L'IA biométrique sous l'AI Act : ce qui est interdit, à haut risque ou autorisé

Dernière mise à jour : juin 2026 · Temps de lecture : 9 minutes

---

Parmi toutes les technologies encadrées par l'AI Act, l'IA biométrique fait l'objet des interdictions les plus nettes. Le règlement prohibe certaines applications biométriques sans exception ni dérogation. D'autres relèvent de la catégorie à haut risque, qui exige des évaluations de conformité, une documentation technique et une inscription dans la base de données européenne. Comprendre précisément où se situe chaque type de système biométrique est indispensable pour toute organisation opérant dans l'Union européenne.

Cet article parcourt les interdictions de l'article 5, les désignations à haut risque de l'annexe III pour les systèmes biométriques, et les conditions qui déterminent si un déploiement donné est licite.

---

Pourquoi l'IA biométrique soulève les préoccupations les plus élevées

Les données biométriques comptent parmi les catégories les plus sensibles d'informations personnelles. Contrairement à un mot de passe, vous ne pouvez pas changer votre visage, votre iris ou votre démarche. Lorsque des systèmes d'IA traitent ces caractéristiques pour identifier, classer ou suivre des individus, notamment dans des contextes publics ou professionnels, le risque de surveillance de masse, de discrimination et de préjudices irréversibles est réel.

Le législateur européen a pris cette menace au sérieux. L'AI Act ne se contente pas de réguler l'IA biométrique : il interdit certaines catégories de manière absolue, faisant des systèmes biométriques le seul domaine où le règlement pose des interdictions sans aucune justification commerciale possible.

---

IA biométrique interdite : les interdictions absolues de l'article 5

L'article 5 du règlement (UE) 2024/1689 liste des pratiques d'IA entièrement prohibées dans l'UE. Trois de ces interdictions concernent directement les systèmes biométriques.

Identification biométrique à distance en temps réel dans les espaces accessibles au public

L'article 5, paragraphe 1, point h), interdit l'utilisation de systèmes d'identification biométrique à distance (IBD) en temps réel dans les espaces accessibles au public à des fins répressives, avec trois exceptions étroites :

1. La recherche ciblée de victimes spécifiques d'une infraction pénale, y compris les personnes disparues.
2. La prévention d'une menace terroriste concrète, imminente et substantielle.
3. L'identification de personnes soupçonnées d'avoir commis certaines infractions pénales graves listées à l'annexe II (terrorisme, traite des êtres humains, meurtre, exploitation sexuelle des enfants, cybercriminalité passible d'une peine minimale de trois ans).

Ce que signifie « en temps réel » : le système analyse des données biométriques et établit des correspondances d'identité sans délai significatif, comme le ferait une reconnaissance faciale qui balaierait une foule en continu.

Ce que signifie « à distance » : l'identification s'effectue sans que la personne concernée en ait connaissance ni y participe activement, ce qui la distingue d'un contrôle aux frontières où un voyageur regarde volontairement une caméra.

À qui s'applique l'interdiction : cette prohibition vise les autorités répressives. Les opérateurs privés ne sont pas explicitement couverts par l'article 5, paragraphe 1, point h), mais le déploiement de tels systèmes resterait soumis à l'article 9 du RGPD sur les données de catégorie spéciale et à la directive relative aux services répressifs, un ensemble de restrictions parallèles qui est, en pratique, tout aussi prohibitif.

Conséquence d'une violation : amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé (article 99, paragraphe 3).

Systèmes de catégorisation biométrique déduisant des attributs sensibles

L'article 5, paragraphe 1, point g), interdit les systèmes d'IA qui catégorisent des individus sur la base de leurs données biométriques pour déduire leur race, leurs opinions politiques, leur appartenance syndicale, leurs croyances religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle.

Il s'agit d'une interdiction large et importante. Elle couvre les systèmes qui, par exemple, analysent des traits du visage pour inférer l'origine ethnique, ou utilisent des modèles de marche pour catégoriser l'identité de genre. L'interdiction s'applique indépendamment du déployeur : autorité répressive, employeur privé ou opérateur de commerce.

À noter que cela se distingue de l'identification biométrique (associer une personne à une identité connue). Cette interdiction vise la catégorisation : l'utilisation de données biométriques pour assigner des individus à des groupes démographiques ou idéologiques sensibles.

Inférence d'émotions rétrospective

L'article 5, paragraphe 1, point f), interdit les systèmes d'IA qui infèrent les émotions de personnes physiques sur le lieu de travail et dans les établissements d'enseignement. Bien que non exclusive aux systèmes biométriques, cette disposition s'applique fréquemment aux outils d'analyse des expressions faciales qui lisent les états émotionnels à partir de l'apparence physique. Déployer un tel système pour surveiller l'engagement des employés ou l'attention des étudiants est interdit.

---

IA biométrique à haut risque : annexe III, point 1

Toute l'IA biométrique n'est pas interdite. Les systèmes qui identifient ou catégorisent des individus à partir de données biométriques sans relever des interdictions de l'article 5 peuvent néanmoins être soumis à la classification à haut risque de l'annexe III.

L'annexe III, point 1 désigne comme à haut risque :

• Les systèmes d'identification biométrique à distance (autres que ceux interdits par l'article 5)
• Les systèmes de catégorisation biométrique (autres que ceux interdits par l'article 5)
• Les systèmes de reconnaissance des émotions (autres que ceux interdits par l'article 5)

Ce que signifie la classification à haut risque en pratique

Les fournisseurs de systèmes d'IA biométrique à haut risque doivent se conformer aux articles 9 à 15, qui exigent :

Obligation	Article concerné
Système de gestion des risques	Article 9
Gouvernance des données et qualité des données d'entraînement	Article 10
Documentation technique (annexe IV)	Article 11
Journalisation automatique	Article 12
Transparence envers les déployeurs	Article 13
Mesures de supervision humaine	Article 14
Précision, robustesse et cybersécurité	Article 15

Les fournisseurs doivent également réaliser une évaluation de conformité avant la mise sur le marché (article 43), apposer le marquage CE et inscrire le système dans la base de données européenne (article 71).

Les déployeurs de systèmes biométriques à haut risque ont leurs propres obligations en vertu de l'article 26 : réaliser une évaluation d'impact sur les droits fondamentaux avant le déploiement, veiller au maintien de la supervision humaine et informer les personnes physiques si la loi applicable l'exige.

Exemple pratique : un système de sécurité aéroportuaire

Un aéroport utilisant des portiques biométriques à IA qui comparent les visages des voyageurs aux photos de leurs passeports opère un système d'identification biométrique à distance. Ce système relève de l'annexe III et est à haut risque. Le fournisseur (le prestataire technologique) doit produire une documentation technique et une évaluation de conformité. Le déployeur (l'autorité aéroportuaire) doit réaliser une évaluation d'impact sur les droits fondamentaux et s'assurer que le système n'est pas utilisé au-delà de sa finalité.

---

IA biométrique à risque limité : obligations de transparence de l'article 50

Certaines IA biométriques n'entrent dans aucune des catégories interdites ou à haut risque, mais restent soumises à des obligations de transparence en vertu de l'article 50. Les systèmes qui génèrent des images synthétiques de personnes, des deepfakes ou des audios générés par IA imitant des individus réels doivent divulguer l'origine artificielle du contenu. Les systèmes de reconnaissance des émotions utilisés en dehors des lieux de travail et des établissements d'enseignement (par exemple dans des applications de divertissement) doivent également informer les utilisateurs que leurs émotions sont inférées.

---

Ce qui n'est pas couvert : les fonctionnalités biométriques de sécurité standard

Les données biométriques au niveau des appareils courants, comme les capteurs d'empreintes déverrouillant un smartphone ou Face ID sur un ordinateur portable, ne relèvent pas du périmètre de l'AI Act tel qu'il est rédigé. Ces dispositifs ne sont pas commercialisés comme systèmes d'IA autonomes et ne répondent pas à la définition du règlement de la même manière que les systèmes d'identification à grande échelle. Ils restent principalement régis par le RGPD et le cadre eIDAS.

---

Idées reçues fréquentes

« L'interdiction de l'IBD en temps réel s'applique à tout le monde. » L'interdiction de l'article 5, paragraphe 1, point h), est spécifiquement limitée aux usages répressifs dans les espaces accessibles au public. Les déploiements du secteur privé ne sont pas visés par ce point précis, même s'ils font face à des obstacles au titre de l'article 9 du RGPD tout aussi restrictifs dans la plupart des cas.

« Si nous obtenons le consentement, la catégorisation biométrique est acceptable. » Le consentement ne lève pas une interdiction de l'article 5. Les interdictions de l'article 5 sont absolues : aucune base juridique, y compris le consentement, ne peut autoriser une pratique prohibée.

« L'identification biométrique rétrospective est sans restriction. » L'identification biométrique à distance rétrospective (non en temps réel) à des fins répressives nécessite tout de même une autorisation judiciaire ou équivalente préalable en vertu de l'article 5, paragraphe 1, point h), et reste dans la catégorie à haut risque de l'annexe III.

---

Ce que fournisseurs et déployeurs doivent faire maintenant

Si vous développez ou déployez un système traitant des données biométriques pour identifier, catégoriser ou inférer des états émotionnels, vos priorités immédiates sont :

1. Vérifier que votre système n'est pas interdit au titre de l'article 5.
2. Contrôler l'annexe III, point 1, pour déterminer la classification à haut risque.
3. Si à haut risque : initier le système de gestion des risques, la documentation technique et l'évaluation de conformité.
4. Si vous êtes déployeur : planifier l'évaluation d'impact sur les droits fondamentaux.
5. S'assurer que la gouvernance des données satisfait les normes de l'article 10 pour les données d'entraînement, y compris les vérifications d'équilibre démographique prévenant les disparités discriminatoires de performance.

L'audit en 50 questions de DILAIG génère les quatre documents de conformité obligatoires : documentation technique, base d'évaluation de conformité et registre de gestion des risques pour les fournisseurs et déployeurs d'IA biométrique à haut risque. Démarrez votre audit ou contactez notre équipe pour discuter de conformité en matière d'IA biométrique.

---

FAQ : IA biométrique et AI Act

L'AI Act interdit-il toute reconnaissance faciale ? Non. Il interdit la reconnaissance faciale à distance en temps réel dans les espaces accessibles au public à des fins répressives, avec trois exceptions étroites. La reconnaissance faciale dans des contextes de contrôle d'accès sécurisé, par exemple, est soumise à des obligations à haut risque plutôt qu'à une interdiction absolue.

Un employeur privé peut-il utiliser une IA de reconnaissance des émotions ? Non. L'article 5, paragraphe 1, point f), interdit les systèmes d'IA qui infèrent des émotions sur le lieu de travail, qu'il s'agisse d'une autorité publique ou d'une entreprise privée.

L'analyse de la démarche est-elle couverte ? Oui. L'analyse de la démarche est une forme d'identification biométrique et relève du périmètre de l'annexe III, point 1, en tant que système d'identification ou de catégorisation biométrique à distance, selon son usage.

Quand les interdictions biométriques sont-elles entrées en vigueur ? Les interdictions de l'article 5, y compris celles concernant l'IA biométrique, s'appliquent depuis le 2 février 2025, six mois après l'entrée en vigueur de l'AI Act le 2 août 2024.

L'AI Act s'applique-t-il aux systèmes biométriques entraînés hors UE mais utilisés dans l'UE ? Oui. L'AI Act a une portée extraterritoriale en vertu de l'article 2, paragraphe 1, point c) : il s'applique aux fournisseurs établis hors de l'UE dont les systèmes sont utilisés dans l'UE, et aux déployeurs établis dans l'UE quel que soit le lieu d'établissement du fournisseur.

---

Principaux points à retenir

• L'article 5 impose des interdictions absolues sur trois catégories d'IA biométrique : l'identification à distance en temps réel à des fins répressives (avec des exceptions limitées), la catégorisation biométrique déduisant des attributs sensibles, et la reconnaissance des émotions dans les lieux de travail et les établissements d'enseignement.
• L'annexe III, point 1, classe comme à haut risque les systèmes d'identification biométrique à distance, de catégorisation biométrique et de reconnaissance des émotions restants, déclenchant un régime complet d'évaluation de conformité et de documentation.
• Le consentement ne lève pas les interdictions de l'article 5.
• Les interdictions biométriques sont applicables depuis le 2 février 2025.
• Les déployeurs d'IA biométrique à haut risque doivent réaliser une évaluation d'impact sur les droits fondamentaux avant le déploiement.
• DILAIG automatise les quatre documents de conformité obligatoires pour les fournisseurs d'IA biométrique à haut risque.

---

Sources

• Règlement (UE) 2024/1689 — Texte intégral, Journal officiel de l'UE, 12 juillet 2024
• Article 5 — Pratiques d'IA interdites
• Annexe III — Systèmes d'IA à haut risque
• Article 26 — Obligations des déployeurs
• Article 99 — Sanctions
• Bureau européen de l'IA — Orientations sur les pratiques d'IA interdites