L’IA et sa régulation t’intéressent ?
Lois, cadres et décisions qui façonnent l’IA, décryptés en français. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
L'AI Act et ses interdictions catégoriques
L'AI Act, une législation européenne cruciale, impose des restrictions strictes sur certains usages de l'intelligence artificielle (IA) qui menacent les droits fondamentaux des individus. Ces interdictions sont absolues, ce qui signifie qu'aucune mesure d'audit ou de sécurité ne peut les rendre acceptables. Les entreprises concernées doivent donc abandonner ces projets, même s'ils semblent prometteurs. En outre, elles sont tenues de documenter ces renoncements et d'intégrer ces limitations dans une charte IA conforme au Règlement général sur la protection des données (RGPD).
L'Article 5 de l'AI Act cible spécifiquement les usages qui portent atteinte aux droits fondamentaux, obligeant ainsi les entreprises à renoncer à certains projets. Anne-Angélique de Tourtier, spécialiste en protection de la vie privée et gouvernance de l'IA, explique que ces interdictions sont immuables et qu'il est crucial de les identifier dès les premières phases de développement.
Les six catégories d'usages interdits par l'Article 5
L'AI Act ne s'attaque pas à la technologie en elle-même, mais à ses impacts potentiels sur l'humain. L'Article 5 énumère six catégories d'usages interdits dès lors qu'ils portent atteinte à la dignité, à la vie privée, à l'égalité ou à la justice.
La manipulation cognitive est l'une des premières préoccupations. Par exemple, un jeu vidéo qui utilise des messages subliminaux pour inciter un enfant à adopter des comportements dangereux est interdit sous l'Article 5, paragraphe 1.a.
Ensuite, l'exploitation des vulnérabilités est également prohibée. Cela inclut les algorithmes qui détectent une fragilité financière pour pousser une personne à contracter un crédit toxique, comme stipulé dans l'Article 5, paragraphe 1.b.
Le scoring social, qui consiste à évaluer les citoyens sur la base de leur comportement, est fermement rejeté par l'Europe. L'Article 5, paragraphe 1.c, interdit ce modèle de notation citoyenne. De plus, l'utilisation de la reconnaissance biométrique en temps réel dans les espaces publics à des fins répressives est interdite, sauf en cas de menace terroriste imminente, comme précisé dans l'Article 5, paragraphe 1.h.
La police prédictive individuelle, qui tente de prévoir des infractions futures en se basant uniquement sur le profilage d'une personne, est également bannie par l'Article 5, paragraphe 1.e.
Enfin, l'inférence émotionnelle, que ce soit sur le lieu de travail ou dans les établissements scolaires, est interdite. Évaluer la fatigue ou l'engagement d'un employé à partir de ses expressions faciales enfreint l'Article 5, paragraphe 1.f.
Anne-Angélique de Tourtier souligne que bien que ces catégories soient clairement définies, le véritable défi réside dans l'interprétation juridique. Des concepts tels que la "manipulation" peuvent être flous et sujets à des interprétations variées.
Distinction entre interdiction et haut risque
Les systèmes à haut risque, énumérés dans l'Annexe III de l'AI Act, sont autorisés sous certaines conditions strictes. Ils nécessitent une documentation rigoureuse, des audits réguliers, une supervision constante et une intervention humaine obligatoire.
"Pour les usages interdits, il n'existe aucune possibilité de mise en conformité. C'est un refus catégorique," déclare Anne-Angélique de Tourtier. De nombreuses entreprises n'ont pas encore pleinement intégré cette réalité et continuent de croire qu'elles peuvent ajuster n'importe quel projet pour le rendre conforme.
Le RGPD avait déjà établi des bases solides avec l'Article 22 concernant les décisions automatisées ; l'IA suit désormais une trajectoire similaire. Cependant, même des projets initialement bien intentionnés peuvent rapidement devenir problématiques sur le plan juridique.
Anne-Angélique illustre ce point avec l'exemple d'une organisation souhaitant utiliser un outil d'analyse vocale dans son service client pour aider les agents à mieux gérer le stress. Bien que cela semble être une optimisation, si cet outil déduit des émotions sans base légale ou est utilisé pour évaluer l'agent, il pourrait enfreindre l'interdiction de l'inférence émotionnelle en milieu professionnel.
Elle rappelle également que l'IA n'est pas intrinsèquement intelligente ; elle reflète simplement les données qui lui sont fournies. Ainsi, l'utilisation de données biaisées ou de mauvaise qualité peut conduire l'IA à tirer des conclusions erronées. C'est ici que le rôle du Data Analyst, en collaboration avec un Digital Ethic Officer, devient essentiel pour surveiller les données utilisées par l'IA.
La gestion des règles et les audits réguliers des biais, conformément à l'Article 10, sont cruciaux pour s'assurer que la machine n'introduit pas de discriminations indirectes par des voies détournées.
Shadow IA et opacité des solutions cloud
Certaines technologies interdites peuvent se retrouver intégrées dans des solutions cloud ou data sans que l'acheteur en soit conscient. Par exemple, une vidéoprotection "intelligente" peut analyser le genre ou les émotions des passants en arrière-plan.
"C'est le piège de la 'Shadow IA'... Le risque est technique, mais la responsabilité reste juridique," explique Anne-Angélique de Tourtier. Toutefois, elle rassure que cet enjeu majeur devra évoluer.
Les fournisseurs seront tenus de fournir des notices obligatoires d'ici l'été 2026. Les entreprises doivent exiger une documentation et une transparence contractuelle rigoureuses.
"Une PME n'aura probablement pas les moyens d'auditer le code source d'un géant du Cloud, et la transparence totale peut être une illusion technique. Mais maîtriser, c'est au moins chercher à sortir de l'opacité : savoir ce qu'on achète, exiger une documentation sérieuse et une transparence contractuelle."
Documenter le renoncement devient alors une preuve de maturité. L'AI Act oblige à tracer les projets abandonnés pour des raisons d'interdiction.
"Documenter pourquoi vous avez décidé de ne pas lancer un projet prouve à l'autorité de contrôle que votre gouvernance fonctionne. Dire : 'Nous avons identifié ce risque et nous avons renoncé à cet usage' est le signe d'une entreprise responsable," explique Anne-Angélique.
Ce document sert également de référence future : il justifie un éventuel redémarrage sous conditions strictes ou un maintien à l'arrêt.
Construire un socle de confiance durable
L'AI Act impose, indirectement, une collaboration étroite entre innovation, data et DPO (Délégué à la Protection des Données). Le DPO n'agit plus en fin de chaîne.
"Pour que la conformité ne soit plus un contrôle technique subi en fin de projet, elle doit devenir une collaboration initiale : le DPO n'est pas un censeur, mais un copilote qui aide les équipes Data et Innovation à bâtir un socle de confiance pérenne."
Le défi consiste à confronter le millefeuille législatif à la réalité du terrain. Selon cet expert d'Adequacy, il est possible de concurrencer les géants d'outre-Atlantique tout en respectant nos règles. "C'est un pari audacieux : prouver que l'on peut allier performance, conformité et éthique."
"Mais sans investissement massif des pouvoirs publics dans nos solutions nationales et européennes, les systèmes d'IA dominants resteront une tentation évidente. La conformité est notre assurance-vie : elle nous évite de bâtir sur des fondations instables et de devoir tout débrancher le jour où le système devient incontrôlable," ajoute-t-elle.
Enfin, une charte IA doit évidemment s'aligner sur la politique RGPD. Cette concordance fixe les interdits même quand la technique les permet.
"Ce document doit devenir aussi essentiel que le règlement intérieur. C'est ce qui transforme une contrainte légale en une véritable culture d'entreprise forte," insiste Anne-Angélique de Tourtier.


