Pratiques IA interdites : ce que votre entreprise ne peut plus faire

Les lignes rouges de l’intelligence artificielle

Avant même d’aborder les systèmes à haut risque, les obligations de transparence ou la maîtrise de l’IA, le Règlement européen sur l’intelligence artificielle (Règlement 2024/1689) trace des lignes rouges absolues. L’Article 5 dresse la liste des pratiques d’IA purement et simplement interdites dans l’Union européenne.

Ces interdictions sont en vigueur depuis le 1er février 2025. Ce ne sont pas des échéances futures : elles s’appliquent maintenant.

Article 5, paragraphe 1 — Règlement (UE) 2024/1689

Les pratiques en matière d’intelligence artificielle suivantes sont interdites : […] la mise sur le marché, la mise en service ou l’utilisation d’un système d’IA qui déploie des techniques subliminales […] ou des techniques délibérément manipulatrices ou trompeuses ayant pour objectif ou pour effet d’altérer substantiellement le comportement d’une personne […] d’une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne ou à une autre personne.

Les six catégories de pratiques interdites

1. Le scoring social

L’AI Act interdit les systèmes qui évaluent ou classifient les personnes physiques sur la base de leur comportement social ou de caractéristiques personnelles, lorsque ce score conduit à un traitement défavorable dans des contextes sans rapport avec la collecte des données, ou disproportionné par rapport au comportement en question.

Attention : contrairement à ce que l’on croit souvent, cette interdiction ne vise pas uniquement les gouvernements. Elle s’applique aussi aux acteurs privés. Une entreprise qui constituerait un “score de fiabilité” de ses clients en agrégeant données de paiement, comportement en ligne et interactions avec le service client — et utiliserait ce score pour refuser des services — serait en infraction.

Exemples concrets d’usages désormais illégaux :

• Un assureur qui agrège les données de réseaux sociaux pour évaluer le “profil de risque comportemental” d’un client
• Un bailleur qui utilise un score combinant historique de paiement, activité en ligne et données de géolocalisation pour filtrer les locataires
• Un employeur qui construit un “score d’engagement” automatisé conditionnant l’accès à des avantages

2. La manipulation subliminale et les techniques trompeuses

Tout système d’IA conçu pour altérer le comportement d’une personne à son insu est interdit. Cela couvre les techniques subliminales (stimuli imperceptibles par la conscience) et les techniques délibérément manipulatrices ou trompeuses.

Exemples :

• Un système qui adapte l’interface d’un site e-commerce pour exploiter des biais cognitifs identifiés par IA (dark patterns alimentés par l’IA)
• Un outil de négociation automatisé qui analyse les micro-expressions en temps réel pour manipuler l’interlocuteur
• Un système de tarification dynamique qui exploite l’état émotionnel détecté de l’utilisateur

3. L’exploitation des vulnérabilités

Les systèmes d’IA qui exploitent les vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique d’une personne pour altérer substantiellement son comportement sont interdits.

Exemples :

• Un chatbot commercial ciblant spécifiquement les personnes âgées avec des techniques de persuasion adaptées à leurs vulnérabilités cognitives
• Un système de publicité ciblée visant des personnes en situation de surendettement pour leur proposer des crédits à la consommation
• Un jeu en ligne utilisant l’IA pour identifier et exploiter les comportements addictifs des mineurs

4. La reconnaissance biométrique en temps réel dans les espaces publics

L’utilisation de systèmes d’identification biométrique à distance “en temps réel” dans les espaces accessibles au public à des fins répressives est interdite, avec trois exceptions strictement encadrées :

• La recherche ciblée de victimes d’enlèvement, de traite d’êtres humains ou d’exploitation sexuelle
• La prévention d’une menace terroriste spécifique et imminente
• La localisation ou l’identification d’une personne soupçonnée d’avoir commis certaines infractions graves

Même dans ces cas, l’utilisation nécessite une autorisation judiciaire préalable et est soumise à des garanties strictes.

5. La reconnaissance des émotions au travail et dans l’éducation

Article 5, paragraphe 1, point f — Règlement (UE) 2024/1689

[Est interdit] la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA pour déduire les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement, sauf lorsque l’utilisation du système d’IA est destinée à être mise en place ou mise sur le marché pour des raisons médicales ou de sécurité.

Cette interdiction est particulièrement pertinente pour les entreprises. Elle couvre :

• Les outils d’analyse des émotions en visioconférence : systèmes qui analysent les expressions faciales des participants pendant les réunions
• Les systèmes de surveillance émotionnelle : caméras ou logiciels qui détectent le stress, la frustration ou le désengagement des employés
• L’analyse des émotions dans les formations : outils qui mesurent l’état émotionnel des apprenants pour adapter le contenu

Les seules exceptions : les usages à finalité médicale (détection de douleur chez des patients non communicants, par exemple) ou de sécurité (détection de fatigue chez un conducteur professionnel).

6. La constitution de bases de données faciales par scraping

L’AI Act interdit la constitution ou l’expansion de bases de données de reconnaissance faciale par la collecte non ciblée d’images à partir d’internet ou de vidéosurveillance. C’est une réponse directe aux pratiques d’entreprises comme Clearview AI, qui avait constitué une base de plusieurs milliards de visages en aspirant des photos publiques.

📄Risques de l'IA en entreprise : identifier et gérer efficacement→

Comment vérifier si votre entreprise est en infraction

La plupart des entreprises pensent spontanément que ces interdictions ne les concernent pas. Mais certains usages, notamment dans les RH et le marketing, peuvent s’en approcher dangereusement.

Checklist de vérification

Posez-vous ces questions :

• Scoring et classification : Attribuez-vous des scores automatisés à des individus (clients, employés, candidats) qui combinent des données issues de contextes différents ?
• Persuasion et personnalisation : Vos systèmes de recommandation ou de marketing exploitent-ils des vulnérabilités identifiées (âge, situation financière, état émotionnel) ?
• Surveillance émotionnelle : Utilisez-vous des outils qui analysent les expressions faciales, la voix ou le comportement de vos collaborateurs à des fins autres que médicales ou de sécurité ?
• Biométrie : Utilisez-vous la reconnaissance faciale dans vos locaux ? Si oui, dans quelles conditions ?
• Données de visages : Vos fournisseurs IA ont-ils constitué leurs bases d’entraînement par scraping d’images en ligne ?

Si la réponse à l’une de ces questions est “oui” ou “peut-être”, une analyse approfondie s’impose.

Le rôle de la formation

La connaissance de ces interdictions par les collaborateurs est essentielle. L’obligation de maîtrise de l’IA (Article 4) inclut nécessairement la compréhension de ce qui est interdit. Un collaborateur qui ne sait pas qu’il est illégal d’utiliser la reconnaissance des émotions en contexte professionnel ne peut pas signaler un usage non conforme.

La formation des équipes sur ces interdictions n’est pas optionnelle — c’est une condition préalable à toute gouvernance IA responsable.

📄AI Act Article 4 : l'obligation de formation IA expliquée→

Les sanctions

Les pratiques interdites font l’objet du niveau de sanctions le plus élevé de l’AI Act : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Ce sont les amendes les plus lourdes jamais prévues par une réglementation numérique européenne — plus élevées que celles du RGPD.