AI Act — Pratiques interdites (art. 5) : précisions 2025 de la Commission

Résumé — Le 4 février 2025, la Commission européenne a publié des lignes directrices sur les « pratiques d’IA interdites » (article 5 AI Act), confirmant l’interdiction immédiate de huit usages et les amendes maximales jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial.

L’affaire

La Commission a publié des « Guidelines on prohibited artificial intelligence practices » pour éclairer l’application de l’article 5 du règlement (UE) 2024/1689 dit AI Act. Ces lignes directrices, non contraignantes mais prescriptives, précisent les huit pratiques interdites et donnent des cas concrets. Elles accompagnent l’entrée en application des premières règles de l’AI Act au 2 février 2025, confirmée par le communiqué « First rules of the Artificial Intelligence Act are now applicable » du 3 février 2025. Voir : Commission — Guidelines on prohibited AI practices et communiqué du 03/02/2025. Texte légal sur Eur‑Lex : Règlement (UE) 2024/1689. Pour le cadre général, voir aussi notre page AI Act.

Côté sanctions, l’article 99 du règlement fixe des amendes maximales pouvant atteindre 35 000 000 € ou 7 % du chiffre d’affaires mondial pour les violations des interdictions. Réf. : AI Act, art. 5 et art. 99. Dans son rapport du 20 mai 2026 (art. 112 AI Act), la Commission rappelle l’applicabilité du chapitre II depuis le 2 février 2025 et le rôle de ces lignes directrices comme première référence commune : COM(2026) 234.

Le raisonnement juridique

• Le cœur : l’article 5 prohibe des systèmes/usages dont la nocivité est « inhérente », réputés porter une atteinte grave aux droits fondamentaux. Exemple : art. 5(1)(a) interdit les techniques subliminales/manipulatrices/trompeuses altérant de manière appréciable la capacité de décision et causant un préjudice significatif. Réf. Eur‑Lex art. 5.
• Biométrie : interdiction de créer/étendre des bases de reconnaissance faciale par scraping non ciblé (art. 5(1)(e)) et d’inférer des émotions au travail/à l’école (art. 5(1)(f)). Voir considérants 43–44 sur la « surveillance de masse » et les limites scientifiques de l’emotion recognition. Réf. considérants et art. 5(1)(e)-(f).
• Social scoring : prohibition des évaluations sociales par acteurs publics/privés conduisant à des traitements défavorables disproportionnés, fondées sur des données multi‑contextes (cons. 31 + art. 5). Réf. cons. 31.
• Peines : art. 99(3) fixe le plafond 35 M€/7 % pour les pratiques interdites ; d’autres manquements relèvent de fourchettes inférieures. Réf. art. 99.
• Temporalité : interdictions applicables au 2 février 2025 ; outillage d’application en montée jusqu’à 2026 ; suivi possible de la liste de l’art. 5 (art. 112). Réf. COM(2026) 234.

Les lignes directrices 2025 traduisent ces normes en pratiques opérationnelles (définitions, tests de matérialité du préjudice, exemples d’usages bannis/tolérés) pour les autorités et les entreprises : Commission — Guidelines page.

Ce que ça change concrètement au Luxembourg

Pour les directions, DPO, CISO et juristes au Luxembourg, certaines idées/projets IA ne sont plus « arbitrables » via AIPD + mesures correctrices : ils sont interdits ab initio. Intégrez ces contraintes dans vos politiques d’usage de l’IA, votre sélection fournisseurs et vos contrôles internes. Pour vous outiller, voyez notre offre gouvernance et conformité IA.

• RH et retail : bannissez toute « emotion recognition » pour évaluer candidats, salariés ou clients. Même avec information/consentement, l’usage au travail/à l’école est prohibé (art. 5(1)(f)). Réf. Eur‑Lex.
• Marketing/assurance/crédit : évitez le scoring transversal multi‑contextes menant à des traitements défavorables hors contexte ; archétype du social scoring interdit (cons. 31 + art. 5). Réf. Eur‑Lex.
• Sécurité/anti‑perte : proscrivez la constitution/enrichissement de bases faciales à partir de captures non ciblées d’Internet/CCTV à des fins d’identification — explicitement interdit (art. 5(1)(e)). Réf. Eur‑Lex.
• Conformité RGPD : l’AI Act est lex specialis pour ces pratiques, mais le RGPD reste applicable aux autres cas (bases légales art. 6, données sensibles art. 9, décisions automatisées art. 22). La CNPD évaluera la conformité RGPD en parallèle. Pour cadrer ces exigences locales, voir RGPD au Luxembourg.

Attendez‑vous à des vérifications croisées CNPD/autorité AI dès 2026‑2027, avec une attention particulière pour les entités financières (CSSF) et opérateurs NIS 2.

Pièges fréquents

1. « On anonymise après coup » : croire qu’un pipeline de reconnaissance faciale via scraping non ciblé serait admissible si les images sont ensuite floutées. L’interdiction vise la création/extension de la base, indépendamment des étapes aval. Réf. art. 5(1)(e).
2. Consentement « magique » au travail : le consentement ne lève pas l’interdiction d’inférer des émotions au travail/à l’école (art. 5(1)(f)). Réf. art. 5(1)(f).
3. Scoring « réputationnel » interne : agréger des signaux multi‑sources pour une « note de fiabilité » hors contexte peut relever du social scoring interdit. Validez à l’aune des lignes directrices Commission : Guidelines.
4. Vérification vs identification : la vérification biométrique 1:1 (authentification) n’est pas visée par l’art. 5 ; l’identification biométrique à distance 1:N en lieux publics l’est, hors exceptions strictes de police. Réf. définitions biométriques.

Sources officielles

• Règlement (UE) 2024/1689 (AI Act) — art. 5, art. 99, considérants
• Commission — Lignes directrices (04/02/2025)
• Commission — Communiqué (03/02/2025)
• COM(2026) 234 — Rapport art. 112

En pratique

Dès aujourd’hui, formalisez une politique « lignes rouges IA », mettez à jour vos clauses d’achat et registres pour exclure explicitement ces huit pratiques, et exigez des éditeurs une attestation d’absence de fonctionnalités interdites par l’article 5. Pour un accompagnement structuré, consultez notre page IA conforme et AI Act.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.