17.06.25
Éclairages juridiques • Droit du numérique, données et conformité

#2 : Pratiques d’IA interdites : analyse des dispositions de l’article 5 de l’IA Act

L’article 5 du Règlement (UE) 2024/1689 (AI Act) établit une liste de pratiques d’intelligence artificielle considérées comme présentant un risque inacceptable et dont la mise sur le marché ou l’utilisation sont, à ce titre, strictement interdites dans l’Union européenne.

1. La liste des IA inacceptables

Depuis le 2 février 2025, il est ainsi prohibé de mettre sur le marché, de mettre en service ou d’utiliser les huit systèmes d’IA suivants :

2. L’esprit de ces interdictions : défendre les valeurs de l’Union européenne

L’interdiction des pratiques de l’article 5 répond directement à la volonté du législateur européen de protéger les droits fondamentaux et valeurs démocratiques.

Elle prévient des atteintes graves à des droits garantis par la Charte des droits fondamentaux, tels que le droit à la dignité humaine (art.   1 de la Charte, menacé par la notation sociale ou la manipulation mentale), le respect de la vie privée et des données personnelles (art. 7 et 8, menacés par la surveillance biométrique de masse ou l’analyse d’émotions), le droit à l’égalité et à la non-discrimination (art. 21, visé par l’interdiction de la catégorisation biométrique ou du scoring social discriminatoire), ou encore la présomption d’innocence et le droit à un recours équitable (art. 47 et 48, menacés par des évaluations algorithmiques de culpabilité anticipée).

3. Le caractère non exhaustif de la liste et articulation avec d'autres interdictions

Notons que la liste des interdictions prévues par l’article 5 de l’IA Act n’est pas exhaustive.

Certaines pratiques ne sont pas interdites par ce texte, et pourtant elles pourraient l’être sur d’autres fondements.

Par exemple, l’article 5 n’interdit pas explicitement la reconnaissance faciale a posteriori (sur images ou vidéos enregistrées[1]) hors champ répressif, mais le RGPD pourrait, lui, empêcher ce traitement de données biométriques s’il n’existe pas de base légale valable (consentement inexistant, intérêt légitime non démontré, etc.). Ainsi, l’IA Act ne supplante pas les autres textes, mais les complète. Il convient donc d’être vigilant en tenant compte des autres textes pouvant créer des interdictions complémentaires à celles prévues par l’IA Act.

4. La recherche et l’innovation, un domaine d’exception

Il convient de souligner que l’IA Act n’entrave pas la recherche et l’innovation tant qu’elles demeurent à un stade expérimental.

Les dispositions de l’article 5 visent la mise sur le marché ou l’usage effectif, mais ne s’appliquent pas aux activités de recherche et de développement menées avant la commercialisation ou la mise en service d’un système d’IA.

Ainsi, un laboratoire peut tout à fait expérimenter en milieu contrôlé un algorithme de reconnaissance émotionnelle ou de prédiction criminelle dans le cadre d’un projet de recherche. De même, les jeux de données peuvent être constitués et testés à des fins scientifiques, y compris sur des sujets sensibles, sans enfreindre l’IA Act. Cette exemption vise à ne pas freiner l’avancée des connaissances.  

5. Des difficultés d’interprétation à prévoir pour les contentieux futurs

On remarquera le caractère parfois subjectif des définitions interdisant certains SIA. En effet, il paraît difficile de démontrer en justice en quoi une technique subliminale est au-dessous du seuil de conscience ou qu’une personne n’aurait pas prise une décision si elle n’avait pas été sous l’influence de ce SIA.

Des expertises scientifiques, médicales ou psychologiques seront certainement nécessaires pour qu’une autorité puisse justifier d’une telle interdiction.

Seulement pour mettre en œuvre une telle expertise, le SIA devra être testé sur des humains, ce qui pose des obstacles éthiques si le SIA devait véritablement être interdit in fine.

En outre, d’autres questions se posent. On peut citer notamment celle de savoir comment les autorités compétentes pourront contrôler efficacement la mise sur le marché de ces SIA. En effet, si l’on reprend les techniques subliminales : comment s’assurer qu’aucune entreprise ne pratique, par exemple, une forme de manipulation « subliminale » dans une application grand public, puisque, par définition, ces techniques sont « au-delà de la conscience » ?

Afin de résoudre ce type de difficultés, de premières lignes directrices ont été publiées par la Commission européenne pour clarifier la portée de l’article 5.

Ces lignes directrices illustrent des termes clés : elles expliquent par exemple ce qu’on entend par «  techniques délibérément manipulatrices ou trompeuses », donnent des exemples concrets de dark patterns interdits, précisent comment identifier une exploitation de la vulnérabilité d’un groupe, ou encore distinguent la simple analyse de données biométriques (autorisée) du véritable système de catégorisation biométrique autonome (interdit).

L’objectif est de garantir une interprétation uniforme de ces interdictions à travers l’UE, pour éviter que chaque autorité nationale n’ait sa propre lecture.

Dans ce cadre, la Commission européenne explique par exemple que les techniques subliminales peuvent recourir à des stimuli diffusés par des moyens audio, visuels ou tactiles, trop brefs ou subtils pour être remarqués, et qui sont traditionnellement connus et interdits dans d’autres secteurs, comme la publicité audiovisuelle. Elle donne quelques exemples, non nécessairement interdits, mais permettant d’illustrer ce qu’il convient de comprendre à la lecture de l’AI Act, à savoir notamment :

  • des messages subliminaux visuels : corresponds à l’affichage ou l’intégration d’image ou de texte très bref pendant la lecture d’une vidéo, mais qui apparaissent trop rapidement pour être perçus consciemment ;
  • indices subvisuels et subauditifs : un système d’IA peut utiliser des stimuli non seulement subtils ou masqués, mais présentés de manière à être totalement indétectables par les sens humains dans des conditions normales — par exemple, des images clignotantes trop rapides pour être détectées consciemment, ou des sons diffusés à des volumes imperceptibles ;
  • détournement d’attention (misdirection) : un système d’IA peut attirer l’attention sur certains stimuli ou contenus afin d’empêcher la perception d’autres contenus, en exploitant souvent les biais cognitifs et les vulnérabilités de l’attention.

Ces définitions ainsi que le contenu des lignes directrices aident à clarifier certaines ambiguïtés du texte. Mais, malgré cela, il semble qu’une marge d’appréciation assez large soit laissée aux autorités et juges pour interpréter les conditions de l’interdiction.

6. La responsabilité des acteurs

En matière de responsabilité, l’IA Act prévoit que les acteurs de l’IA, notamment fournisseurs ou déployeurs sont responsables de la mise sur le marché ou l’utilisation d’un SIA interdit.

Mais les lignes directrices sont plus précises et éclairantes. Elles indiquent que la responsabilité doit être assumée par l’acteur le mieux placé dans la chaîne de valeur pour adopter des mesures spécifiques de préventions et d’atténuation et pour garantir un développement et une utilisation conforme des SIA, en accord avec les objectifs et l’approche de l’IA Act[2].

Ce pourra être le fournisseur initial s’il a sciemment conçu un outil prohibé, ou l’utilisateur/déployeur s’il a détourné un outil initialement permis vers un usage interdit.

La Commission donne un exemple où la responsabilité du déployeur est mise en évidence : un SIA utilisé par un employeur pour déduire les émotions sur le lieu de travail est interdit, sauf pour des raisons médicales ou de sécurité. Cette interdiction s’applique aux déployeurs indépendamment du fait que le fournisseur ait exclu une telle utilisation dans ses relations contractuelles avec le déployeur[3].

Les déployeurs sont donc tenus de ne pas utiliser un système d’IA d’une manière interdite au titre de l’article 5 du Règlement sur l’IA (AI Act), y compris de ne pas contourner les dispositifs de sécurité mis en place par les fournisseurs du système.

Cependant, bien que les dommages proviennent souvent de la manière dont les systèmes d’IA sont utilisés dans la pratique, les fournisseurs ont également la responsabilité de ne pas mettre sur le marché ou en service des systèmes d’IA —, y compris les systèmes d’IA à usage général — qui sont raisonnablement susceptibles de se comporter ou d’être directement utilisés d’une manière interdite par l’article 5 du Règlement[4].

Dans ce contexte, il est également attendu des fournisseurs qu’ils prennent des mesures efficaces et vérifiables pour intégrer des garde-fous et prévenir ou atténuer de tels comportements ou utilisations dommageables, dans la mesure où ceux-ci sont raisonnablement prévisibles et que les mesures sont réalisables et proportionnées, selon le système d’IA concerné et les circonstances du cas.

7. La conséquence pour les acteurs de l’IA

Pour les acteurs de l’IA, l’article 5 implique donc une obligation absolue de ne pas développer ni déployer des SIA inacceptables ou potentiellement inacceptables.

Contrairement aux systèmes « à risque élevé » qui peuvent être commercialisés sous conditions, la potentialité même des systèmes relevant d’une pratique interdite ne doit tout simplement pas voir le jour sur le marché européen.

Le marché sera surveillé par les autorités nationales désignées dans chaque État membre. Elles auront le pouvoir d’enquêter et de détecter les systèmes d’IA non conforme. Et les acteurs violant les règles de l’IA Act seront sommés de prendre des mesures correctives immédiates, outre les sanctions prévues applicables à partir du 2 août 2025.

Dans le cadre du cycle « le Règlement sur l’Intelligence artificielle », nous vous proposons de nous retrouver chaque mois pour améliorer notre compréhension commune de ce règlement et que vous soyez ainsi prêt pour son entrée en application :

  • #1 Entrée en vigueur et champ d’application de l’IA Act : quel périmètre exact pour les juristes ?
  • #2 Pratiques d’IA interdites : analyse des dispositions de l’article 5
  • #3 Classifications juridiques des systèmes d’IA : comprendre les catégories de risque
  • #4 Obligations juridiques concrètes des fournisseurs d’IA à haut risque : exigences et conformité
  • #5 Transparence et explicabilité juridiques des systèmes d’IA : portée exacte des obligations pour les juristes
  • #6 Modèles d’IA à usage général : encadrement et responsabilités
  • #7 Impacts de l’IA Act sur les contrats IT : adaptations nécessaires
  • #8 Mesures de soutien à l’innovation : bacs à sable réglementaires et autres initiatives
  • #9 Gouvernance interne et responsabilité juridique : analyse critique des obligations organisationnelles
  • #10 Mise en œuvre et surveillance : rôle des autorités nationales et européennes
  • #11 Bases de données de l’UE sur les IA à haut risque : transparence et accessibilité
  • #12 Codes de conduite et lignes directrices : rôle et élaboration
  • #13 Sanctions en cas de non-conformité : cadre et implications

Le département Droit du numérique, données et conformité peut vous accompagner dans tout le cycle de vie de création de votre SIA : de l’étude de faisabilité, à la révision des contrats, de l’étude d’impact des droits fondamentaux, en passant par la préparation des dossiers des IA à haut risque.

Pour toute question, n’hésitez pas à nous contacter.

[1] Cette absence d’interdiction a d’ailleurs fait débat, puisque, pour certains auteurs du point de vue des libertés, la distinction temps réel/temps différé est artificielle : identifier des manifestants sur des images vidéo en direct ou le lendemain d’une manifestation pourrait avoir un effet tout aussi dissuasif sur l’exercice des libertés publiques que l’identification en direct. À noter cependant que les données biométriques, sauf base légale conforme, sont des données personnelles qui ne peuvent pas être traitées conformément à l’article 9 du RGPD. Le temps réel et le temps différé sont encadrés. 

[2] Commission européenne, Lignes directrices relatives à l'application du règlement (UE) 2024/1689 sur les SIA inacceptables, Bruxelles, 2025, p.  12, §20.

[3] Commission européenne, Lignes directrices relatives à l'application du règlement (UE) 2024/1689 sur les SIA inacceptables, Bruxelles, 2025, p.  10, §14.

[4] Commission européenne, Lignes directrices relatives à l'application du règlement (UE) 2024/1689 sur les SIA inacceptables, Bruxelles, 2025, p.  18, §40.

Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.