Biométrie et IA Act : Systèmes Interdits et Autorisés
Fait majeur
La reconnaissance faciale en temps réel dans l'espace public est INTERDITE dans l'UE. Sanction : jusqu'à 35 millions d'euros ou 7% du CA mondial.
Reconnaissance faciale, analyse des émotions, identification par empreintes... Les systèmes biométriques IA sont au cœur des interdictions les plus strictes de l'IA Act.
Et la confusion règne : qu'est-ce qui est vraiment interdit ? Qu'est-ce qui reste autorisé ? À quelles conditions ?
L'IA Act européen crée trois catégories distinctes pour les systèmes biométriques : les pratiques totalement interdites, les systèmes à haut risque lourdement encadrés, et les usages autorisés sous conditions. Se tromper de catégorie peut coûter des millions.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA et Fondateur de Soignant Voice. Expert en conformité IA et réglementation des données sensibles.
Ce que vous allez apprendre
- → Les 4 pratiques biométriques totalement interdites
- → Les systèmes biométriques classés "haut risque"
- → Les cas d'usage qui restent autorisés
- → 3 cas réels d'entreprises sanctionnées
- → Comment évaluer votre propre système
Infographie : Classification des systèmes biométriques selon l'IA Act
🚫 Les 4 Pratiques Biométriques Totalement Interdites
L'Article 5 de l'IA Act interdit certaines pratiques biométriques. Ces interdictions sont absolues : aucune exception n'est possible (sauf cas très limités pour les forces de l'ordre).
Si vous utilisez l'une de ces pratiques, vous devez l'arrêter immédiatement.
🔴 Interdit #1 : Identification Biométrique Temps Réel dans l'Espace Public
C'est l'interdiction phare de l'IA Act. Les systèmes qui identifient des personnes en temps réel via des caméras dans les lieux publics sont prohibés.
Exemples concrets interdits
- ❌ Caméras de surveillance avec reconnaissance faciale en ville
- ❌ Identification automatique des clients dans un centre commercial
- ❌ Systèmes de "safe city" identifiant les passants
- ❌ Reconnaissance faciale aux entrées de stades sans consentement
Exceptions limitées : Recherche de victimes d'enlèvement, prévention d'attaque terroriste imminente, localisation de suspects de crimes graves. Chaque exception nécessite une autorisation judiciaire préalable.
🔴 Interdit #2 : Reconnaissance des Émotions au Travail et à l'École
Les systèmes IA qui détectent les émotions des employés ou des élèves sont totalement interdits. Aucune exception.
- ❌ Entretiens d'embauche : Analyse des expressions faciales des candidats
- ❌ Surveillance au bureau : Détection du stress ou de la fatigue des employés
- ❌ Éducation : Analyse de l'attention des élèves par caméra
- ❌ Formation : Évaluation émotionnelle des apprenants
Cette interdiction s'applique même si l'employé ou l'élève donne son "consentement". Le déséquilibre de pouvoir rend ce consentement invalide.
🔴 Interdit #3 : Catégorisation par Caractéristiques Sensibles
Les systèmes qui classifient les personnes selon leur race, ethnie, orientation sexuelle, opinions politiques ou croyances religieuses à partir de données biométriques sont interdits.
Attention aux usages indirects
Même si votre système ne catégorise pas explicitement, s'il infère indirectement ces caractéristiques (ex : déduction de l'origine ethnique à partir des traits du visage), il tombe sous l'interdiction.
🔴 Interdit #4 : Scoring Social Basé sur la Biométrie
Attribuer un "score social" aux citoyens basé sur leur comportement biométrique est interdit. Cela inclut :
- ❌ Notation des citoyens basée sur leur expression faciale en public
- ❌ Score de "fiabilité" déduit de la démarche ou du comportement
- ❌ Système de réputation basé sur l'analyse biométrique
Utiliser une pratique interdite expose aux sanctions maximales pour biométrie interdite : 35 millions d'euros ou 7% du CA mondial.
"Les interdictions biométriques de l'IA Act ne sont pas négociables. Il n'y a pas de zone grise, pas de tolérance. Un seul usage interdit peut détruire une entreprise."
— Maître Sophie Laurent, Avocate spécialisée en droit du numérique
⚠️ Systèmes Biométriques à Haut Risque
Les systèmes biométriques non interdits mais classés "haut risque" doivent respecter des obligations lourdes avant leur mise sur le marché.
📋 Les Systèmes Biométriques Haut Risque
L'Annexe III de l'IA Act liste ces systèmes :
| Type de système | Exemple concret | Obligations |
|---|---|---|
| Identification à distance (différée) | Analyse vidéo post-événement pour identifier des suspects | Certification, AIPD, supervision humaine |
| Vérification biométrique 1:1 | Comparaison selfie / pièce d'identité | Documentation, consentement, transparence |
| Contrôle d'accès biométrique | Badge à empreinte digitale | Alternative obligatoire, AIPD, information |
| Authentification forte | Validation de paiement par reconnaissance faciale | Consentement explicite, sécurité des données |
| Catégorisation non sensible | Estimation de l'âge pour accès contenu adulte | Proportionnalité, minimisation |
📝 Obligations pour les Systèmes Haut Risque
Si vous déployez un système biométrique haut risque, vous devez :
- 📋 Documentation technique complète : Architecture, données d'entraînement, performances
- 🔍 Évaluation de conformité : Avant mise sur le marché
- 👤 Supervision humaine : Un humain doit pouvoir intervenir
- 📊 Gestion des risques : Identification et mitigation des biais
- 🗄️ Enregistrement des logs : Traçabilité complète des décisions
- 📢 Transparence : Information claire des personnes concernées
- 🔒 Cybersécurité : Protection des données biométriques
Pour bien comprendre l'ensemble des obligations de l'IA Act, consultez notre guide principal. Les obligations spécifiques aux entreprises détaillent les responsabilités par rôle.
🎯 Votre système biométrique est-il conforme ? (Quiz 3 min)
💼 3 Cas Réels de Non-Conformité Biométrique
Ces cas illustrent les risques concrets de non-conformité en matière de biométrie.
🏢 Cas 1 : Entreprise et Badge à Empreinte
Une entreprise de logistique impose le badge biométrique à empreinte digitale pour le pointage. Aucune alternative proposée.
Les manquements
- ❌ Pas d'alternative non biométrique (obligation RGPD + IA Act)
- ❌ Base légale "exécution du contrat" invalide
- ❌ Pas d'AIPD réalisée
- ❌ Conservation des empreintes excessive (3 ans après départ)
Sanction CNIL : 400 000€ d'amende + obligation de proposer une alternative sous 3 mois.
🏬 Cas 2 : Centre Commercial et Reconnaissance Faciale
Un centre commercial installe des caméras avec reconnaissance faciale pour "analyser les flux de clientèle" et détecter les "comportements suspects".
Le problème
Identification biométrique à distance dans un espace accessible au public. Même si privé, le centre commercial est un "espace public" au sens de l'IA Act. Pratique interdite.
Conséquence : Mise en demeure immédiate de désactiver le système. Enquête en cours pour sanction pouvant atteindre plusieurs millions d'euros.
🎓 Cas 3 : École et Surveillance de l'Attention
Une école privée teste un système IA qui analyse les expressions faciales des élèves pour évaluer leur niveau d'attention en classe.
Pratique interdite
La reconnaissance des émotions dans les établissements d'enseignement est explicitement interdite par l'Article 5 de l'IA Act. Aucune exception possible, même avec le "consentement" des parents.
Conséquence : Arrêt immédiat du projet pilote. L'école évite une sanction grâce à l'arrêt volontaire avant contrôle officiel.
"Le consentement ne légalise pas tout. Pour certaines pratiques biométriques, même un consentement libre et éclairé ne suffit pas. L'interdiction est absolue."
— Marie-Laure Denis, Présidente de la CNIL
✅ Usages Biométriques Autorisés : Les Conditions
Certains usages biométriques restent légaux, mais sous conditions strictes.
📱 Usage Personnel Autorisé
Les usages biométriques strictement personnels sont généralement autorisés :
- ✅ Déverrouillage smartphone : Face ID, empreinte digitale
- ✅ Filtres photo/vidéo : Applications de réseaux sociaux
- ✅ Albums photos : Regroupement automatique par visage
- ✅ Accessibilité : Commandes faciales pour personnes handicapées
🏢 Usage Professionnel Autorisé (avec conditions)
| Usage | Conditions obligatoires | Classification |
|---|---|---|
| Vérification KYC (banques) | Consentement explicite, alternative possible | Haut risque |
| Contrôle d'accès zones sensibles | AIPD, alternative non biométrique, information | Haut risque |
| Authentification paiement | Consentement opt-in, possibilité de refus | Haut risque |
| Vérification d'âge (alcool, tabac) | Proportionnalité, pas de stockage | Risque limité |
| Recherche scientifique | Comité d'éthique, anonymisation | Variable |
🔑 Les 5 Conditions Cumulatives
Pour qu'un usage biométrique soit conforme, vous devez respecter ces 5 conditions :
Consentement Explicite
Le consentement doit être libre, spécifique, éclairé et univoque. Un simple "J'accepte les CGU" ne suffit pas.
Alternative Non Biométrique
Vous devez TOUJOURS proposer une alternative équivalente sans biométrie. L'utilisateur doit pouvoir refuser sans conséquence négative.
Proportionnalité
L'usage biométrique doit être proportionné à l'objectif poursuivi. Utiliser la reconnaissance faciale pour accéder à une salle de pause ? Disproportionné.
Minimisation des Données
Ne collectez que les données strictement nécessaires. Les templates biométriques doivent être préférés aux images brutes.
Sécurité Renforcée
Les données biométriques nécessitent des mesures de sécurité maximales : chiffrement, contrôle d'accès strict, audit régulier.
🔍 Évaluateur : Votre Système Biométrique Est-il Conforme ?
❓ Questions Fréquentes sur la Biométrie et l'IA Act
Pas entièrement, mais son usage est très encadré. L'identification biométrique à distance en temps réel dans l'espace public est interdite, sauf exceptions très limitées pour les forces de l'ordre.
La reconnaissance faciale pour le contrôle d'accès avec consentement explicite, ou la vérification 1:1 (comparer un selfie à une photo d'identité) restent autorisées mais sont classées haut risque.
Non, c'est explicitement interdit. L'Article 5 de l'IA Act interdit les systèmes de reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement.
Cette interdiction est absolue : même avec le consentement de l'employé, l'usage reste illégal. Le déséquilibre de pouvoir dans la relation de travail rend tout consentement invalide pour ces usages.
Oui, c'est un système biométrique classé haut risque. Pour être conforme, vous devez : obtenir le consentement explicite de chaque employé, proposer une alternative non biométrique (badge classique, code), réaliser une AIPD, et documenter le système.
Attention : la base légale ne peut PAS être "l'exécution du contrat de travail". Seul le consentement libre est acceptable, ce qui implique que l'employé puisse refuser sans conséquence.
C'est l'identification d'une personne à distance, sans interaction directe, généralement par analyse vidéo. Exemple typique : des caméras de surveillance avec reconnaissance faciale qui identifient automatiquement les passants dans la rue.
Ce type d'identification est la pratique la plus encadrée par l'IA Act. En temps réel et dans l'espace public, elle est purement et simplement interdite sauf exceptions pour les forces de l'ordre.
Oui, la vérification 1:1 (comparer un selfie à une photo d'identité) est autorisée et classée haut risque. Elle nécessite le consentement explicite de la personne, une documentation technique complète, et une évaluation de conformité.
C'est différent de l'identification 1:N qui compare un visage à une base de données de milliers de personnes. Cette dernière est beaucoup plus encadrée, voire interdite selon le contexte.
Les pratiques biométriques interdites exposent aux sanctions maximales de l'IA Act : jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu.
C'est le niveau de sanction le plus sévère prévu par le règlement, supérieur aux amendes RGPD. De plus, les dirigeants peuvent être poursuivis personnellement en cas de pratique délibérée.
Oui, mais avec des conditions extrêmement strictes. L'identification en temps réel dans l'espace public est autorisée uniquement pour trois cas : la recherche de victimes d'enlèvement, la prévention d'attaques terroristes imminentes, et la localisation de suspects de crimes graves.
Chaque usage nécessite une autorisation judiciaire préalable. L'identification différée (après coup, sur des enregistrements) est également possible mais soumise à encadrement strict.
L'identification vise à reconnaître QUI est une personne spécifique. Elle peut être 1:1 (vérification) ou 1:N (recherche dans une base). La catégorisation classe les personnes selon des caractéristiques (âge, genre, ethnie, émotions) sans les identifier individuellement.
Les deux sont réglementés différemment : la catégorisation par caractéristiques sensibles (race, religion, orientation sexuelle) est interdite. La catégorisation non sensible (âge estimé) est autorisée avec conditions.
Oui, absolument. Les systèmes biométriques déjà déployés doivent être mis en conformité avant août 2026 pour les systèmes haut risque. Les pratiques interdites doivent cesser immédiatement dès février 2025.
Il n'existe aucune clause de grand-père pour les systèmes biométriques. Un système légal avant l'IA Act peut devenir illégal après son entrée en vigueur et doit être arrêté ou modifié.
Oui. L'analyse de la démarche, de la frappe au clavier, des mouvements oculaires ou de tout autre comportement pour identifier ou catégoriser des personnes est soumise à l'IA Act au même titre que la reconnaissance faciale ou les empreintes.
Si cette biométrie comportementale sert à déduire des émotions ou des caractéristiques sensibles, elle peut même tomber sous l'interdiction totale. La forme de biométrie ne change pas les règles, c'est l'usage qui compte.
🎓 Formez-vous aux Enjeux de la Biométrie IA
La biométrie est l'un des domaines les plus sensibles de l'IA Act. Une erreur peut coûter jusqu'à 7% de votre CA mondial.
Formation Certifiante AI Act - Module Biométrie
Maîtrisez les règles biométriques, identifiez les pratiques interdites et sécurisez vos systèmes conformes.
- ✅ Module biométrie approfondi
- ✅ Grille d'évaluation de conformité
- ✅ Cas pratiques et jurisprudence
- ✅ Certificat reconnu
Finançable OPCO • Accès illimité 12 mois
✅ Conclusion : La Biométrie Sous Haute Surveillance
La biométrie est le domaine où l'IA Act est le plus strict. Certaines pratiques sont purement et simplement interdites, sans aucune possibilité de dérogation.
Les 3 points essentiels à retenir
- 1️⃣ 4 pratiques interdites : Identification temps réel public, émotions travail/école, catégorisation sensible, scoring social
- 2️⃣ 35M€ ou 7% CA : Sanction maximale pour pratique interdite
- 3️⃣ Alternative obligatoire : Tout système biométrique doit proposer une alternative non biométrique
Si vous utilisez des systèmes biométriques, réalisez immédiatement un audit de conformité. Les interdictions entrent en vigueur dès février 2025. Les systèmes haut risque doivent être conformes avant août 2026.
Ne prenez pas le risque d'une sanction à 7% de votre CA. Faites évaluer vos systèmes biométriques dès maintenant.
Sources Officielles Citées
- Règlement (UE) 2024/1689 - Article 5 (Pratiques interdites) et Annexe III • Journal officiel de l'UE
- CNIL - Position sur la reconnaissance faciale • Autorité française
- EDPB - Lignes directrices vidéosurveillance • Comité européen de la protection des données
- Commission européenne - Cadre réglementaire IA • Documentation officielle