Dans une tribune éclairante, l’experte d’Adequacy décrypte les usages désormais prohibés par l’AI Act et souligne l’impérieuse nécessité pour les entreprises de documenter leurs renoncements technologiques.

L’intelligence artificielle s’est installée durablement dans les organisations, mais l’heure n’est plus à l’expérimentation sans limites. Anne-Angélique de Tourtier, Head of Customer Success & Privacy Operations chez Adequacy, alerte les dirigeants sur un aspect critique du règlement européen : les interdits purs et simples. « Entré en vigueur à l’été 2024, l’AI Act classe les systèmes d’IA en plusieurs catégories de risque et réserve un traitement particulier à certains usages considérés comme incompatibles avec les valeurs de l’Union », explique-t-elle.

Des manipulations cognitives aux vulnérabilités exploitées

Contrairement aux systèmes à haut risque qui peuvent être déployés sous conditions, certaines pratiques sont désormais hors la loi. « Elles sont purement et simplement interdites et ne peuvent pas être mises en conformité », précise l’experte.

Le règlement cible prioritairement les manipulations cognitives. Anne-Angélique de Tourtier cite l’exemple parlant d’un jeu en ligne « qui utilise des mécanismes cachés pour pousser des enfants à acheter des options payantes ». L’exploitation des vulnérabilités est également dans le viseur, notamment les campagnes marketing ciblant la fragilité financière de certaines populations pour leur vendre des produits risqués.

Stop au « scoring » social et à l’analyse émotionnelle

Le texte européen trace également des lignes rouges strictes en matière de surveillance. La notation sociale, ou « social scoring », qui consisterait à classer les citoyens en fonction de leur comportement, est prohibée.

Dans le monde de l’entreprise et de l’éducation, les restrictions sont tout aussi sévères. « L’inférence des émotions des salariés ou des élèves à l’école à partir de leurs expressions faciales ou de leur voix sort désormais du cadre autorisé », souligne Anne-Angélique de Tourtier. De même, la constitution de bases de données de visages via le « scraping » d’internet ou la vidéosurveillance sans consentement est proscrite.

Une nouvelle obligation : documenter le renoncement

Pour les entreprises, la conséquence est immédiate : il faut savoir dire non, et surtout, le prouver. « Lorsqu’un projet est qualifié de risque inacceptable, il doit être abandonné », insiste la responsable d’Adequacy.

Mais l’abandon ne suffit pas. Les organisations doivent désormais démontrer qu’elles ont identifié le risque et acté le refus. « Elles doivent être capables de démontrer […] qu’elles ont documenté cette décision dans leur dispositif de conformité IA », ajoute-t-elle. Cette traçabilité impose une collaboration étroite entre les équipes innovation et les délégués à la protection des données (DPO) dès la phase de conception.

La charte IA comme outil de référence

Pour naviguer dans ce cadre complexe, la mise en place d’une « charte IA d’entreprise », articulée avec le RGPD, devient indispensable. Elle permet de rappeler les interdits et de garder une trace des arbitrages effectués.

Pour Anne-Angélique de Tourtier, cette rigueur n’est pas un frein, mais un atout stratégique : « Les organisations qui assument ces choix en amont prennent un avantage clair. Elles sécurisent leur trajectoire d’innovation tout en préservant la confiance de leurs clients, de leurs salariés et des régulateurs ».