Je dois mettre mon organisation luxembourgeoise en conformité au considérant 38 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 38 verrouille un point souvent mal compris : l'identification biometrique a distance en temps reel dans l'espace public a des fins repressives relevé exclusivement du AI Act, qui s'applique en lex specialis par rapport a l'article 10 de la directive 2016/680. Concretement, une autorité competente qui deploierait un tel système hors du cadre de l'article 5 du AI Act ne peut pas se rabattre sur la directive police-justice pour le legitimer. A l'inverse, les mêmes systèmes utilises a des fins non repressives (sécurité privée, marketing, contrôle d'accès) sortent du regime d'autorisation spécifique du AI Act, mais restent pleinement soumis au RGPD et a la supervision de la CNPD.La double qualification a maîtriser avant tout deploiement biometriqueAvant d'envisager un système d'identification biometrique a distance, il faut qualifier la finalité avec une rigueur absolue, car le regime applicable change radicalement :Finalité repressive (prévention, détection, enquête d'infractions pénales par une autorité competente) : interdiction de principe par l'article 5 du AI Act, sauf exceptions limitativement enumerees (recherché de victimes, menacé terroriste imminente, suspect d'infraction grave) avec autorisation préalable judiciaire ou administrative independante.Finalité non repressive (securisation d'un site, contrôle d'accès, lutte contre la fraude commerciale, même par une autorité competente agissant hors mission repressive) : pas de regime d'autorisation AI Act, mais regime high-risk article 6 + Annexe III, plus RGPD article 9 (données biometriques = catégorie particulière) sous contrôle CNPD.Piège classique : une police municipale ou un service douanier qui utiliserait la reconnaissance faciale pour du contrôle d'accès a ses propres locaux n'agit pas a des fins repressives ; le regime AI Act art. 5 ne s'applique pas, mais le RGPD si.Piège inverse : un prestataire privé (sécurité, transport) qui exploite un système dont les sorties sont reversees a une autorité repressive bascule de facto dans le regime article 5, même si le deployeur formel est privé.Le considérant 38 précisé que le AI Act ne cree pas de base juridique au sens de l'article 8 de la directive 2016/680 : la base légale nationale reste indispensable, le AI Act ne fait qu'encadrer.Comment Luxgap automatise ce risqueNotre Luxgap Biometric Use Classifier elimine l'ambiguite de qualification qui fait tomber les premiers projets biometriques : il analyse votre cas d'usage reel (finalité documentee, identité du deployeur, destinataires des sorties, contexte d'espace public ou privé) et produit en moins de 5 minutes un verdict tranche entre regime AI Act article 5 repressif, regime high-risk Annexe III, ou regime hors-scope AI Act mais sous RGPD article 9. L'outil s'appuie sur un agent LLM spécialisé nourri du AI Act, de la directive 2016/680, des lignes directrices EDPB sur la reconnaissance faciale et de la doctrine CNPD.Classifie automatiquement chaque ca...

Considérant 38 AI Act — Considérant 38

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 38

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

(38)

L’utilisation de systèmes d’IA pour l’identification biométrique à distance en temps réel de personnes physiques dans des espaces accessibles au public à des fins répressives passe nécessairement par le traitement de données biométriques. Les règles du présent règlement qui interdisent, sous réserve de certaines exceptions, une telle utilisation, et qui sont fondées sur l’article 16 du traité sur le fonctionnement de l’Union européenne, devraient s’appliquer en tant que lex specialis pour ce qui est des règles sur le traitement des données biométriques figurant à l’article 10 de la directive (UE) 2016/680, réglementant ainsi de manière exhaustive cette utilisation et le traitement des données biométriques qui en résulte. Par conséquent, une telle utilisation et un tel traitement ne devraient être possibles que dans la mesure où ils sont compatibles avec le cadre fixé par le présent règlement, sans qu’il soit possible pour les autorités compétentes, lorsqu’elles agissent à des fins répressives en dehors de ce cadre, d’utiliser ces systèmes et de traiter ces données pour les motifs énumérés à l’article 10 de la directive (UE) 2016/680. Dans ce contexte, le présent règlement ne vise pas à fournir la base juridique pour le traitement des données à caractère personnel en vertu de l’article 8 de la directive (UE) 2016/680. Cependant, l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins autres que répressives, y compris par les autorités compétentes, ne devrait pas être couverte par le cadre spécifique concernant l’utilisation à des fins répressives établi par le présent règlement. L’utilisation à des fins autres que répressives ne devrait donc pas être subordonnée à l’exigence d’une autorisation au titre du présent règlement et des règles détaillées du droit national applicable susceptibles de donner effet à cette autorisation.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 38 verrouille un point souvent mal compris : l'identification biometrique a distance en temps reel dans l'espace public a des fins repressives relevé exclusivement du AI Act, qui s'applique en lex specialis par rapport a l'article 10 de la directive 2016/680. Concretement, une autorité competente qui deploierait un tel système hors du cadre de l'article 5 du AI Act ne peut pas se rabattre sur la directive police-justice pour le legitimer. A l'inverse, les mêmes systèmes utilises a des fins non repressives (sécurité privée, marketing, contrôle d'accès) sortent du regime d'autorisation spécifique du AI Act, mais restent pleinement soumis au RGPD et a la supervision de la CNPD.

La double qualification a maîtriser avant tout deploiement biometrique

Avant d'envisager un système d'identification biometrique a distance, il faut qualifier la finalité avec une rigueur absolue, car le regime applicable change radicalement :

Finalité repressive (prévention, détection, enquête d'infractions pénales par une autorité competente) : interdiction de principe par l'article 5 du AI Act, sauf exceptions limitativement enumerees (recherché de victimes, menacé terroriste imminente, suspect d'infraction grave) avec autorisation préalable judiciaire ou administrative independante.
Finalité non repressive (securisation d'un site, contrôle d'accès, lutte contre la fraude commerciale, même par une autorité competente agissant hors mission repressive) : pas de regime d'autorisation AI Act, mais regime high-risk article 6 + Annexe III, plus RGPD article 9 (données biometriques = catégorie particulière) sous contrôle CNPD.
Piège classique : une police municipale ou un service douanier qui utiliserait la reconnaissance faciale pour du contrôle d'accès a ses propres locaux n'agit pas a des fins repressives ; le regime AI Act art. 5 ne s'applique pas, mais le RGPD si.
Piège inverse : un prestataire privé (sécurité, transport) qui exploite un système dont les sorties sont reversees a une autorité repressive bascule de facto dans le regime article 5, même si le deployeur formel est privé.
Le considérant 38 précisé que le AI Act ne cree pas de base juridique au sens de l'article 8 de la directive 2016/680 : la base légale nationale reste indispensable, le AI Act ne fait qu'encadrer.

Comment Luxgap automatise ce risque

Notre Luxgap Biometric Use Classifier elimine l'ambiguite de qualification qui fait tomber les premiers projets biometriques : il analyse votre cas d'usage reel (finalité documentee, identité du deployeur, destinataires des sorties, contexte d'espace public ou privé) et produit en moins de 5 minutes un verdict tranche entre regime AI Act article 5 repressif, regime high-risk Annexe III, ou regime hors-scope AI Act mais sous RGPD article 9. L'outil s'appuie sur un agent LLM spécialisé nourri du AI Act, de la directive 2016/680, des lignes directrices EDPB sur la reconnaissance faciale et de la doctrine CNPD.

Classifie automatiquement chaque cas d'usage biometrique selon une matrice a 4 dimensions (finalité, deployeur, espace, temps reel ou differe) et retourne le regime juridique applicable avec citation des articles AI Act et RGPD.
Detecte les requalifications cachées ou un usage privé bascule en repressif des qu'un protocole de transmission aux forces de l'ordre existe, en analysant vos contrats et conventions de partenariat charges dans Odoo, M365 ou SharePoint.
Genere le dossier d'autorisation préalable prévu par l'article 5(3) AI Act, prerempli avec analyse de proportionnalite, alternatives moins intrusives ecartees et garanties techniques.
Produit en parallele l'AIPD RGPD article 35 et le fundamental rights impact assessment AI Act article 27, en evitant le double travail.
Alerte en temps reel via Teams ou email des qu'une évolution réglementaire (texte EU AI Office, décision CNPD, jurisprudence CJUE sur Schrems ou biometrie) impacte la qualification de vos systèmes actifs.
Produit un rapport PDF horodate cryptographiquement scelle, opposable a la CNPD ou a l'autorité de surveillance IA lors d'un contrôle.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration sur votre cas d'usage reel, avec un audit blanc gratuit sous 48h pour qualifier juridiquement votre projet biometrique avant tout engagement budgetaire.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 38

Ils nous font confiance

Avant de discuter