Je dois mettre mon organisation luxembourgeoise en conformité au considérant 34 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 34 encadre l'usage de l'identification biometrique a distance en temps reel dans les espaces publics par les autorités repressives. Même si la police judiciaire est rarement votre quotidien, ce considérant irradie toute la jurisprudence d'interprétation : il pose le standard de proportionnalite stricte, d'analyse d'impact sur les droits fondamentaux (FRIA) et de limitation temporelle, géographique et personnelle que les autorités de contrôle vont transposer par analogie a tout système biometrique sensible. La CNPD et le futur régulateur IA luxembourgeois s'appuieront sur cet esprit pour évaluer tout deploiement biometrique, même privé (contrôle d'accès, anti-fraude bancaire, KYC vidéo).Ce que ce considérant impose concretement, même aux acteurs privésDocumenter une FRIA avant tout deploiement biometrique : finalité, périmètre géographique, durée d'activation, population concernee.Démontrer la stricte nécessité : pourquoi un autre moyen (badge, mot de passe, identification differee) ne suffirait pas.Definir une base de référence appropriee : qui figure dans la base biometrique, sur quelle base légale, avec quelle durée de conservation.Tenir un registre d'activation horodate : chaque mise en route du système doit être tracee, justifiee, et limitee dans le temps.Articuler avec l'article 9 RGPD (données biometriques = catégorie particulière) et obtenir l'avis préalable de la CNPD si l'analyse d'impact RGPD révélé un risque eleve residuel.Le piège spécifique luxembourgeoisBeaucoup d'acteurs financiers luxembourgeois deploient de la biometrie comportementale (frappe clavier, mouvement souris, voix) pour l'anti-fraude sans réaliser qu'ils manipulent des données biometriques au sens de l'article 4(14) RGPD. Le considérant 34 du AI Act renforce le standard : même hors champ repressif, l'esprit de proportionnalite, de FRIA et de registre s'imposera comme standard de l'art lors d'un contrôle CNPD ou CSSF.Comment Luxgap automatise ce risqueNotre Luxgap Biometric Proportionality Engine transforme l'obligation de proportionnalite en preuve opposable, en evaluant en continu chaque deploiement biometrique sur les 4 axes du considérant 34 : temporel, géographique, personnel, finalité. L'outil se connecte a vos systèmes biometriques (Onfido, Jumio, BioCatch, iProov, Microsoft Entra, Azure AD B2C, contrôle d'accès physique Salto/Bosch) et produit en temps reel un score de proportionnalite avec alerte automatique des qu'une activation depasse le périmètre declare.Scanne automatiquement votre SI pour détecter tout traitement biometrique actif, declare ou shadow, via inventaire Azure AD, M365, AWS Rekognition et logs API des fournisseurs KYC.Genere une FRIA preremplie selon la grille AI Act, avec sections proportionnalite, base de référence, garanties techniques et durée d'activation.Calcule un score de proportionnalite continu : alerte Teams instantanee si une session biometrique depasse la fenetre temporelle ou géographique declar...

Considérant 34 AI Act — Considérant 34

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 34

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

(34)

Afin de s’assurer que ces systèmes soient utilisés de manière responsable et proportionnée, il est également important d’établir que, dans chacune des situations précisément répertoriées et rigoureusement définies, certains éléments devraient être pris en considération, notamment en ce qui concerne la nature de la situation donnant lieu à la demande et les conséquences de l’utilisation pour les droits et les libertés de toutes les personnes concernées, ainsi que les garanties et les conditions associées à l’utilisation. En outre, l’utilisation, à des fins répressives, de systèmes d’identification biométrique à distance «en temps réel» dans des espaces accessibles au public ne devrait être déployée que pour confirmer l’identité de la personne spécifiquement ciblée et elle devrait être limitée au strict nécessaire dans le temps, ainsi que du point de vue de la portée géographique et personnelle, eu égard en particulier aux preuves ou aux indications concernant les menaces, les victimes ou les auteurs. L’utilisation du système d’identification biométrique à distance en temps réel dans des espaces accessibles au public ne devrait être autorisée que si l’autorité répressive compétente a réalisé une analyse d’impact sur les droits fondamentaux et, sauf disposition contraire du présent règlement, a enregistré le système dans la base de données prévue par le présent règlement. La base de données de référence des personnes devrait être appropriée pour chaque cas d’utilisation dans chacune des situations mentionnées ci-dessus.

Spécificité Luxembourg

loi du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, l'autorité de surveillance du marché IA n'est pas encore formellement désignée à date de publication. Dans l'attente, la CNPD reste competente pour le volet protection des données biometriques (article 9 RGPD, loi du 1er aout 2018 sur l'organisation de la CNPD), et l'EU AI Office a Bruxelles supervise les modèles d'IA a usage general. Tout deploiement biometrique combine doit donc satisfaire les deux logiques : AIPD article 35 RGPD et FRIA AI Act.

Pratique Luxgap : pour un acteur luxembourgeois, nous recommandons de consolider la FRIA et l'AIPD dans un document unique a double entree, soumis a la CNPD au titre de l'article 36 RGPD si le risque residuel est eleve, en anticipation de la désignation du futur régulateur IA national.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 34 encadre l'usage de l'identification biometrique a distance en temps reel dans les espaces publics par les autorités repressives. Même si la police judiciaire est rarement votre quotidien, ce considérant irradie toute la jurisprudence d'interprétation : il pose le standard de proportionnalite stricte, d'analyse d'impact sur les droits fondamentaux (FRIA) et de limitation temporelle, géographique et personnelle que les autorités de contrôle vont transposer par analogie a tout système biometrique sensible. La CNPD et le futur régulateur IA luxembourgeois s'appuieront sur cet esprit pour évaluer tout deploiement biometrique, même privé (contrôle d'accès, anti-fraude bancaire, KYC vidéo).

Ce que ce considérant impose concretement, même aux acteurs privés

Documenter une FRIA avant tout deploiement biometrique : finalité, périmètre géographique, durée d'activation, population concernee.
Démontrer la stricte nécessité : pourquoi un autre moyen (badge, mot de passe, identification differee) ne suffirait pas.
Definir une base de référence appropriee : qui figure dans la base biometrique, sur quelle base légale, avec quelle durée de conservation.
Tenir un registre d'activation horodate : chaque mise en route du système doit être tracee, justifiee, et limitee dans le temps.
Articuler avec l'article 9 RGPD (données biometriques = catégorie particulière) et obtenir l'avis préalable de la CNPD si l'analyse d'impact RGPD révélé un risque eleve residuel.

Le piège spécifique luxembourgeois

Beaucoup d'acteurs financiers luxembourgeois deploient de la biometrie comportementale (frappe clavier, mouvement souris, voix) pour l'anti-fraude sans réaliser qu'ils manipulent des données biometriques au sens de l'article 4(14) RGPD. Le considérant 34 du AI Act renforce le standard : même hors champ repressif, l'esprit de proportionnalite, de FRIA et de registre s'imposera comme standard de l'art lors d'un contrôle CNPD ou CSSF.

Comment Luxgap automatise ce risque

Notre Luxgap Biometric Proportionality Engine transforme l'obligation de proportionnalite en preuve opposable, en evaluant en continu chaque deploiement biometrique sur les 4 axes du considérant 34 : temporel, géographique, personnel, finalité. L'outil se connecte a vos systèmes biometriques (Onfido, Jumio, BioCatch, iProov, Microsoft Entra, Azure AD B2C, contrôle d'accès physique Salto/Bosch) et produit en temps reel un score de proportionnalite avec alerte automatique des qu'une activation depasse le périmètre declare.

Scanne automatiquement votre SI pour détecter tout traitement biometrique actif, declare ou shadow, via inventaire Azure AD, M365, AWS Rekognition et logs API des fournisseurs KYC.
Genere une FRIA preremplie selon la grille AI Act, avec sections proportionnalite, base de référence, garanties techniques et durée d'activation.
Calcule un score de proportionnalite continu : alerte Teams instantanee si une session biometrique depasse la fenetre temporelle ou géographique declaree.
Tient le registre AI Act des systèmes biometriques deployes, pret a remettre au régulateur IA national des sa désignation.
Produit un rapport PDF horodate cryptographiquement scelle, opposable a la CNPD et au futur régulateur IA, demontrant la conformité continue au considérant 34 et a l'article 5 AI Act.
Articule la documentation AI Act avec l'AIPD article 35 RGPD pour eviter la double saisie.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes biometriques reels, avec un audit blanc gratuit sous 48h pour cartographier votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 34

Ils nous font confiance

Avant de discuter