Le piège classique
L'Annexe II ferme la porté a un usage massif de l'identification biometrique a distance en temps reel : seules 16 catégories d'infractions très graves justifient une exception. Le piège pour les forces de l'ordre, les operateurs de stades, de gares ou de centres commerciaux, et leurs fournisseurs technologiques, c'est de croire qu'on peut deployer un système de reconnaissance faciale 'au cas ou'. L'EU AI Office et, pour le volet données personnelles, la CNPD au Luxembourg, considereront comme prohibee toute utilisation qui ne démontré pas, dossier a l'appui, un rattachement strict a l'une de ces 16 infractions, avec autorisation judiciaire préalable et évaluation d'impact FRIA (article 27). Les fournisseurs B2B qui vendent du logiciel d'analyse vidéo a des clients publics ou privés sont en premiere ligne : si leur produit peut techniquement servir hors périmètre Annexe II, il sera qualifié de pratique prohibee article 5.
La grille de lecture Annexe II : 16 infractions, 4 familles opérationnelles
Pour qualifier correctement un cas d'usage, Luxgap regroupe les 16 infractions en 4 familles qui correspondent aux scénarios reels rencontres en audit :
- Terrorisme et criminalite organisee transfrontalière : terrorisme, participation a une organisation criminelle, trafic d'armes, de munitions, d'explosifs, de matières nucleaires ou radioactives, sabotage.
- Atteintes graves aux personnes : traite des etres humains, exploitation sexuelle des enfants et pedopornographie, homicide volontaire, coups et blessures graves, viol, enlevement, sequestration, prise d'otage, trafic d'organes ou de tissus humains.
- Trafics illicites de substances et biens : stupefiants, substances psychotropes, vol organise ou a main armee, detournement d'avion ou de navire.
- Crimes internationaux et environnementaux : crimes relevant de la Cour pénale internationale, criminalite environnementale.
Toute autre infraction, même grave en droit national luxembourgeois (escroquerie aggravee, blanchiment simple, trafic de cigarettes, infractions douanieres...), est hors périmètre Annexe II. L'identification biometrique a distance en temps reel y est donc prohibee, point final.
Les pièges en pratique pour les acteurs luxembourgeois
- Vendre une solution de vidéo analytics a un client (commune, parking, evenementiel) sans verrouiller techniquement les cas d'usage Annexe II rend le fournisseur co-responsable de la pratique prohibee.
- Le risque de requalification : un système presente comme 'simple comptage de flux' qui peut être commute en reconnaissance faciale bascule en pratique prohibee des qu'il est techniquement capable d'identifier.
- L'autorisation judiciaire préalable doit referencer explicitement l'infraction Annexe II visée, et non une formulation générique 'sécurité publique'.
- Sanction AI Act : jusqu'à 35 millions EUR ou 7 % du CA mondial pour les pratiques prohibees article 5, le plafond le plus haut du règlement.
Comment Luxgap automatise ce risque
Notre Luxgap Biometric Use-Case Gatekeeper verrouille en amont toute derive vers une pratique prohibee article 5(1)(h) : avant qu'un système d'identification biometrique a distance ne soit deploye, l'outil simule chaque cas d'usage envisage, le confronte aux 16 infractions de l'Annexe II et bloque techniquement les scénarios hors périmètre via un moteur de règles connecte a vos plateformes vidéo (Milestone XProtect, Genetec, Axis, Bosch BVMS) et a votre IAM (Azure AD, Okta).
- Analyse chaque cas d'usage soumis par les metiers et le classifie automatiquement en 'prohibe', 'haut risque autorise sous conditions' ou 'hors périmètre AI Act' selon l'Annexe II et l'article 5.
- Genere le dossier d'autorisation judiciaire préalable prerempli, avec la qualification pénale Annexe II visée, la base légale luxembourgeoise correspondante et la FRIA article 27 deja amorcee.
- Detecte via intégration camera et SIEM (Microsoft Sentinel, Splunk) toute activation non autorisee d'un module de reconnaissance faciale et alerte en temps reel le DPO et le RSSI sur Teams ou Slack.
- Produit un registre horodate, cryptographiquement scelle, des activations biometriques avec l'infraction Annexe II justifiant chaque session, opposable a l'EU AI Office et a la CNPD lors d'un contrôle.
- Simule pour chaque deploiement le scénario 'pire cas' : que se passe-t-il si un agent active le mode reconnaissance hors Annexe II ? L'outil estime l'exposition financiere jusqu'au plafond 7 % du CA.
- Met à jour la matrice de conformité des qu'une infraction Annexe II est modifiee par acte délégué de la Commission.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos cas d'usage vidéo reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition Annexe II avant tout engagement.