Les biométriques dans l’UE : Naviguer entre le RGPD et la loi sur l’IA
Les technologies biométriques sont utilisées depuis longtemps pour identifier des individus, principalement dans les contextes de sécurité et d’application de la loi. Cependant, leur utilisation s’étend rapidement à de nouveaux domaines. Grâce aux avancées en intelligence artificielle, ces technologies prétendent désormais être capables d’inférer les émotions, les traits de personnalité et d’autres caractéristiques d’une personne uniquement à partir de ses caractéristiques physiques.
Ces outils sont de plus en plus utilisés dans divers contextes : les entreprises analysent les expressions faciales pour évaluer le sentiment des clients et les candidats à un emploi, les employeurs mettent en place des outils de surveillance pour mesurer la concentration des employés, et les plateformes en ligne exploitent des logiciels biométriques pour faire respecter des restrictions d’âge.
Évolution des régulations européennes
Les régulations européennes ont évolué en réponse à ce paysage changeant. Depuis 2018, le Règlement général sur la protection des données (RGPD) régit le traitement des données biométriques en tant que forme de données personnelles et, lorsqu’elles sont utilisées pour identifier de manière unique des individus, en tant que données de catégorie spéciale. Le traitement de ces données est généralement interdit, sauf si l’individu donne son consentement explicite ou si une autre condition sous l’Article 9(2) s’applique.
Sur cette base, la loi sur l’IA de l’UE introduit un nouveau niveau de régulation qui cible quatre types de biométriques et les classe par risque — allant de prohibé à haut risque et risque limité — en fonction de leur objectif et de leur contexte d’utilisation.
Identification biométrique à distance
Les systèmes d’identification biométrique à distance sont des systèmes d’IA conçus pour identifier des individus sans leur participation active, généralement à distance. Un exemple courant est le logiciel de reconnaissance faciale qui scanne des images de vidéosurveillance pour identifier des personnes en temps réel ou de manière rétrospective en les comparant à une base de données biométrique. Il est à noter que cette définition exclut les outils de vérification et d’authentification biométriques, tels que le balayage d’empreintes digitales utilisé pour le contrôle d’accès aux bâtiments ou le déverrouillage de smartphones.
En vertu de la loi sur l’IA, l’utilisation de systèmes d’identification biométrique à distance en temps réel — c’est-à-dire des systèmes qui capturent et analysent les données biométriques simultanément — est interdite à des fins d’application de la loi, sauf dans des circonstances strictement définies. Tous les autres usages de ces systèmes, y compris ceux qui analysent les données biométriques après la capture initiale, sont autorisés mais classés comme haut risque. Cette désignation déclenche une série d’obligations de conformité, y compris des exigences en matière de gestion des risques, de gouvernance des données, de surveillance humaine et d’enregistrement dans la base de données de l’UE.
Catégorisation biométrique
Les systèmes de catégorisation biométrique sont des systèmes d’IA qui attribuent des individus à des catégories spécifiques en fonction de leurs données biométriques. Ces catégories peuvent concerner des traits relativement inoffensifs, tels que l’âge ou la couleur des yeux, ou des attributs plus sensibles et controversés comme le sexe, l’ethnicité, les traits de personnalité et les affiliations personnelles. Cependant, la définition exclut la catégorisation biométrique qui est purement accessoire à des services commerciaux, tels que les fonctionnalités d’essayage virtuel ou d’augmentation faciale dans les applications de marché en ligne et de jeux.
Selon la loi sur l’IA, les systèmes de catégorisation biométrique qui classifient les individus selon certaines caractéristiques prohibées — y compris la race, les opinions politiques, l’appartenance à un syndicat, la religion et l’orientation sexuelle — sont interdits, avec des exceptions limitées pour l’étiquetage ou le filtrage des ensembles de données biométriques et certains usages médicaux, de sécurité et d’application de la loi. Les systèmes impliquant d’autres caractéristiques sensibles ou protégées sont classés comme haut risque, déclenchant des obligations équivalentes à celles des systèmes d’identification biométrique à distance. Tous les autres systèmes de catégorisation biométrique, où les catégories impliquent des traits non prohibés et non sensibles, sont considérés comme risque limité et soumis à des exigences de transparence.
Reconnaissance des émotions
Les systèmes de reconnaissance des émotions sont des systèmes d’IA conçus pour identifier ou inférer les émotions ou les intentions d’un individu en fonction de ses données biométriques. La loi sur l’IA fait une distinction entre l’inférence des émotions — régulée — et la détection d’expressions ou d’états physiques manifestes — non régulée. Par exemple, un système qui identifie si une personne sourit ou est fatiguée n’est pas considéré comme un système de reconnaissance des émotions, alors qu’un système qui interprète les expressions faciales pour conclure qu’une personne est heureuse, triste ou amusée entre dans le champ d’application.
La loi sur l’IA interdit les systèmes de reconnaissance des émotions dans les environnements de travail et éducatifs, sauf lorsque cela est strictement nécessaire à des fins médicales ou de sécurité. Dans d’autres contextes, ils sont classés comme haut risque et soumis à des exigences de conformité étendues. Cela signifie, par exemple, que l’utilisation de l’analyse vocale pour évaluer le sentiment des clients lors d’appels de support serait considérée comme à haut risque, tandis que l’application de la même technologie pour surveiller les émotions des employés dans le même contexte serait prohibée. De même, les outils d’apprentissage alimentés par l’IA qui utilisent la reconnaissance des émotions sont généralement à haut risque, mais leur utilisation est interdite dans les écoles et autres environnements d’apprentissage.
Bases de données de reconnaissance faciale
Enfin, la loi sur l’IA interdit le développement ou l’expansion de bases de données de reconnaissance faciale par le biais du scraping non ciblé d’images faciales sur Internet ou à partir de vidéosurveillance. Cette interdiction est absolue et il n’existe aucune exception. Cependant, elle s’applique spécifiquement aux images faciales et ne s’étend pas aux bases de données biométriques construites à l’aide d’autres types de données biométriques, telles que les enregistrements vocaux.
Naviguer dans le chevauchement
L’intersection du RGPD et de la loi sur l’IA crée un cadre réglementaire superposé pour les technologies biométriques dans l’UE. Alors que les interdictions de la loi sur l’IA sont entrées en vigueur en février 2025, les règles pour les systèmes à haut risque et à risque limité ne s’appliqueront pas avant août 2026. En attendant, les organisations font face à des obligations chevauchantes qui présentent des défis de conformité significatifs pour celles qui développent et utilisent ces technologies.
Tout d’abord, naviguer dans le chevauchement entre le RGPD et la loi sur l’IA nécessite une cartographie minutieuse des rôles et des responsabilités au sein de ces deux cadres. Une entreprise utilisant un outil biométrique en interne peut agir simultanément en tant que responsable de traitement selon le RGPD et en tant que déployeur selon la loi sur l’IA, déclenchant des obligations de conformité distinctes. En même temps, les fournisseurs d’outils biométriques — qui peuvent généralement se considérer comme des sous-traitants selon le RGPD — font face aux exigences les plus étendues sous la loi sur l’IA, en particulier pour les systèmes à haut risque.
Deuxièmement, les classifications de risque de la loi sur l’IA sont complexes et souvent difficiles à interpréter. Déterminer si un système est prohibé, à haut risque ou à risque limité nécessite une compréhension nuancée de la technologie et du contexte spécifique de son utilisation. Bien que la Commission européenne ait publié des lignes directrices sur les prohibitions, certaines frontières restent également ambiguës. Cela inclut, par exemple, la distinction entre la catégorisation biométrique prohibée et à haut risque et si une inférence qualifie comme reconnaissance des émotions ou simplement identification des expressions faciales d’une personne.
Enfin, les exigences substantielles pour les systèmes à haut risque représentent un important effort opérationnel et financier. Les fournisseurs de ces systèmes doivent mettre en œuvre un ensemble étendu de garanties — y compris des procédures de gestion des risques, des contrôles de qualité et de gouvernance des données, une surveillance post-marché, des mécanismes de journalisation et une supervision humaine — tandis que les déployeurs ont des obligations plus limitées, mais connexes. Pour de nombreuses organisations, en particulier les startups et les petites et moyennes entreprises, ces exigences peuvent dissuader l’innovation ou retarder le déploiement de produits au sein de l’UE.
Ensemble, ces défis marquent un changement par rapport au modèle de conformité du RGPD, ancré dans l’avis et le consentement, vers un modèle qui exige une gouvernance proactive basée sur les risques tout au long du cycle de vie. Pour les praticiens du droit, la conformité efficace exige non seulement une solide compréhension du cadre juridique, mais également une connaissance approfondie de la technologie sous-jacente, de son utilisation prévue et du rôle de l’organisation au sein de la chaîne d’approvisionnement de l’IA.
