablement beaucoup de contenu sexuel à cause de la demande du marché adulte, mais cela tient à la demande, pas à la nature même du service

    • Leur grief semble moins porter sur l’évaluation des risques elle-même que sur son périmètre et son coût excessif

  • Il y a cette phrase : « Trouver un moyen d’accéder au site relève au final de la responsabilité de l’utilisateur, et l’utilisateur ne sera pas puni. » Si l’exploitant s’inquiétait réellement de sa responsabilité juridique, il n’aurait pas dû écrire cela ; ce passage affaiblit à la fois le billet en question et la crédibilité de ses efforts de conformité

    • En pratique, il est presque impossible d’empêcher les gens d’utiliser un VPN. À moins que l’État ne contrôle tous les FAI, et même le Royaume-Uni aurait du mal à aller aussi loin. Dans un pays normal, l’exploitant d’un site ne peut pas être tenu pour responsable de cela

    • L’exploitant a clairement indiqué viser un retour sur le marché britannique avec une conformité complète. Il a simplement mal évalué le périmètre de la régulation et bloqué le service au Royaume-Uni par mesure temporaire

  • Il est vraiment frustrant que les lois et règlements ne tiennent pas compte de la taille du fournisseur. On présente toujours les grands acteurs comme des méchants et on invoque la nécessité de « protéger les enfants » pour séduire l’opinion, mais au final cela avantage surtout les grandes entreprises. Elles seules peuvent absorber tous les coûts, notamment le conseil juridique, et finissent par capter l’ensemble du marché. L’AI Act suivra la même logique : les PME comme les consommateurs risquent d’en pâtir

    • En pratique, cette loi tient bien compte de la taille des fournisseurs, mais le problème est que le seuil de référence est calibré pour les grandes entreprises. C’est une structure façonnée par des années de lobbying des grands groupes. Officiellement, le Royaume-Uni est plutôt peu corrompu, mais quand on regarde comment les décisions sont réellement prises, la corruption semble au contraire très répandue. Cette loi n’a quasiment aucun soutien populaire. On met toujours les enfants en avant via des campagnes médiatiques, dans les journaux notamment, mais le contenu réel du texte est très éloigné de cet objectif affiché. On vote, mais les politiques ne changent pas

    • C’est de la capture réglementaire. L’impact sur les petites entreprises est aussi un résultat voulu

  • Voici une explication de la législation concernée : https://www.gov.uk/government/publications/online-safety-act-explainer/online-safety-act-explainer#who-the-act-applies-to. D’après ma lecture, Amazon devrait exiger une vérification d’âge sur plus de 80 % de son catalogue de livres, et pour les 20 % restants, il resterait responsable à cause de la définition extrêmement large d’une « expérience en ligne adaptée à l’âge des enfants ». Comme l’a souligné janitorai, cette loi s’applique à eux et à tous les contenus qu’ils produisent. Interdire l’accès au marché britannique est probablement leur meilleure réponse. À noter qu’il semble que cette loi ne s’applique pas aux sites web de premier niveau s’il n’y a pas d’interaction entre visiteurs. Par exemple, un blog sans commentaires devrait être tranquille

  • Si j’ai bien compris la loi, je pensais qu’elle ne s’appliquait qu’à partir de plusieurs millions d’utilisateurs britanniques https://www.onlinesafetyact.net/analysis/categorisation-of-services-in-the-online-safety-act. Je ne sais pas si ce site entre réellement dans ce cadre ou si j’ai complètement mal compris (je ne suis pas juriste)

    • Ce seuil sert à imposer des obligations supplémentaires. Tout le monde — sauf exemption spécifique — a déjà des « obligations de protection des utilisateurs ». Rien qu’à l’énoncer, on comprend qu’il va pleuvoir des exigences administratives complexes et coûteuses. Et pour déterminer si l’on bénéficie d’une exemption, il faut déjà payer des avocats. Le texte lui-même est flou, avec beaucoup trop de zones grises et de cas imprévus. Il ne s’agit pas d’un simple « ruling », mais bien de la loi et de ses règlements d’application. PDF connexe : https://www.ofcom.org.uk/siteassets/resources/documents/consultations/category-1-10-weeks/263963-categorisation-research-and-advice/categorisation-research-and-advice.pdf

    • La checklist d’Ofcom pour déterminer si un service est concerné n’utilise pas ce critère ; elle fonctionne comme si la présence d’un seul client payant au Royaume-Uni suffisait : https://ofcomlive.my.salesforce-sites.com/formentry/RegulationChecker

    • Il est vraiment pénible d’avoir des pays qui considèrent que, parce que des habitants de chez eux accèdent à ton site, ils peuvent revendiquer une juridiction sur ce serveur — pourtant hébergé à l’étranger — ainsi que sur l’exploitant — pourtant résident à l’étranger — et aller jusqu’à prévoir des sanctions pénales

    • La source ne décrit pas comment la loi s’applique réellement, mais ce qui était proposé en 2024

    • Les lois massives de plusieurs centaines de pages ont toujours des angles morts. Le Royaume-Uni est récemment devenu un pays qui arrête réellement des gens pour des « crimes » en ligne, alors ce niveau d’absurdité législative finit par arriver

  • Avec tout ça, on a parfois l’impression que l’Internet entier se dirige vers une crise façon syndrome de Kessler, en cascade. Aux États-Unis aussi, les 50 États essaient de réguler l’IA chacun de leur côté ; OBBB devait initialement bloquer cela pendant dix ans, mais a échoué. Désormais, chaque État peut faire sa propre régulation. Se conformer à toutes les règles du monde devient presque impossible

    • Si les coûts d’exploitation montent trop, il ne restera au niveau mondial qu’un petit nombre de sites gigantesques, tandis que des centaines de petits sites survivront seulement sous forme de services géobloqués selon les régions. Tant que le cyberespace dépend de l’économie réelle — gagner de l’argent, vérifier l’identité, etc. — il ne peut pas être véritablement indépendant https://www.eff.org/cyberspace-independence

    • La balkanisation d’Internet est probablement une issue inévitable. L’alternative reviendrait à ce que les États abandonnent à l’étranger la souveraineté sur des infrastructures désormais essentielles, et aucun gouvernement n’acceptera cela. Quand Internet n’était qu’un loisir, cela pouvait passer, mais maintenant qu’il est devenu le socle de la vie quotidienne, abandonner cette souveraineté aux gouvernements étrangers et aux Big Tech n’est plus tolérable

    • Chaque fois que l’expression « balkanisation d’Internet » entre dans le débat public, j’ai plutôt tendance à voir cette évolution d’un bon œil. J’estime qu’on ne devrait autoriser une communication mondiale aussi instantanée qu’une fois que l’humanité sera prête à en assumer la responsabilité

  • Moi aussi, je vais sans doute devoir bloquer les visiteurs britanniques pour Marginalia Search. En tant que développeur solo, je ne peux pas absorber toutes les exigences légales :-/

    • À noter qu’en allant sur la page status, le service est indiqué comme opérationnel mais « inaccessible ». Ce genre de panne est acceptable ! https://status.marginalia.nu