Blog
Conformité RGPD et bonnes pratiques

IA interdites par l’AI Act : quand l’usage devient risqué et inacceptable

L'AI Act européen interdit strictement les usages d'IA jugés à "risque inacceptable", comme la notation sociale, la manipulation cognitive (messages subliminaux) ou l'exploitation de vulnérabilités. Toute organisation doit impérativement identifier, bloquer et documenter l'absence de ces pratiques prohibées.

Par
Anne-Angélique de Tourtier
1
Min
Partagez cet article
Intelligence artificielle ordinateur
Alignement icône et texte

cognition Comprendre le cadre européen

Imaginez que vous êtes responsable innovation dans une entreprise, une collectivité ou un secteur sensible, et que vous vous apprêtez à déployer un système d’IA (SIA). Jusqu’ici, votre attention se portait sur la performance, l’expérience utilisateur et l’innovation. Mais depuis l’entrée en vigueur de l’AI Act, le 1er août 2024, tout a changé.

Ce règlement européen classe les systèmes d’IA selon leur niveau de risque et impose des obligations adaptées à chaque catégorie. Certaines pratiques sont interdites, d’autres considérées à haut risque, et d’autres encore à risque limité, avec des exigences de transparence.

Pour mieux comprendre : cet article se concentre sur les IA interdites, ou usages à risque inacceptables. Les deux articles suivants traiteront des IA à haut risque et des IA à risque limité, permettant de visualiser l’ensemble du cadre et de se situer selon ses projets et secteurs.

Alignement icône et texte

robot_2 Comprendre les risques à travers les usages

Pour vous projeter, posez-vous la question : « Si j’utilise ce système d’IA, quels sont les impacts pour les utilisateurs et la société ? ».

Manipulation cognitive et exploitation de vulnérabilités

Imaginez un jeu vidéo pour enfants dans lequel un chatbot pousse à l’achat via des messages subliminaux. Même si l’intention est ludique, ce type de manipulation cognitive est interdit. Une campagne publicitaire ciblant des populations vulnérables, comme des personnes âgées ou en difficulté financière, est également prohibée, car elle exploite des vulnérabilités.

Interdictions spécifiques au secteur public (notation sociale, reconnaissance faciale)

Dans le secteur public, certaines idées paraissent séduisantes sur le papier, mais sont interdites dans la pratique :

  • Un système de notation sociale attribuant des points aux citoyens les plus respectueux pour influencer l’accès à des services publics constitue un usage inacceptable, quelle que soit la destination
  • De même, la reconnaissance faciale en temps réel dans les lieux publics est strictement encadrée : seules quelques exceptions très limitées sont autorisées

Autres catégories d'IA strictement prohibées (inférence d'émotions)

D’autres usages tombent aussi dans la catégorie des IA interdites :

  • L’inférence des émotions dans les écoles ou au travail
  • La catégorisation biométrique basée sur des caractéristiques sensibles
  • La constitution de bases faciales massives sans consentement, qui viole également le RGPD

Le principe clé est que le risque est déterminé par l’impact réel sur les individus et la société, et non par la technologie elle-même.

Alignement icône et texte

crisis_alert Identifier les IA interdites et documenter sa non-conformité

Même si un système d’IA semble prometteur, il est essentiel de :

  • Identifier clairement les modèles sur lesquels repose le SIA et les cas d’usage qui pourraient faire tomber ce SIA dans la catégorie des SIA à risque inacceptable
  • Bloquer ou supprimer toute destination ou projet relevant de cette catégorie. L’usage est strictement prohibé, sans exception générale
  • Documenter vos décisions dans un dossier de conformité IA, pour montrer que vous avez évalué les risques et pris les mesures nécessaires
  • Sensibiliser vos équipes aux interdictions et aux principes de l’AI Act et du RGPD, pour éviter toute dérive involontaire

L’objectif n’est pas de “se mettre en conformité” comme pour les IA à haut risque, mais de prévenir tout usage interdit, de le détecter et de le documenter.

Alignement icône et texte

mystery Ce qui reste à clarifier

L’AI Act fixe clairement les usages d’IA interdits, comme la manipulation subliminale, la notation sociale ou la reconnaissance biométrique sans consentement. Mais plusieurs points restent flous : l’application aux modèles à usage général hors UE, le suivi des usages émergents (réseaux sociaux, jeux en ligne), et les exceptions très encadrées pour la sécurité publique.

Adequacy permet désormais de se conformer à l’AI Act, en centralisant vos cas d’usage, en définissant clairement vos rôles et obligations pour chaque système d’IA, chaque modèle, et en documentant votre dossier de conformité de manière structurée et opérationnelle (demandez une démo !)

Alignement icône et texte

shield_question FAQ : questions fréquentes sur les IA Interdites

Qu’est-ce qu’un usage à risque inacceptable selon l’AI Act ?

Un usage à risque inacceptable désigne un système d'IA dont le déploiement est considéré comme contraire aux valeurs fondamentales de l'UE, car il présente un risque clair de manipulation, de discrimination ou de violation des droits fondamentaux. Ces systèmes sont strictement interdits et doivent être évités.

Quels sont les exemples concrets d’IA interdites par le règlement ?

L'AI Act interdit explicitement la notation sociale des citoyens, l'utilisation de techniques subliminales pour manipuler les individus, l'exploitation des vulnérabilités de groupes spécifiques (enfants, personnes handicapées), et, sous réserve de très rares exceptions, la reconnaissance biométrique à distance en temps réel dans les lieux publics.

Si mon système d'IA est interdit, puis-je le rendre conforme ?

Non. Contrairement aux IA à haut risque, un système classé comme "interdit" ne peut pas être mis en conformité. Il doit être bloqué, abandonné ou supprimé, car son usage est strictement prohibé sans exception générale de mise en conformité. La seule action est de documenter l'interdiction dans votre dossier de conformité.

Les dernières actus

Conformité RGPD et bonnes pratiques

Rédiger une politique de confidentialité et des mentions d’information conformes au RGPD, claires, transparentes et accessibles à tous

Rédiger une politique de confidentialité conforme au RGPD est un passage essentiel pour inspirer confiance et assurer la transparence dans le traitement des données personnelles. Ce guide pratique explique comment concevoir des documents lisibles, accessibles et efficaces pour vos utilisateurs.

Anne-Angélique de Tourtier
Conformité RGPD et bonnes pratiques

RGPD et Ressources Humaines : les 5 erreurs qui coûtent cher aux entreprises

Les Ressources Humaines sont en première ligne du RGPD : recrutement, paie, formation, santé au travail… chaque étape expose les données personnelles des salariés. Conservation excessive, envois d’emails erronés ou contrats incomplets : ces erreurs coûtent cher. Adopter les bons réflexes permet aux RH d’assurer la conformité et de renforcer la confiance des collaborateurs.

Guillemette Songy
Produit

Adequacy V6.1 : le logiciel RGPD qui intègre la conformité à l’AI Act

Adequacy V6.1 centralise la conformité RGPD et AI Act en offrant aux DPO, juristes et responsables conformité une solution modulable pour cartographier, évaluer et piloter leurs Systèmes et modèles d’IA tout en automatisant les obligations réglementaires européennes.

Alessandro Fiorentino

Ils nous font confiance depuis des années

Utilisé par plus de 10 000 entités juridiques

Découvrez Adequacy

Un de nos experts vous présente comment Adequacy s’adapte à votre réalité terrain.
Demander un devis