Le piège classique
Le considérant 37 encadre l'identification biométrique à distance en temps réel par les autorités répressives : son utilisation n'est possible que si l'État membre l'a expressément autorisée dans son droit national. Le piège pour les forces de l'ordre, communes et prestataires technologiques au Luxembourg est de deployer un tel système en s'appuyant uniquement sur l'AI Act, sans vérifier qu'une loi nationale luxembourgeoise l'autorise explicitement pour la finalité visée. En l'absence de cette base nationale, le déploiement est purement et simplement illégal, et la CNPD reste compétente sur le volet données personnelles avec un risque de sanction RGPD jusqu'à 20 M'EUR ou 4% du CA mondial.
Le test à trois étages avant tout déploiement biométrique
Avant d'acquérir ou de mettre en service une solution d'identification biométrique à distance en temps réel, vérifiez systématiquement :
- Étage 1 - AI Act : la finalité figure-t-elle dans la liste exhaustive de l'article 5 (recherché de victimes, menacé imminente, suspect d'infraction grave) ?
- Étage 2 - Droit national LU : existe-t-il une loi luxembourgeoise qui autorise expressément cet usage pour cette finalité précise ? Si non, déploiement interdit, même si l'AI Act le permettrait théoriquement.
- Étage 3 - Notification Commission : la règle nationale a-t-elle été notifiée à la Commission dans les 30 jours suivant son adoption ?
- Autorisation judiciaire ou administrative indépendante préalable obtenue et tracée.
- AIPD article 27 AI Act + AIPD RGPD article 35 réalisées et soumises à la CNPD.
- Enregistrement dans la base de données UE de l'article 71 avant mise en service.
Tant que le législateur luxembourgeois n'a pas adopté de règles détaillées habilitantes, considérez par défaut que l'identification biométrique à distance en temps réel dans les espaces publics est interdite sur le territoire national, indépendamment des marges ouvertes par l'AI Act.
Comment Luxgap automatise ce risque
Notre Luxgap National Override Tracker rend impossible le déploiement d'un système d'IA à haut risque ou interdit sans base légale nationale vérifiée. L'outil maintient en temps réel une cartographie des transpositions et habilitations nationales adoptées par chaque État membre au titre de l'AI Act, croisée avec les notifications publiées au Journal officiel de la Commission, et bloque techniquement la mise en production de tout cas d'usage non couvert par une loi nationale active.
- Détecte automatiquement chaque projet d'IA classé Annexe III ou article 5 dans votre registre Luxgap et vérifie l'existence d'une autorisation nationale luxembourgeoise correspondante.
- Surveille en continu le Memorial A, le site de la Chambre des Députés et les notifications Commission pour signaler toute nouvelle règle nationale habilitante ou restrictive.
- Classifie chaque finalité revendiquée (recherché victimes, menacé imminente, suspect infraction grave) et la confronte à la liste exhaustive autorisée par le droit luxembourgeois en vigueur.
- Génère un dossier de conformité préalable au déploiement incluant base légale UE, base légale nationale, AIPD article 27, autorisation judiciaire et inscription base EU article 71.
- Alerte les DPO et juristes via Teams ou email dès qu'une règle nationale est adoptée, modifiée ou abrogée sur une finalité que vous exploitez.
- Produit un rapport PDF horodaté cryptographiquement scellé, opposable à la CNPD et à l'autorité de surveillance du marché IA, démontrant la vérification systématique de la double base légale UE plus nationale.
Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos cas d'usage IA réels, avec un audit blanc gratuit sous 48h pour identifier les déploiements actuellement dépourvus de base légale nationale.
