Le règlement sur l’intelligence artificielle (en anglais « Artificial Intelligence Act » ou « AI Act »), entré en vigueur le 1er août 2024, introduit une classification des systèmes d’intelligence artificielle (SIA) en fonction de leur risque, allant de « faible » à « inacceptable ». Les systèmes classés comme « à risque inacceptable » listés à l’article 5 de l’AI Act sont strictement interdits car considérés comme contraires aux valeurs de l’Union européenne. Cette interdiction est applicable depuis le 02 février 2025.
Cela signifie que ces systèmes ne peuvent pas être déployés dans l’Union européenne depuis cette date, et qu’à ce titre ils pourraient faire l'objet de recours devant les cours et tribunaux, en cas par exemple de dommage causé à un tiers. Or, la CNPD tient à rappeler que la plupart de ces SIA à risque inacceptables seraient par ailleurs problématiques au regard de plusieurs principes du RGPD, notamment au regard du principe de transparence. Dès lors, indépendamment du rôle qui serait celui de la CNPD dans le cadre des dispositions nationales relatives à l’intelligence artificielle (et notamment du projet de loi no 8476), de tels systèmes pourraient donner lieu à des réclamations ou faire l’objet d’enquêtes de sa part s’ils venaient à être déployés sur le territoire luxembourgeois.
Sont ainsi interdites :
- les techniques subliminales (art. 5, § 1, a),
- l’exploitation des vulnérabilités (art. 5, § 1, b),
- la notation sociale sous conditions c’est-à-dire si elle conduit à un traitement préjudiciable ou défavorable et dans le cas de situations bien précises (art. 5, § 1, c),
- les opérations de police prédictive, notamment sans intervention humaine (art. 5 § 1, d),
- les SIA qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d'images faciales provenant de l'internet ou de la vidéosurveillance (art. 5, § 1, e),
- l'utilisation de SIA pour la reconnaissance émotionnelle sur le lieu de travail ou dans les établissements d'enseignement (art. 5, § 1, f),
- la catégorisation biométrique catégorisant individuellement les personnes physiques afin d'arriver à des déductions ou des inférences concernant des caractéristiques sensibles telles que la race, les opinions politiques, l'orientation sexuelle (art. 5, § 1, g),
- l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives, sauf si cette utilisation est strictement nécessaire pour la recherches de victimes spécifiques, la prévention de menace sérieuse ou d’enquêtes criminelles pour des infractions particulièrement graves (art. 5, § 1, h). Des conditions additionnelles détaillées sont listées par le AI Act concernant ce dernier cas précis.
Une analyse au cas par cas se révèle nécessaire car certaines pratiques d’IA sont interdites uniquement dans certains contextes spécifiques (par exemple, l’utilisation des SIA pour la reconnaissance émotionnelle ne sont considérés comme à risque inacceptable que dans sur le lieu de travail ou dans les établissements d'enseignement).
La Commission européenne a publié ce 4 février 2025 ses lignes directrices sur les pratiques d’IA prohibées, qui définissent avec précision ces pratiques, et auquel la CNPD se permet de renvoyer pour plus de détail.
Nous nous contenterons d’illustrer ci-après certaines des pratiques prohibées par l’AI Act telles que précédemment listées, en faisant le lien avec les principes d’ores et déjà applicables sur base du RGPD :
- l’exploitation de vulnérabilités : il s’agit d’IA ciblant les vulnérabilités des personnes (en fonction de leur âge, leur motricité, etc.) afin d’altérer substantiellement le comportement d’une manière qui cause ou peut causer un préjudice important. Par exemple, une application conçue pour inciter des enfants à effectuer des achats intégrés en exploitant leur manque de discernement serait interdite. Or, le RGPD prévoit déjà dans son article 8 des conditions applicables au consentement des enfants en ce qui concerne les services de la société de l'information. De même, un système d’IA détectant l’état dépressif d’une personne pour lui vendre des vacances personnalisées serait problématique. Dans ce dernier cas de figure, s’agissant d’une donnée concernant la santé, le traitement serait en tout état de cause interdit sur base de l’article 9 du RGPD, dans la mesure où aucune des conditions du paragraphe 2 de cet article n’aurait vocation à s’appliquer à un tel cas de figure.
- la mise sur le marché, la mise en service à cette fin spécifique ou l’utilisation de SIA qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance. Par exemple, un système qui collecterait ou serait développé en collectant le maximum de visages disponibles sur internet, et ce afin de les comparer à des visages de personnes soumises à un système de vidéosurveillance à des fins d’identification serait prohibé sur base de l’AI Act. Or, il s’agirait par ailleurs d’un traitement de données biométriques aux fins d'identifier une personne physique de manière unique, interdit sur base de l’article 9 du RGPD et pour lequel ici non plus, aucune des conditions du paragraphe 2 de cet article n’aurait vocation à s’appliquer.
- la mise sur le marché, la mise en service à cette fin spécifique ou l’utilisation de SIA pour inférer les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement, sauf lorsque l’utilisation du SIA est destinée à être mise en place ou mise sur le marché pour des raisons médicales ou de sécurité. Un exemple ici pourrait être celui des SIA destinés à analyser les expressions faciales, la tonalité vocale ou la gestuelle des employés afin de mesurer l’engagement, la satisfaction ou le stress des employés dans le but d’améliorer le bien-être ou la productivité au travail. Il s’agirait le cas échéant d’une mesure de surveillance généralisée des employés qui poserait également problème au regard de plusieurs principes du RGPD, notamment en termes de licéité, de transparence et de minimisation des données.
Depuis le 2 février 2025, une autre obligation de l’AI Act impacte les entreprises utilisant l'intelligence artificielle. L’article 4 du règlement sur l’intelligence artificielle impose en effet que toutes les personnes impliquées dans le fonctionnement et l’usage des systèmes d’IA possèdent un niveau suffisant de maîtrise. Cette obligation sera détaillée dans un autre article qui sera prochainement publié par la CNPD sur son site internet.