Décryptages

Retour

Décryptages

7/02/25

Lignes directrices sur l’AI Act : un premier éclairage de l’article 5 par la Commission européenne

Le 4 février 2025, la Commission européenne a approuvé le projet de lignes directrices visant à clarifier l’application des dispositions de l’article 5 du Règlement (UE) 2024/1689 sur l’intelligence artificielle (ci-après désigné « AI Act »). Cet article, qui prohibe certaines pratiques en matière d’IA, est directement applicable depuis le 2 février 2025.

Bien qu’elles ne soient pas contraignantes, l’enjeu est majeur : ces lignes directrices constituent la première étape de mise en œuvre de l’AI Act et doivent permettre un équilibre entre la promotion de l’innovation d’une part et la protection de la santé, de la sécurité et des droits fondamentaux d’autre part.

 

Définition et portée des systèmes d’IA interdits

L’AI Act adopte une approche basée sur les risques, classant les systèmes d’IA selon « l’intensité et la portée des risques que [ces derniers] peuvent générer ». Les systèmes d’IA interdits sont ceux qui présentent des risques inacceptables pour les droits et libertés fondamentaux. L’article 5 liste huit pratiques prohibées :

  • le recours à des techniques subliminales, manipulatrices ou trompeuses ;
  • l’exploitation des vulnérabilités liées à l’âge, au handicap ou à la situation socio-économique ;
  • l’évaluation ou la classification des personnes physiques menant à un traitement préjudiciable ou défavorable ;
  • la prédiction du risque de commission d’infractions pénales sur la base du profilage ;
  • la création ou le développement de bases de données de reconnaissance faciale par le moissonnage non ciblé d’images collectées sur Internet ou par vidéosurveillance ;
  • la reconnaissance des émotions sur le lieu de travail ou dans les établissements d’enseignement ;
  • la catégorisation des individus en fonction de données biométriques sensibles (race, opinions politiques, religion, etc.) ; et
  • l’identification biométrique à distance en temps réel dans des espaces publics à des fins répressives.

Ainsi, depuis le 2 février dernier, les contrevenants s’exposent à des sanctions sévères, pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial de l’entreprise concernée. Les chapitres relatifs à la gouvernance et aux sanctions ne s’appliquant qu’à partir du 2 août 2025, ces sanctions ne seront effectives qu’à compter de cette date.

Ces interdictions ont néanmoins un effet direct dès leur entrée en vigueur : elles sont juridiquement opposables et permettent à toute partie concernée de les faire valoir devant les tribunaux nationaux, notamment en demandant des injonctions provisoires contre les pratiques interdites.

 

Champ d’application et exclusions prévus par l’AI Act

Les pratiques interdites par l’article 5 de l’AI Act s’appliquent lors de la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA. Les lignes directrices illustrent chacune de ces autres notions par des exemples concrets et comblent l’absence de définition de la notion d’« utilisation » dans l’AI Act. Cette dernière doit être entendue au sens large, couvrant l’utilisation ou le déploiement du système d’IA à tout moment de son cycle de vie après sa mise sur le marché ou mise en service. En outre, au sens de l’article 5 de l’AI Act, cette notion inclut toute utilisation « particulièrement néfaste et abusive » d’un système d’IA susceptible d’être assimilée à une pratique interdite.

Les lignes directrices s’adressent en priorité aux fournisseurs et déployeurs de systèmes d’IA. Au-delà du rappel des définitions de ces deux notions, les lignes directrices précisent un point essentiel : la possibilité de cumuler simultanément le rôle de fournisseur et de déployeur. Par exemple, si un opérateur développe son propre système d’IA et l’utilise ensuite, il est considéré à la fois comme fournisseur et déployeur de ce système, y compris lorsque d’autres déployeurs l’utilisent également, que le système leur ait été fourni à titre onéreux ou gratuit.

L’AI Act prévoit cependant plusieurs exclusions de son champ d’application, incluant notamment :

  • les systèmes utilisés exclusivement à des fins de sécurité nationale, défense ou militaire ;
  • les activités de recherche et développement (tant que le système n’est pas mis sur le marché ou mis en service) ;
  • les activités personnelles non professionnelles ;
  • les systèmes d’IA publiés sous licence libre et ouverte (sauf s’ils sont mis sur le marché ou mis en service en tant que systèmes d’IA qui relèvent de l’article 5).

 

Élaboration d’un mode d’emploi détaillé et circonstancié pour chacune des 8 pratiques interdites

Après avoir dressé une vue d’ensemble des pratiques interdites, les lignes directrices détaillent les objectifs de ces interdictions et leur fondement juridique. Par exemple, les techniques subliminales ou manipulatrices sont prohibées afin de garantir l’autonomie et le bien-être des individus ainsi que la protection de la dignité humaine.

Les lignes directrices (i) clarifient également certaines notions contenues dans l’AI Act, telle que la notation sociale pour laquelle elles listent les conditions cumulatives d’interdiction, (ii) illustrent leurs applications potentielles, notamment à travers des exemples concrets, et (iii) excluent certaines pratiques du champ d’application de l’article 5 de l’AI Act. A titre d’exemple, les systèmes d’évaluation financière du crédit utilisés par des prêteurs pour évaluer la solvabilité financière ou l’encours de dettes d’un client pour fournir un score de crédit ou déterminer leur évaluation de solvabilité (notamment en se fondant sur les revenus et les dépenses du client) ne devraient pas être considérés comme relevant de l’article 5§1, point c) de l’AI Act.

Un autre apport notable réside dans la clarification de l’articulation entre l’article 5 de l’AI Act avec d’une part, les dispositions de l’AI Act encadrant les systèmes d’IA à risque élevé, et d’autre part, les autres législations de l’Union européenne. Sur ce dernier point, les lignes directrices mettent en lumière que lorsque certaines pratiques ne rentrent pas dans le champ d’application de l’article 5 de l’AI Act, elles n’en demeurent pas moins soumises aux dispositions d’autres normes européennes, tel que le Règlement (UE) 2016/679 sur la protection des données personnelles (RGPD) pour les systèmes d’IA destinés à être utilisés pour la catégorisation biométrique en fonction de données sensibles protégées par l’article 9 de ce texte.

***

Les lignes directrices de la Commission européenne constituent ainsi une première étape essentielle pour la mise en œuvre de l’AI Act. Elles clarifient certaines interdictions et leur articulation avec d’autres réglementations. Elles ont, par ailleurs, été complétées par de nouvelles lignes directrices portant plus spécifiquement sur la définition de « système d’IA » publiées par la Commission européenne le 6 février 2025 et sur lesquelles nous reviendrons très prochainement. À l’avenir, d’autres précisions seront attendues pour garantir une application uniforme et une plus grande sécurité juridique pour tous les opérateurs concernés.

Télécharger

Avocats concernés :

Nos autres actualités

Décryptages

7/02/25

La certification RGPD des prestataires informatiques : sésame commercial !

La CNIL a publié un projet de référentiel de certification des sous-traitants de données personnelles le 23 décembre 2024, soumis à consultation publique jusqu’au 28 février 2025.   Qui est concerné par ce projet de référentiel de certification ? Tous les sous-traitants de données...
Lire la suite

Décryptages

29/01/25

Controverses sur la définition de l’Open Source à l’ère de l’intelligence artificielle

Le règlement européen sur l’intelligence artificielle du 13 juin 2024 (ou « AI Act »), qui a pour objectif de garantir une utilisation sécurisée et éthique de l’IA tout en permettant l’innovation et la croissance dans ce secteur technologique stratégique, prévoit un régime...
Lire la suite

Décryptages

20/01/25

Publication de la recommandation n° 2024-r-03 de l’ACPR sur l’exercice du devoir de conseil

Le devoir de conseil est au cœur des préoccupations de l’ACPR, comme l’illustrent la matinée qu’elle a organisée en mars 2024 sur la protection de la clientèle, mais aussi la recommandation 2024-R-01 du 28 juin 2024. Le 21 novembre dernier, l’ACPR a publié une nouvelle recommandation...
Lire la suite

Décryptages

13/01/25

Règlement (UE) 2023/988 sur la sécurité des produits : de nouvelles obligations pour les fournisseurs de places de marché en ligne

Le Règlement (UE) 2023/988 du 10 mai 2023 relatif à la sécurité des produits (ci-après le « Règlement ») est entré en vigueur le 13 décembre 2024. Il remplace la directive 2001/95/CE qui n’était plus adaptée, compte tenu des évolutions liées aux nouvelles technologies et à la vente...
Lire la suite

Décryptages

28/11/24

Publication d’un guide d’information de l’ACPR sur les captives de réassurance

Le Décret n° 2023-449 du 7 juin 2023 relatif aux règles de comptabilisation de la provision pour résilience constituée par les entreprises captives de réassurance a permis l’éclosion de nombreux projets de captives de réassurance en France (17 captives agréées à ce jour). Face à cet...
Lire la suite

Décryptages

7/11/24

Le LBO Small-cap continue d’avoir sa dynamique propre en 2024

Quelles que soient les crises traversées, le LBO small cap transmission a toujours été le segment du Private Equity le plus actif. Fort d’un deal flow toujours en croissance, les fonds bénéficient aussi d’une quote d’amour en hausse année après année auprès des entrepreneurs. Leur...
Lire la suite