Nawal Sassi est étudiante dans le cadre du cours DRT6929E (Vie privée + numérique).

Le 2 février 2025, l’article 5 du Règlement sur l’intelligence artificielle de l’Union européenne 2024/1689 (le « règlement sur l’IA de l’UE ») est entré en vigueur, interdisant certaines pratiques jugées inacceptables en raison des risques qu’elles posent pour les droits fondamentaux et les valeurs de l’UE. Deux jours plus tard, le 4 février 2025, la Commission européenne a publié des lignes directrices sur les pratiques interdites en matière d’IA, visant à assurer une application uniforme de ces interdictions à travers l’UE. Bien que non contraignantes, ces lignes directrices apportent des clarifications juridiques et des exemples concrets pour accompagner les autorités de surveillance, les fournisseurs et les déployeurs dans leur mise en conformité.

Mise en contexte

Le 13 juin 2024, l’Union européenne a adopté la première législation mondiale visant à encadrer l’utilisation des systèmes d’intelligence artificielle au sein de ses États membres. Bien que le règlement sur l’IA de l’UE soit officiellement entré en vigueur le 1^er août 2024, ses dispositions seront mises en œuvre progressivement.

Ce règlement définit précisément ce qui constitue un système d’IA et établit les obligations qui en découlent. Il repose sur une approche fondée sur le risque, visant à identifier et gérer les dangers liés à l’IA. Il établit quatre niveaux de risque distincts : risque inacceptable, haut risque, risque modéré et risque minime.

Les pratiques interdites en matière d’IA telles qu’édictées par l’article 5 du règlement regroupent les pratiques suivantes :

1. Techniques subliminales, manipulatrices ou trompeuses, altérant substantiellement le comportement d’une personne ou d’un groupe de personnes;
2. Exploitation des vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique d’une personne physique ou d’un groupe;
3. Évaluation et classification sociale de personnes physiques ou de groupes sur la base de leur comportement social ou de caractéristiques personnelles;
4. Évaluation du risque criminel sur la base du profilage ou de l’évaluation de traits de personnalité ou de caractéristiques personnelles;
5. Constitution de bases de données de reconnaissance faciale en moissonnant des images faciales à partir d’internet ou de vidéosurveillance;
6. Inférence des émotions sur le lieu de travail et dans les établissements d’enseignement sauf pour des raisons médicales ou de sécurité;
7. Catégorisation biométrique sur la base de données sensibles pour inférer la race, les opinions politiques, l’affiliation syndicale, les convictions religieuses ou philosophiques, la vie sexuelle ou l’orientation sexuelle;
8. Utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives.

Lignes directrices sur les pratiques interdites en matière d’IA : Éléments essentiels

Le règlement sur l’IA de l’UE distingue plusieurs catégories d’acteurs soumis à des obligations spécifiques, notamment les fournisseurs, déployeurs, importateurs, distributeurs et opérateurs. Toutefois, les lignes directrices mettent l’accent exclusivement sur les fournisseurs et les déployeurs, identifiés comme les principaux responsables de l’application des interdictions énoncées à l’article 5.

1. Interdiction des techniques subliminales, manipulatrices ou trompeuses

Contrairement à d’autres cadres juridiques, l’interdiction visée par l’article 5(1)(a) ne limite pas son champ d’application aux pratiques intentionnellement manipulatrices. L’interdiction s’applique également aux systèmes d’IA dont l’effet est de provoquer une altération substantielle du comportement, même en l’absence d’intention manifeste du fournisseur.

Par exemple, un agent conversationnel conçu pour promouvoir un mode de vie sain pourrait, involontairement, inciter ses utilisateurs à adopter des comportements dangereux. Si l’IA recommande, par exemple, une activité physique excessive sans prise en compte des besoins physiologiques des utilisateurs, et que cela entraîne des effets nocifs (ex. : épuisement, troubles alimentaires, crises cardiaques), alors elle relève du champ d’application de l’interdiction.

2. Exploitation des vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique

Les lignes directrices insistent particulièrement sur la protection des enfants tel qu’énoncé par l’article 5(1)(b), en raison de leur vulnérabilité accrue aux manipulations par l’IA.

Les lignes directrices donnent l’exemple illustratif d’un jouet interactif basé sur l’IA, incitant les enfants à relever des défis de plus en plus risqués, comme grimper sur des meubles, explorer des zones dangereuses ou manipuler des objets tranchants, en échange de récompenses numériques et d’éloges virtuels. Un tel dispositif exploite la curiosité naturelle des enfants et leur attrait pour la gratification instantanée, augmentant ainsi les risques d’accidents graves.

Les risques ne sont toutefois pas uniquement physiques. Un procès en cours met en lumière une autre facette de l’exploitation des vulnérabilités des enfants par l’IA. Dans une récente affaire relative au suicide d’un mineur, une mère affirme qu’une entreprise proposant des compagnons IA a initié des conversations hautement sexualisées avec son fils de 14 ans et encouragé ses idées suicidaires.

Finalement, en ce qui concerne l’élément de l’intention, tout comme pour la première interdiction relative aux techniques subliminales, manipulatrices ou trompeuses, l’intention du fournisseur n’est pas un critère déterminant.

3. Évaluation et classification sociale de personnes physiques ou de groupes sur la base de leur comportement social ou de caractéristiques personnelles

Les lignes directrices illustrent l’interdiction posée par l’article 5(1)(c) avec l’exemple d’une agence publique de l’emploi utilisant un système d’IA pour évaluer l’éligibilité des demandeurs d’aide. Si cette évaluation repose sur des critères pertinents et objectifs liés à l’emploi, comme l’âge, le niveau d’éducation ou l’expérience professionnelle, elle reste autorisée. En revanche, si le système intègre des données issues de contextes sans lien avec l’évaluation professionnelle, telles que l’état civil ou des antécédents médicaux (ex. : maladies chroniques), cette pratique devient interdite.

Si l’interdiction ne s’applique en principe qu’à la classification de personnes physiques ou de groupes d’individus, elle peut s’appliquer dans certains cas à des personnes morales. Par exemple, si une école obtient une évaluation globale basée sur le comportement de ses élèves ou de ses enseignements et que ce score collectif influence directement les opportunités ou l’accès à certains services pour ces individus, la pratique pourrait être interdite.

Enfin, les lignes directrices précisent que certaines pratiques d’évaluation restent autorisées lorsqu’elles sont encadrées par des réglementations sectorielles spécifiques. C’est le cas, notamment, du score de crédit utilisé par les institutions financières ou encore des évaluations de risques menées dans le cadre de la lutte contre le blanchiment d’argent.

4. Évaluation du risque criminel sur la base du profilage ou de l’évaluation de traits de personnalité ou de caractéristiques personnelles

L’interdiction prévue à l’article 5(1)(d) ne s’applique que si l’évaluation du risque repose exclusivement sur le profilage d’un individu ou sur l’analyse de ses traits de personnalité et caractéristiques personnelles. Cela signifie que certains systèmes d’IA peuvent être autorisés dès lors qu’ils prennent en compte d’autres éléments objectifs et vérifiables directement liés à une activité criminelle.

Par exemple, un système d’IA peut être utilisé pour soutenir une évaluation humaine lorsqu’un individu fait déjà l’objet d’une suspicion raisonnable fondée sur des faits concrets et vérifiables. Dans ce cas, la décision finale repose sur une analyse humaine basée sur des preuves tangibles, ce qui exclut l’application de l’interdiction.

Toutefois, pour éviter tout contournement de l’interdiction, les éléments supplémentaires pris en compte doivent être substantiels et significatifs. Une simple référence à des indicateurs généraux sans lien direct avec une infraction spécifique ne saurait justifier l’exclusion du champ d’application de l’interdiction.

Il est intéressant de noter que l’interdiction ne touche pas les systèmes de prédiction criminelle fondés sur des données géospatiales, qui analysent les tendances criminelles en fonction d’un lieu ou d’une zone à risque élevé. Toutefois, si ce système intègre ces scores de localisation dans un profilage individuel (par exemple, en attribuant un risque criminel à une personne sur la base de son lieu de résidence dans une zone à forte criminalité), il peut alors entrer dans le champ d’application de l’interdiction prévue par l’article 5(1)(d).

5. Constitution de bases de données de reconnaissance faciale en moissonnant des images faciales à partir d’internet ou de vidéosurveillance

Pour que l’interdiction prévue à l’article 5(1)(e) s’applique, les images faciales collectées doivent provenir soit d’internet, soit de caméras de vidéosurveillance.

Les lignes directrices précisent également que le fait qu’une personne publie des images de son visage sur les réseaux sociaux ne signifie pas qu’elle consent à leur utilisation dans une base de données de reconnaissance faciale. La disponibilité publique d’une image en ligne ne constitue donc pas une autorisation implicite pour son intégration dans des systèmes de reconnaissance biométrique.

Cependant, cette interdiction concerne uniquement le moissonnage non ciblé d’images faciales. Ainsi, la collecte d’autres types de données biométriques, comme des échantillons vocaux ou des empreintes digitales reste autorisée.

6. Inférence des émotions sur le lieu de travail et dans les établissements d’enseignement sauf pour des raisons médicales ou de sécurité

L’interdiction de l’article 5(1)(f) couvre à la fois les systèmes d’IA qui identifient les émotions et ceux qui les infèrent.

Les lignes directrices précisent également que les émotions et intentions ne comprennent pas les états physiques comme la douleur ou la fatigue. Ainsi, un système d’IA qui détecte la fatigue d’un pilote ou d’un conducteur pour l’alerter et lui recommander une pause afin de prévenir un accident n’est pas concerné par l’interdiction, car il ne s’agit pas d’une reconnaissance des émotions, mais d’une évaluation d’un état physique.

Les systèmes d’IA utilisés pour la reconnaissance des émotions reposent souvent sur des données biométriques. Les lignes directrices catégorisent ces données en deux catégories : la biométrie physiologique et la biométrie comportementale.

La biométrie physiologique est basée sur des caractéristiques physiques et structurelles relativement stables d’un individu, telles que les empreintes digitales, l’iris, les contours du visage ou la géométrie des veines. Pour ce qui est de la biométrie comportementale, elle analyse les mouvements et gestes caractéristiques d’une personne pendant l’exécution d’une tâche. Cela inclut, par exemple, la manière de marcher ou la façon dont une personne tape sur un clavier.

Ainsi, le système d’IA qui infère des émotions à partir de la frappe au clavier, des expressions faciales, des postures corporelles ou des mouvements repose sur des données biométriques et entre donc dans le champ d’application de l’interdiction.

Il importe toutefois de mentionner que l’interdiction ne s’applique qu’aux milieux professionnels et éducatifs. Cela signifie que les systèmes d’IA de reconnaissance des émotions restent autorisés dans d’autres contextes, sous réserve du respect des autres législations applicables.

7. Catégorisation biométrique sur la base de données sensibles

L’interdiction prévue par l’article 5(1)(g) s’applique lorsque des données biométriques sont utilisées pour catégoriser individuellement des personnes physiques. Si la catégorisation concerne un groupe entier sans distinction individuelle, elle ne relève pas de cette interdiction.

8. Utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives

 L’interdiction visée par l’article 5(1)(h) vise à équilibrer les besoins de sécurité publique et la protection des droits fondamentaux des individus soumis aux systèmes d’identification en temps réel.

L’utilisation de ces systèmes n’étant autorisée que dans trois situations spécifiques : la recherche ciblée de victimes et de personnes disparues, la prévention de menaces imminentes pour la vie ou la sécurité physique des personnes et la localisation et l’identification de suspects et d’auteurs d’infractions graves, tout autre usage de ces systèmes en dehors de ces objectifs définis est prohibé.

Par exemple, les lignes directrices évoquent le cas d’un service de police utilisant un système d’identification biométrique en temps réel pour identifier un voleur à l’étalage en comparant son image faciale à des bases de données criminelles. Cette pratique est interdite, car elle ne correspond pas aux finalités légitimes fixées par l’article 5(1)(h). Cette interdiction illustre la prudence du législateur européen face à ces technologies intrusives et rappelle l’importance de protéger les droits et libertés fondamentaux, même dans un contexte de sécurité publique.

Parallèle avec le projet de loi C-27

La Loi sur l’intelligence artificielle et les données (la « LIAD ») telle que présentée par projet de loi C-27 et abandonnée lors de la prorogation du Parlement le 6 janvier dernier, illustre une approche canadienne distincte de celle adoptée par l’UE en matière d’intelligence artificielle. Contrairement au règlement sur l’IA de l’UE, qui classe les systèmes d’IA selon quatre niveaux de risque (inacceptable, élevé, modéré et minime), la LIAD se limite à deux catégories : les systèmes d’IA à usage général et ceux à incidence élevée. Les systèmes à usage général sont conçus pour être utilisés dans divers contextes sans finalité précise, tandis que les systèmes à incidence élevée présentent un risque significatif pour les droits et libertés des individus, notamment en matière de vie privée et de sécurité. Cette approche, bien que plus simple, soulève des interrogations quant à sa capacité à encadrer efficacement l’ensemble des risques liés à ces technologies, comparativement au cadre européen, qui repose sur une évaluation plus granulaire et préventive.

Prochaines étapes

Le 2 août 2025, de nouvelles exigences entreront en vigueur, notamment celles relatives aux organismes notifiés, aux modèles d’intelligence artificielle à usage général, à la gouvernance, à la confidentialité et aux sanctions. D’ici le 2 août 2026, la majorité des dispositions restantes seront applicables, à l’exception de l’article 6(1) relatif à la classification des systèmes d’IA à haut risque, dont l’entrée en vigueur est prévue pour le 2 août 2027.

 

Ce contenu a été mis à jour le 14 février 2025 à 10 h 31 min.