Vendredi 12 juin 2026. Anthropic avait lancé quelques jours plus tot Fable 5, une version publique et fortement encadrée de sa technologie de cybersécurité appelée Mythos. Ce vendredi-là, le Département du Commerce américain a activé des contrôles à l'exportation et Anthropic a suspendu l'accès à Fable 5 (et à Mythos 5) pour tous ses clients, dans le monde entier. Selon Anthropic et la presse spécialisée (notamment Axios), le Secrétaire au Commerce Howard Lutnick a communiqué la directive à Anthropic. Outil coupé. Sans date de retour confirmée.

Au moment où j'écris cet article, fin juin 2026, l'accès général à Fable 5 était toujours suspendu. La situation a peut-être évolué depuis : vérifie l'état actuel auprès des sources officielles d'Anthropic.

Tu n'utilisais peut-être pas Fable 5. Tu n'avais peut-être même jamais entendu parler d'Anthropic. Mais ce qui s'est passé ce vendredi-là est une leçon qui concerne toute PME ayant intégré des outils IA dans son quotidien : quand tu dépends d'un seul fournisseur pour une tâche critique, tu as un point de défaillance unique. Et la décision peut venir de très loin, pour des raisons sur lesquelles tu n'as aucun pouvoir.

Ce qui s'est passé, clairement

Anthropic a lancé Fable 5 comme version publique de Mythos, son système spécialisé en cybersécurité. C'était un modèle performant, destiné aux entreprises ayant besoin de détection et de réponse aux menaces numériques. Quelques jours après le lancement, le gouvernement américain a activé des contrôles à l'exportation qui, en pratique, ont conduit Anthropic à suspendre l'accès pour tous les clients.

L'Union européenne a réagi par des déclarations politiques et des débats réglementaires, mais sans mesures exécutives propres concernant ces modèles spécifiques. Résultat concret : les clients qui dépendaient de Fable 5 pour leurs processus métiers se sont retrouvés sans l'outil du jour au lendemain.

Un détail supplémentaire mérite attention si tu transmets des données clients à des outils de ce type : Anthropic a communiqué une rétention obligatoire de 30 jours du trafic des modèles de la famille Mythos. Anthropic explique que c'est pour des raisons de sécurité, pas pour entraîner des modèles. Mais l'implication pratique est claire : si tu utilises (ou envisages d'utiliser) des outils de la famille Mythos-class, il faut revoir ton accord de traitement des données (DPA), la résidence des données et la base juridique RGPD avant d'y faire transiter des informations clients.

Concernant l'AI Act : le règlement européen prévoit des obligations supplémentaires pour les modèles d'IA à usage général présentant un "risque systémique", s'ils dépassent certains seuils (par exemple, 10^25 FLOPs d'entraînement). Je n'affirme pas que Fable 5 ou Mythos dépassent ces seuils, car je ne dispose pas d'une information vérifiée à ce sujet. S'ils le faisaient, ils pourraient être soumis à ces obligations supplémentaires. Mais cela relève d'une lecture de risque prospective, pas d'une sanction présente.

Pourquoi ce n'est pas seulement l'affaire des grandes entreprises

L'intuition habituelle face à ce type d'événement est : "les grandes entreprises qui utilisaient Fable 5 pour leur sécurité informatique ont un problème. Moi qui ai une boutique ou un cabinet, ce n'est pas mon affaire."

Mais la leçon ne porte pas spécifiquement sur Fable 5. La leçon porte sur le schéma :

Ce n'est pas de l'alarmisme. C'est une lecture de risque honnête : toute intégration d'IA dans un processus métier critique crée une dépendance. Et les dépendances envers un seul fournisseur ont un coût quand celui-ci fait défaut, quelle que soit la taille de l'entreprise.

La question inconfortable

Pose-toi cette question, maintenant, pour chaque outil IA que tu utilises régulièrement : s'il disparait demain, qu'est-ce qui se passe pour mon activité?

Pour beaucoup de PME, la réponse est "je me complique la vie quelques jours et je trouve une alternative." C'est acceptable. Mais pour certaines, la réponse est "un processus critique s'arrête" ou "je ne sais pas comment j'aurais fait le travail sans lui." Ce sont ces dépendances qu'il vaut la peine de gérer maintenant, quand il n'y a aucune urgence.

Plan de continuité actionnable : six points concrets

Je ne te propose pas de monter un plan de continuité d'activité complet. Je te propose six choses concrètes qu'une PME peut faire en une après-midi :

1. Inventaire réel de tes outils IA.

Dresse la liste de tous les outils IA que toi et ton équipe utilisez régulièrement. Inclus ChatGPT, Claude, Gemini, Copilot, les outils d'image, les chatbots, les automatisations, les générateurs de contenu et tout SaaS ayant un composant IA intégré. La plupart des équipes oublient certains outils tant qu'elles ne font pas l'inventaire.

2. Classe par criticité.

Pour chacun, réponds : est-il critique (s'il tombe, un processus s'arrête), important (il y a un impact mais j'ai une solution manuelle de secours) ou pratique (il facilite la vie mais n'est pas indispensable)? Les critiques sont ceux qui exigent un plan B.

3. Identifie un fournisseur alternatif pour chaque outil critique.

Tu n'as pas besoin de changer quoi que ce soit maintenant. Tu dois savoir, pour chaque outil critique, quel serait le remplaçant s'il disparaissait. Pour ChatGPT, les alternatives évidentes sont Claude ou Gemini. Si tu valorises la souveraineté européenne des données, il vaut la peine de connaître Mistral (entreprise française, modèles disponibles via API, résidence des données en Europe). Ce n'est pas la solution pour tout le monde, mais elle existe et fonctionne.

4. Cartographie quelles données clients transitent par chaque outil.

Pour chaque outil IA, identifie si tu lui transmets des données personnelles de clients (noms, adresses e-mail, contenu de messages, historiques). Si c'est le cas, vérifie que tu as un DPA signé avec le fournisseur, que les données sont traitées au sein de l'UE (ou qu'il existe des garanties équivalentes), et que tu disposes d'une base juridique RGPD pour ce traitement. Face à un incident comme celui de Fable 5, c'est la première chose que tu devras pouvoir démontrer.

5. Révise ton DPA, la résidence des données et ta base juridique RGPD.

Si tu utilises des modèles de la famille Mythos-class ou tout outil comportant des clauses de rétention du trafic, lis le DPA attentivement. La rétention de 30 jours communiquée par Anthropic pour Mythos implique que les données peuvent rester hors de ton contrôle direct pendant cette période. Si tu n'es pas certain que ton fournisseur dispose d'un DPA adéquat, c'est le moment de le lui demander, pas le moment d'une crise.

6. Définis une procédure manuelle minimale pour les processus critiques.

Pour chaque processus critique dépendant d'un outil IA, documente comment il serait réalisé sans lui. Il n'a pas besoin d'être parfait : il doit être suffisant pour continuer à opérer le temps de trouver une alternative. "Si le chatbot tombe, les demandes arrivent à info@domaine.fr et on répond manuellement sous 24h" est une procédure manuelle valable.

L'Europe fait les règles, mais n'a pas les modèles

Le cas Fable 5 met en évidence une tension réelle : l'Union européenne est la première à réguler l'IA (l'AI Act) et la première à protéger les données des citoyens (le RGPD), mais elle ne dispose pas de modèles d'IA de frontier qui lui soient propres. Les modèles qui font tourner les processus métiers européens proviennent aujourd'hui de trois ou quatre entreprises nord-américaines. Quand un gouvernement étranger prend une décision réglementaire qui touche l'un de ces modèles, ce sont nous qui en absorbons les effets.

Des initiatives comme Mistral (française) et les investissements dans l'infrastructure européenne d'IA vont dans la bonne direction, mais l'écart est réel et ne se comble pas en quelques mois. Pour une PME en 2026, la conclusion pratique est : diversifie les fournisseurs là où c'est raisonnable, assure-toi que les données de tes clients sont protégées par des DPAs solides, et ne laisse aucun outil IA devenir le point de défaillance unique d'un processus que tu ne peux pas arrêter.

Il ne s'agit pas d'être alarmiste. Il s'agit d'être prévoyant. Que le cas Fable 5 soit la leçon que tu retiens sans avoir subi toi-même l'interruption.

Si tu veux approfondir le contexte réglementaire européen derrière tout cela, l'article sur la Loi IA d'Espagne et l'AI Act le couvre en détail.

Tu veux faire le point sur quels outils IA tu utilises et combien tu es exposé?

L'outil de diagnostic gratuit t'aide à classer tes outils IA par niveau de risque en cinq minutes. Si tu veux aller plus loin, je peux t'accompagner pour faire l'inventaire, revoir tes DPAs et définir les plans de continuité des processus critiques. Trois ou quatre heures de travail ensemble et tu as la base en place.

Outil de diagnostic (gratuit) Parlons-en 15 minutes