Ces usages de l'IA interdits en Europe depuis février 2025 (et que personne ne vous a signalés)

Introduction

Depuis le 2 février 2025, huit pratiques d'intelligence artificielle sont purement et simplement interdites dans l'Union européenne. Pas « encadrées », pas « soumises à déclaration » : interdites, avec à la clé les sanctions les plus lourdes du règlement : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

« Aucun rapport avec ma PME », pensez-vous ? C'est probablement vrai pour six de ces huit pratiques. Mais deux d'entre elles se cachent parfois dans des outils du quotidien, achetés en toute bonne foi. Passons-les en revue.

Cet article fait partie de notre série IA Act pour les PME.

Les huit pratiques interdites, en langage clair

1. La manipulation comportementale. Les systèmes qui utilisent des techniques subliminales ou trompeuses pour altérer le comportement d'une personne au point de lui causer un préjudice significatif.

2. L'exploitation des vulnérabilités. Les systèmes qui ciblent les faiblesses liées à l'âge, au handicap ou à la précarité économique pour influencer des comportements, au détriment des personnes.

3. La notation sociale. Évaluer ou classer des personnes sur la durée à partir de leur comportement social, lorsque ce score conduit à un traitement défavorable dans un contexte sans rapport avec les données collectées, ou disproportionné.

4. La prédiction criminelle par profilage. Évaluer le risque qu'une personne commette une infraction uniquement sur la base de son profil ou de ses traits de personnalité.

5. La collecte massive d'images faciales. Constituer ou enrichir des bases de reconnaissance faciale par moissonnage non ciblé d'images sur Internet ou via la vidéosurveillance.

6. La reconnaissance des émotions au travail et à l'école. Déduire les émotions des salariés ou des élèves via l'IA, sauf raisons médicales ou de sécurité.

7. La catégorisation biométrique sensible. Déduire de données biométriques l'origine ethnique, les opinions politiques, l'orientation sexuelle, les convictions religieuses ou syndicales d'une personne.

8. L'identification biométrique en temps réel dans l'espace public. Réservée aux forces de l'ordre dans des cas exceptionnels strictement encadrés, jamais accessible aux entreprises privées.

Les deux pièges qui concernent vraiment les PME

Piège n° 1 : la reconnaissance des émotions cachée dans vos outils. C'est l'interdiction la plus susceptible de toucher une PME sans qu'elle s'en doute. Des solutions de visioconférence qui « analysent l'engagement » des participants en réunion. Des outils de recrutement vidéo qui évaluent le « dynamisme » ou la « sincérité » d'un candidat via son expression faciale ou sa voix. Des plateformes de formation qui mesurent « l'attention » des apprenants par webcam. Des solutions de centre d'appels qui scorent « l'humeur » de vos téléconseillers.

Tous ces usages relèvent potentiellement de la reconnaissance d'émotions au travail, interdite. Si l'un de vos outils RH, formation ou relation client propose ce type de fonctionnalité, désactivez-la et interrogez votre fournisseur par écrit.

Piège n° 2 : la notation qui glisse vers le scoring social. Noter la qualité d'un service, c'est légitime. Mais un système qui agrège des données comportementales hétéroclites pour attribuer aux personnes un « score de fiabilité » réutilisé dans d'autres contextes (refuser un service, durcir des conditions) peut basculer dans la notation sociale interdite. La frontière est technique ; au moindre doute, faites analyser l'usage.

Que faire concrètement cette semaine ?

Listez vos outils qui « observent » des personnes. Visioconférence, recrutement, formation, relation client, sécurité : tout outil qui filme, écoute ou analyse des comportements humains mérite une vérification.

Cherchez les fonctionnalités d'analyse comportementale ou émotionnelle. Les mots à repérer dans les plaquettes de vos fournisseurs : « engagement », « sentiment analysis », « attention tracking », « emotion AI », « analyse comportementale ».

Interrogez vos fournisseurs par écrit. Demandez-leur de confirmer que leur solution ne met en œuvre aucune pratique relevant de l'article 5 de l'IA Act. Leur réponse écrite est une pièce de votre dossier de diligence.

Documentez la vérification. Même si la réponse est « rien à signaler », surtout si la réponse est « rien à signaler ». En cas de contrôle, prouver que vous avez vérifié change tout.

Ce qu'il faut retenir

Les huit pratiques interdites visent d'abord les dérives les plus graves (manipulation, surveillance de masse, notation sociale) et la plupart des PME n'en sont pas. Mais deux zones de risque bien réelles existent dans les outils du quotidien : la reconnaissance des émotions (RH, formation, relation client) et les systèmes de notation mal calibrés.

Le réflexe à adopter : vérifier, questionner vos fournisseurs, documenter. Trente minutes par outil, et vous éliminez le risque de sanction le plus lourd du règlement. C'est typiquement ce que nous passons en revue lors d'un diagnostic hIAppy Vision.

Demain : fournisseur ou déployeur ? Le rôle qui détermine toutes vos obligations.