IA Police : Forces de l’Ordre Face à l’AI Act
⚠️ Alerte Critique pour les Forces de l’Ordre
92% des services de police européens utilisent déjà des systèmes IA non conformes à l’AI Act. Les premières interdictions sont en vigueur depuis février 2025.
L’intelligence artificielle a révolutionné le travail des forces de l’ordre. Reconnaissance faciale, analyse prédictive, vidéosurveillance intelligente : ces outils promettent une sécurité publique renforcée.
Mais l’Europe a posé des lignes rouges claires. L’AI Act établit les règles les plus strictes au monde pour l’utilisation de l’IA par la police.
Ce guide vous explique concrètement ce qui est autorisé, ce qui est interdit, et comment vous mettre en conformité avant les sanctions.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA & Fondateur de Soignant Voice. Expert en conformité IA et transformation digitale des organisations publiques.
Infographie : Parcours de mise en conformité AI Act pour les forces de l’ordre
📚 Ce que vous allez apprendre
- → Les systèmes IA totalement interdits pour la police
- → Les conditions strictes pour la reconnaissance faciale
- → Comment classifier vos systèmes par niveau de risque
- → Le plan d’action en 7 étapes pour la conformité
- → Les sanctions et responsabilités des agents
🚨 L’AI Act et la Police : Un Cadre Juridique Sans Précédent
Le Règlement européen sur l’Intelligence Artificielle (AI Act) adopté le 13 juin 2024 constitue la première législation mondiale encadrant spécifiquement l’IA dans le maintien de l’ordre.
Pour les forces de l’ordre, ce texte impose des restrictions parmi les plus sévères de tout le règlement. La raison est simple : l’IA policière touche directement aux libertés fondamentales des citoyens européens.
Photo par Campaign Creators sur Unsplash
📋 Les Articles Clés pour les Forces de l’Ordre
Plusieurs articles de l’AI Act concernent directement les activités policières :
- 📌 Article 5 : Liste des pratiques IA totalement interdites
- 📌 Article 6 : Classification des systèmes à haut risque
- 📌 Annexe III : Systèmes IA policiers explicitement visés
- 📌 Article 4 : Obligation de formation des utilisateurs
- 📌 Article 14 : Supervision humaine obligatoire
⏰ Calendrier d’Application
Février 2025 : Interdictions absolues en vigueur (Article 5)
2 août 2025 : Obligation de formation (Article 4)
Août 2026 : Exigences complètes systèmes haut risque
Août 2027 : Conformité totale systèmes existants
🎯 Qui Est Concerné ?
L’AI Act s’applique à tous les acteurs de la chaîne sécuritaire :
- 👮 Police nationale et municipale : tous les services opérationnels
- 🛡️ Gendarmerie nationale : brigades territoriales et unités spécialisées
- 🔍 Services de renseignement : DGSI, DRSD (avec exceptions limitées)
- 🏛️ Douanes et frontières : contrôles automatisés
- 🏢 Fournisseurs privés : éditeurs de logiciels, intégrateurs
« L’AI Act ne fait pas de distinction entre police publique et prestataires privés. Tout acteur déployant un système IA pour les forces de l’ordre doit se conformer aux mêmes exigences. »
— Commission européenne, FAQ AI Act, 2024
⚖️ La Hiérarchie des Risques Appliquée à la Police
L’AI Act classe les systèmes IA en quatre niveaux. Pour la police, la majorité des outils se situent dans les deux catégories les plus sensibles :
| Niveau de Risque | Exemples Police | Obligations |
|---|---|---|
| 🚫 INTERDIT | Profilage prédictif individuel, notation sociale, manipulation subliminale | Désactivation immédiate obligatoire |
| ⚠️ HAUT RISQUE | Reconnaissance faciale, analyse comportementale, détection de mensonges | Documentation complète + supervision humaine + audit |
| ℹ️ RISQUE LIMITÉ | Chatbots pour plaintes, assistants vocaux | Transparence sur la nature IA |
| ✅ RISQUE MINIMAL | Filtres anti-spam, OCR documents | Bonnes pratiques recommandées |
🚫 Les Pratiques IA Totalement Interdites pour la Police
L’Article 5 de l’AI Act établit une liste de pratiques IA absolument prohibées. Ces interdictions sont entrées en vigueur dès février 2025.
Pour les forces de l’ordre, plusieurs interdictions ont un impact majeur sur les pratiques actuelles.
Photo par Scott Graham sur Unsplash
❌ 1. Le Profilage Prédictif Individuel
L’AI Act interdit totalement les systèmes qui évaluent le risque qu’une personne spécifique commette une infraction future.
Cette interdiction vise les algorithmes de « predictive policing » qui attribuent un score de dangerosité à des individus sur la base de caractéristiques personnelles, antécédents, ou comportements passés.
🚨 Exemple Concret Interdit
Un système qui analyse le profil d’un individu (antécédents, fréquentations, activité en ligne) pour calculer une « probabilité de récidive » ou un « score de risque criminel » est strictement illégal depuis février 2025.
Cependant, l’analyse prédictive géographique reste autorisée. Un système peut prédire les zones à risque (quartiers, horaires) sans cibler des individus spécifiques.
❌ 2. La Notation Sociale
Toute forme de « crédit social » appliqué aux citoyens est interdite. Les forces de l’ordre ne peuvent pas utiliser de systèmes attribuant un score global de « fiabilité » ou de « comportement citoyen ».
- 🚫 Scores combinant infractions mineures répétées
- 🚫 Notation basée sur les associations ou fréquentations
- 🚫 Systèmes cumulant des « points négatifs » comportementaux
❌ 3. La Manipulation Subliminale et l’Exploitation des Vulnérabilités
Les systèmes IA conçus pour manipuler le comportement de suspects ou témoins par des techniques subliminales sont interdits. De même pour les outils exploitant les vulnérabilités psychologiques lors d’interrogatoires.
❌ 4. La Reconnaissance Faciale en Temps Réel (Avec Exceptions)
L’identification biométrique à distance en temps réel dans les espaces publics est interdite par défaut. Mais l’AI Act prévoit trois exceptions strictement encadrées pour les forces de l’ordre :
🔐 Les 3 Exceptions Autorisées
- 1️⃣ Menace terroriste imminente : attaque en cours ou imminente confirmée
- 2️⃣ Recherche de victimes : enlèvement, traite humaine, disparition inquiétante
- 3️⃣ Suspects crimes graves : liste limitative de 32 infractions (terrorisme, meurtre, viol, etc.)
Chaque utilisation exceptionnelle nécessite :
- ✅ Autorisation judiciaire préalable (sauf urgence absolue)
- ✅ Évaluation d’impact sur les droits fondamentaux
- ✅ Notification à l’autorité de protection des données
- ✅ Limitation géographique et temporelle stricte
- ✅ Supervision humaine permanente
« Même dans les cas exceptionnels autorisés, la reconnaissance faciale en temps réel doit rester l’ultima ratio, jamais une pratique routinière. »
— Thierry Breton, Commissaire européen, 2024
⚠️ Les Systèmes IA Haut Risque dans la Police
L’Annexe III de l’AI Act liste explicitement les systèmes IA policiers considérés comme haut risque. Ces outils restent autorisés mais sous conditions très strictes.
🔍 Catégories de Systèmes Haut Risque
Reconnaissance faciale a posteriori, identification vocale, analyse de démarche, reconnaissance d’empreintes automatisée
Détection de comportements suspects, analyse de foule, prédiction de mouvements, systèmes d’alerte automatique
Évaluation de preuves, scoring de crédibilité, recommandations d’actions, systèmes de détection de mensonges
Détection d’intrusion, suivi automatique, reconnaissance de plaques, analyse thermique comportementale
Vérification documentaire automatisée, profilage de risque migratoire, détection de documents falsifiés
📝 Les 7 Exigences pour les Systèmes Haut Risque
Chaque système haut risque doit satisfaire à un ensemble d’obligations techniques et organisationnelles :
Système de Gestion des Risques
Identification, évaluation et atténuation des risques tout au long du cycle de vie du système. Mise à jour continue obligatoire.
Gouvernance des Données
Qualité des données d’entraînement, représentativité, absence de biais, traçabilité complète des datasets utilisés.
Documentation Technique
Dossier technique complet avant mise sur le marché : architecture, performances, limites connues, conditions d’utilisation.
Enregistrement des Activités (Logs)
Journalisation automatique de toutes les décisions IA, conservation minimum 6 mois, accessibilité pour audits.
Transparence et Information
Instructions d’utilisation claires, information sur les capacités et limites, signalétique appropriée dans les espaces surveillés.
Supervision Humaine
Un opérateur humain qualifié doit pouvoir comprendre, surveiller et désactiver le système à tout moment. Aucune décision finale automatique.
Précision, Robustesse, Cybersécurité
Niveaux de performance documentés, résilience aux attaques adverses, protection contre les manipulations malveillantes.
🏛️ 3 Cas Pratiques : Comment l’AI Act S’Applique Concrètement
Analysons trois situations réelles auxquelles les forces de l’ordre françaises font face avec l’AI Act.
📹 Cas 1 : Vidéosurveillance Algorithmique des JO 2024
La France a autorisé expérimentalement la vidéosurveillance augmentée par IA pour les Jeux Olympiques 2024. Cette expérimentation illustre parfaitement les tensions avec l’AI Act.
📊 Contexte
Système : Détection automatique de comportements suspects (bagages abandonnés, mouvements de foule, intrusions)
Périmètre : 15 000 caméras sur les sites olympiques
Fournisseurs : Wintics, Videtics, Orange Business, ChapsVision
Ce qui est conforme AI Act :
- ✅ Détection d’objets abandonnés (risque limité)
- ✅ Comptage de personnes anonymisé
- ✅ Détection d’intrusion dans zones interdites
Ce qui pose problème :
- ⚠️ Analyse comportementale individuelle → haut risque, documentation obligatoire
- ⚠️ Tracking de trajectoires → supervision humaine renforcée nécessaire
- 🚫 Toute forme de reconnaissance faciale temps réel → interdit sauf exceptions
🔬 Cas 2 : Analyse Prédictive Géographique (PredPol-like)
Plusieurs préfectures françaises ont testé des logiciels de prédiction géographique de la criminalité, inspirés du modèle américain PredPol.
⚖️ Situation Nuancée
Autorisé : Prédire qu’une zone géographique présente un risque élevé à certaines heures
Interdit : Identifier des individus spécifiques comme « à risque » de commettre un crime
Pour rester conforme, ces systèmes doivent :
- 📋 Documenter les algorithmes et sources de données utilisées
- 🧑💻 Former les agents à interpréter les résultats avec prudence
- 🔍 Auditer régulièrement les biais potentiels (sur-représentation de certains quartiers)
- 👁️ Maintenir une supervision humaine sur les décisions de patrouille
🛂 Cas 3 : Contrôle Automatisé aux Frontières (PARAFE)
Les sas PARAFE dans les aéroports français utilisent la reconnaissance faciale pour vérifier l’identité des voyageurs. Ce système est directement visé par l’AI Act.
💡 Classification AI Act
Niveau : Haut risque (Annexe III, point 7.a)
Statut : Autorisé sous conditions strictes
Exigences de conformité :
- 📄 Documentation technique complète du système de matching biométrique
- 📊 Mesures de performance publiées (taux de faux positifs/négatifs)
- 🧑🤝🧑 Option de contrôle humain alternatif obligatoire pour tout voyageur
- 📣 Information claire des voyageurs sur le traitement biométrique
- 🔐 Évaluation d’impact sur les droits fondamentaux (AIPD)
🎯 Quiz : Votre Service Est-il Prêt pour l’AI Act ?
🎯 Plan d’Action en 7 Étapes pour la Conformité
Voici le parcours complet de mise en conformité recommandé pour les services de police et de gendarmerie.
Photo par Carlos Muza sur Unsplash
📍 Étape 1 : Cartographie Complète (3 semaines)
Inventoriez tous les systèmes IA utilisés dans votre service, même ceux que vous ne considérez pas comme de l’IA.
- 🔍 Logiciels de vidéosurveillance avec détection automatique
- 🔍 Outils d’analyse de documents (OCR, extraction)
- 🔍 Systèmes de reconnaissance (plaques, visages, objets)
- 🔍 Assistants d’aide à la rédaction (procès-verbaux)
- 🔍 Outils d’analyse de données criminelles
💡 Astuce Pratique
Interrogez chaque service : « Quel logiciel vous suggère des résultats, détecte quelque chose automatiquement, ou fait des prédictions ? » Tout système répondant « oui » est potentiellement concerné.
📊 Étape 2 : Classification des Risques (2 semaines)
Pour chaque système identifié, déterminez son niveau de risque selon la grille AI Act :
| Question à Se Poser | Si Oui |
|---|---|
| Le système prédit-il le comportement d’individus spécifiques ? | INTERDIT |
| Le système utilise-t-il des données biométriques en temps réel ? | INTERDIT (sauf exceptions) |
| Le système influence-t-il des décisions sur la liberté des personnes ? | HAUT RISQUE |
| Le système est-il mentionné dans l’Annexe III AI Act ? | HAUT RISQUE |
| Le système interagit-il directement avec le public ? | RISQUE LIMITÉ |
🎓 Étape 3 : Formation des Équipes (4 semaines)
L’Article 4 de l’AI Act impose une obligation de compétence IA pour tous les utilisateurs de systèmes à haut risque.
⚠️ Deadline Critique
Formation obligatoire avant le 2 août 2025 pour tous les agents utilisant des systèmes IA haut risque.
Profils prioritaires à former :
- 👮 Agents opérationnels utilisant les systèmes au quotidien
- 👨💼 Superviseurs et responsables hiérarchiques
- 🧑💻 Équipes techniques (DSI, administrateurs)
- ⚖️ Correspondants données personnelles et déontologie
- 📊 Direction et décideurs stratégiques
🔍 Étape 4 : Gap Analysis (3 semaines)
Comparez vos pratiques actuelles aux exigences de l’AI Act. Identifiez précisément les écarts à combler.
Points à vérifier pour chaque système haut risque :
- 📄 Documentation technique existe-t-elle ?
- 📊 Performances mesurées et publiées ?
- 🔐 Évaluation d’impact réalisée ?
- 📝 Logs de décisions conservés ?
- 👁️ Supervision humaine effective ?
📋 Étape 5 : Documentation Technique (12 semaines)
C’est l’étape la plus longue. Pour chaque système haut risque, produisez le dossier technique exigé par l’Article 11 :
- 📌 Description générale du système et de sa finalité
- 📌 Architecture technique et algorithmes utilisés
- 📌 Données d’entraînement et leur gouvernance
- 📌 Mesures de performance et leurs limites
- 📌 Risques identifiés et mesures d’atténuation
- 📌 Instructions d’utilisation et formation requise
- 📌 Procédures de supervision humaine
✅ Étape 6 : Audits et Tests (6 semaines)
Avant la mise en conformité finale, réalisez des audits internes pour valider la documentation et les procédures.
Tests à effectuer :
- 🧪 Tests de performance sur données représentatives
- 🧪 Tests de robustesse (conditions dégradées)
- 🧪 Tests de biais (sous-groupes de population)
- 🧪 Exercices de supervision humaine
- 🧪 Simulation d’incidents et procédures de désactivation
🏆 Étape 7 : Certification et Suivi Continu (4 semaines)
Finalisez le processus par une validation formelle et mettez en place le suivi permanent.
- ✅ Enregistrement des systèmes dans la base de données européenne
- ✅ Désignation d’un responsable AI Act dans le service
- ✅ Mise en place d’audits périodiques (annuels minimum)
- ✅ Procédure de mise à jour de la documentation
- ✅ Canal de signalement des incidents IA
💰 Simulateur Budget Conformité Forces de l’Ordre
⚖️ Sanctions et Responsabilités des Forces de l’Ordre
L’AI Act prévoit des sanctions significatives, y compris pour les autorités publiques. Les forces de l’ordre ne bénéficient d’aucune immunité.
💸 Montants des Sanctions Administratives
Pour les autorités publiques, les sanctions sont plafonnées mais restent significatives. De plus, les responsables individuels peuvent faire l’objet de poursuites disciplinaires et pénales.
👤 Responsabilité Individuelle des Agents
L’AI Act n’exonère pas les individus. Un agent qui utilise sciemment un système IA interdit ou non conforme peut être tenu personnellement responsable.
🚨 Risques pour les Agents
- ⚠️ Sanctions disciplinaires (avertissement à révocation)
- ⚠️ Poursuites pénales en cas de violation des droits fondamentaux
- ⚠️ Mise en cause civile par les victimes
- ⚠️ Impossibilité d’invoquer l’ordre hiérarchique si l’illégalité était manifeste
« La formation Article 4 protège autant l’institution que l’agent. Un agent formé peut refuser légitimement d’utiliser un système manifestement non conforme. »
— Me Sophie Durand, Avocate spécialisée droit des technologies, 2024
❓ Questions Fréquentes sur l’IA Police et l’AI Act
Non, mais son usage est très encadré. La reconnaissance faciale en temps réel dans les espaces publics est interdite par défaut. Trois exceptions existent : menace terroriste imminente, recherche de victimes, et recherche de suspects pour crimes graves listés. Chaque usage exceptionnel requiert une autorisation judiciaire préalable. La reconnaissance faciale a posteriori (sur enregistrements) reste autorisée comme système haut risque, avec documentation et supervision obligatoires.
Cela dépend de leur fonctionnement. Les systèmes prédisant des zones géographiques à risque restent autorisés comme systèmes haut risque. En revanche, tout système évaluant le risque qu’un individu spécifique commette une infraction est strictement interdit depuis février 2025. La distinction est fondamentale : prédire « où » est acceptable, prédire « qui » est prohibé.
Les sanctions peuvent atteindre 35 millions d’euros pour l’utilisation de pratiques IA interdites (Article 5). Pour les systèmes haut risque non conformes, le plafond est de 15 millions. Au-delà des sanctions financières, les responsables peuvent faire l’objet de poursuites disciplinaires. Les décisions prises sur la base d’un système illégal peuvent également être annulées par les tribunaux.
Absolument. Tout drone utilisant des capacités IA (suivi automatique, reconnaissance, analyse comportementale) est soumis à l’AI Act. Si le drone embarque une reconnaissance faciale en temps réel, les mêmes restrictions que pour les caméras fixes s’appliquent. Les drones avec analyse comportementale sont classés haut risque et nécessitent une documentation complète et une supervision humaine.
L’Article 4 impose une formation « suffisante » sans préciser de durée. Les formations recommandées couvrent les fondamentaux de l’IA, les obligations AI Act, les risques et biais, et les procédures de supervision. Une formation de base peut être réalisée en 1-2 jours. Pour les profils techniques, prévoir 3-5 jours. Les formations certifiantes offrent une preuve de conformité en cas de contrôle.
En France, le contrôle sera partagé entre plusieurs autorités. La CNIL conserve ses compétences sur les aspects données personnelles. Une autorité nationale AI Act sera désignée pour les aspects spécifiques au règlement. Les corps d’inspection internes (IGPN, IGGN) peuvent également intervenir. La Commission européenne dispose d’un pouvoir de contrôle pour les violations transfrontalières ou systémiques.
Oui, sans exception. L’AI Act s’applique aux systèmes existants selon un calendrier précis. Les systèmes utilisant des pratiques interdites doivent être désactivés immédiatement (depuis février 2025). Les systèmes haut risque disposent d’un délai jusqu’en août 2027 pour une mise en conformité complète, mais l’obligation de formation s’applique dès août 2025.
Oui, dès qu’elle intègre des capacités IA. La simple captation d’images n’est pas concernée. En revanche, toute fonctionnalité automatique (détection de mouvement avancée, reconnaissance d’objets, analyse comportementale, comptage, tracking) fait entrer le système dans le champ de l’AI Act. La majorité des systèmes modernes sont donc concernés.
Les deux règlements se complètent. Le RGPD encadre le traitement des données personnelles (collecte, conservation, droits des personnes). L’AI Act encadre spécifiquement les systèmes d’intelligence artificielle (conception, déploiement, supervision). Un système IA policier doit être conforme aux deux : RGPD pour les données traitées, AI Act pour le système lui-même. Les sanctions peuvent se cumuler.
L’AI Act prévoit des exemptions limitées pour les activités relevant exclusivement de la sécurité nationale et de la défense. Cependant, les activités de police « classique » (maintien de l’ordre, investigation criminelle, contrôle aux frontières) ne sont pas exemptées. Seuls les services de renseignement militaire ou les opérations purement militaires peuvent bénéficier d’exemptions.
Formez Vos Équipes Avant l’Échéance
L’obligation de formation Article 4 entre en vigueur le 2 août 2025. Anticipez dès maintenant pour éviter les sanctions.
Découvrir la Formation Certifiante → 500€🎯 Conclusion : Agir Maintenant pour une Police Conforme
L’AI Act transforme profondément l’utilisation de l’intelligence artificielle par les forces de l’ordre. Ce n’est pas une contrainte bureaucratique de plus, mais une opportunité de construire une police à la fois efficace et respectueuse des droits fondamentaux.
Les trois points essentiels à retenir :
- 1️⃣ Certaines pratiques sont définitivement interdites : profilage prédictif individuel, notation sociale, reconnaissance faciale temps réel (sauf exceptions strictes)
- 2️⃣ La plupart des systèmes IA policiers sont haut risque : ils restent autorisés mais exigent documentation, supervision et formation
- 3️⃣ Le temps presse : l’obligation de formation entre en vigueur le 2 août 2025, les exigences complètes en 2026-2027
La mise en conformité n’est pas facultative. Les sanctions sont significatives, et les responsabilités individuelles des agents peuvent être engagées.
Commencez dès aujourd’hui par la cartographie de vos systèmes et la formation de vos équipes. C’est l’investissement le plus rentable pour éviter les sanctions et construire une relation de confiance avec les citoyens.
📚 Sources Officielles Citées
- Règlement (UE) 2024/1689 – Texte officiel AI Act • Journal officiel de l’UE
- CNIL – Dossier Intelligence Artificielle • Autorité française de protection des données
- Commission européenne – Cadre réglementaire IA • Documentation officielle
- Loi française sur la vidéosurveillance algorithmique JO 2024 • Légifrance