EU AI Act et biometrie : videosurveillance, reconnaissance faciale, controle d'acces, reconnaissance des emotions — ce qui est interdit, ce qui est haut risque, ce qui s'applique le 2 aout 2026

La biometrie est le seul domaine ou l'EU AI Act ne se contente pas d'encadrer : il interdit. Reconnaissance faciale pour reperer un voleur en magasin, badgeuse a empreinte ou a visage pour ouvrir une porte, camera qui compte et "analyse" les clients, logiciel qui pretend lire l'humeur d'un candidat en entretien ou la fatigue d'un operateur sur une ligne : ces usages se diffusent vite dans les commerces, les sites logistiques, les usines et les bureaux. Beaucoup d'entreprises les ont installes en pensant ne traiter qu'un sujet RGPD. C'est une erreur de perimetre. L'AI Act ajoute une couche distincte, et certaines de ces fonctions sont deja illegales depuis le 2 fevrier 2025, independamment de toute mise en conformite RGPD. Cet article fait le tri, categorie par categorie, pour une entreprise francaise : ce qui est interdit, ce qui est a haut risque, ce qui releve de la simple transparence le 2 aout 2026, et ce qu'il faut faire concretement.

Calendrier a jour. Les pratiques interdites (article 5) et la litteratie IA (article 4) s'appliquent depuis le 2 fevrier 2025. La transparence (article 50) est due le 2 aout 2026. Les obligations des systemes a haut risque de l'Annexe III ont ete reportees au 2 decembre 2027 par le Digital Omnibus (accord politique du 7 mai 2026, texte de compromis du 13 mai). Particularite de la biometrie : son volet le plus contraignant n'est pas le haut risque repousse a 2027, mais l'interdit, deja en vigueur.

Premier reflexe : la biometrie est un cas a part dans l'AI Act

Le reglement organise les systemes d'IA en quatre niveaux : risque inacceptable (interdit), haut risque, risque limite (transparence), risque minimal. La plupart des usages d'entreprise tombent dans les deux derniers. La biometrie, elle, est le domaine ou l'on trouve le plus de cas interdits et de cas haut risque. Concretement : avant de se demander "quelle documentation dois-je produire", une entreprise qui utilise de la reconnaissance faciale ou de la detection d'emotions doit d'abord se demander "ai-je le droit, tout court". Le tri ci-dessous suit cet ordre.

Ce qui est PUREMENT INTERDIT (article 5, en vigueur depuis fevrier 2025)

Quatre pratiques biometriques sont bannies. Les utiliser expose au plafond de sanction le plus eleve de tout le reglement : jusqu'a 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

• La reconnaissance des emotions au travail et a l'ecole. Un systeme qui pretend deduire l'etat emotionnel d'un salarie ou d'un eleve (stress, engagement, fatigue, sincerite) est interdit dans les lieux de travail et les etablissements d'enseignement, sauf raisons strictement medicales ou de securite. Cela vise directement les outils de "scoring emotionnel" d'entretiens d'embauche, les cameras de surveillance de l'attention, ou les dispositifs cense detecter la lassitude d'un operateur. Si votre RH ou votre site industriel a deploye ce type de fonction, elle doit etre desactivee.
• La categorisation biometrique fondee sur des attributs sensibles. Deduire d'un visage ou d'une donnee biometrique l'origine ethnique, les opinions politiques, l'appartenance syndicale, les convictions religieuses ou philosophiques, la vie ou l'orientation sexuelle est interdit. Cela concerne certains outils de "profilage client" ou de ciblage marketing trop ambitieux.
• Le moissonnage non cible d'images de visages issues d'Internet ou de la videosurveillance pour constituer ou enrichir des bases de reconnaissance faciale.
• L'identification biometrique a distance en temps reel dans les espaces publics a des fins repressives, reservee a des exceptions tres etroites et a des autorites, donc hors de portee d'une entreprise privee.

Le point qui surprend le plus les entreprises est le premier : la reconnaissance des emotions au travail. Beaucoup de solutions de recrutement ou de "people analytics" l'ont integree comme argument commercial. Elle est aujourd'hui illegale, sans periode de grace. Voir notre guide AI Act pour les DRH et le recrutement.

Ce qui est HAUT RISQUE (Annexe III, obligations applicables au 2 decembre 2027)

Quand la biometrie n'est pas interdite, elle bascule le plus souvent en haut risque. L'Annexe III classe ainsi :

• les systemes d'identification biometrique a distance (identifier une personne en la comparant a une base, par exemple la reconnaissance faciale anti-vol qui cherche un individu connu dans un flux video) ;
• les systemes de categorisation biometrique non interdits ;
• les systemes de reconnaissance des emotions autorises (hors travail et ecole).

Attention a une distinction technique qui change tout. Un controle d'acces qui compare votre empreinte ou votre visage au seul gabarit que vous avez vous-meme enregistre pour deverrouiller votre propre telephone, votre poste ou une porte (verification "un contre un", a votre demande) n'est generalement pas un systeme d'identification a distance a haut risque. En revanche, un dispositif qui scrute un flux et cherche a reconnaitre des personnes dans une foule "un contre plusieurs", sans action de leur part, est un systeme d'identification a distance, donc haut risque. La frontiere est donc : verification consentie un-contre-un = encadre mais leger ; identification a distance un-contre-plusieurs = haut risque.

Pour les systemes effectivement haut risque, votre entreprise est en general deployeur, pas fournisseur : vous devez utiliser le systeme conformement a sa notice, assurer une supervision humaine, surveiller son fonctionnement, conserver les journaux, et informer les personnes concernees. La documentation technique lourde et l'evaluation de conformite pesent sur le fournisseur. Pour cartographier qui fait quoi, lisez notre guide fournisseur, deployeur ou importateur.

Ce qui s'applique des le 2 aout 2026 : la transparence (article 50)

C'est l'echeance proche. Lorsque vous exploitez un systeme de reconnaissance des emotions autorise ou un systeme de categorisation biometrique, vous devez informer les personnes exposees de leur fonctionnement. Une camera "intelligente" en magasin, un dispositif d'analyse de file d'attente, un controle d'acces a la biometrie : les personnes doivent etre informees de maniere claire, en plus de la signaletique RGPD habituelle. Cette obligation de transparence n'attend pas 2027 ; elle tombe le 2 aout 2026, en meme temps que les autres mentions de l'article 50 (voir notre guide article 50).

Le double socle : AI Act + RGPD (et CNIL)

La biometrie est le terrain ou les deux reglementations se superposent le plus etroitement. Le RGPD qualifie les donnees biometriques de donnees sensibles : leur traitement est en principe interdit sauf exception (consentement explicite, obligation legale, etc.), impose une AIPD (analyse d'impact) dans la quasi-totalite des cas, et la CNIL surveille de pres le controle d'acces biometrique sur le lieu de travail, qu'elle n'admet que lorsqu'un badge ou un code ne suffit pas. Autrement dit : un dispositif peut etre licite au regard de l'AI Act (par exemple une verification un-contre-un) tout en etant refuse par la CNIL faute de necessite demontree. La conformite biometrique se gagne donc sur deux fronts a la fois. Notre methode d'analyse d'impact sur les droits fondamentaux aide a documenter ce double socle.

Cas concrets : que faire selon votre situation

Commerce qui veut de la reconnaissance faciale anti-vol. C'est un systeme d'identification a distance, haut risque, et le RGPD plus la doctrine CNIL le rendent tres difficile a justifier (necessite, proportionnalite). A reserver a des cas etroits, fortement documentes, avec information renforcee. Le plus souvent, des mesures non biometriques sont preferables.

Entreprise avec badgeuse biometrique. Si c'est une verification un-contre-un consentie, le sujet est surtout RGPD/CNIL (necessite). Cote AI Act, transparence et bon usage. Pas de bascule automatique en haut risque.

RH ou site industriel avec "detection d'emotions/attention". Interdit au travail (article 5). A retirer immediatement.

Camera de comptage et d'analyse client. Si elle deduit des attributs sensibles, interdit ; si elle "categorise" ou "lit des emotions" de facon autorisee, transparence due le 2 aout 2026 + RGPD.

Par ou commencer : recenser avant de paniquer

La premiere etape n'est pas juridique, elle est pratique : cartographier tous les dispositifs qui touchent au visage, a la voix, a l'empreinte ou au comportement physique dans votre organisation, y compris ceux installes par un prestataire de securite. Pour chacun, posez trois questions dans l'ordre : (1) est-ce une pratique interdite (emotions au travail, categorisation sensible) ? si oui, on arrete ; (2) sinon, est-ce de l'identification a distance un-contre-plusieurs (haut risque) ou de la verification un-contre-un (leger) ? (3) dans tous les cas, l'information des personnes au titre de l'article 50 et l'AIPD RGPD sont-elles en place pour le 2 aout 2026 ? Cette cartographie est exactement ce que produit notre registre des systemes d'IA.

FAQ — Biometrie et EU AI Act

La reconnaissance faciale est-elle interdite par l'AI Act ?

Pas en bloc. Certaines formes sont interdites (moissonnage d'images de visages, identification temps reel dans l'espace public a des fins repressives), la plupart des usages d'identification a distance sont a haut risque, et la verification un-contre-un consentie est encadree mais legere. Le RGPD et la CNIL ajoutent leurs propres exigences, souvent plus restrictives en pratique.

Puis-je utiliser un logiciel qui detecte les emotions des candidats en entretien ?

Non. La reconnaissance des emotions sur le lieu de travail (ce qui inclut le recrutement) est une pratique interdite par l'article 5 depuis le 2 fevrier 2025, sauf raisons medicales ou de securite. Le risque est le plafond de sanction maximal (35 M EUR ou 7 % du CA mondial).

Une badgeuse biometrique me met-elle en haut risque AI Act ?

Generalement non si c'est une verification un-contre-un a la demande de la personne. Le sujet principal est alors le RGPD et la position de la CNIL sur la necessite du dispositif. Une badgeuse qui identifierait des personnes dans un flux sans leur action serait, elle, un systeme d'identification a distance a haut risque.

Qu'est-ce qui tombe vraiment le 2 aout 2026 pour mon entreprise ?

L'obligation de transparence de l'article 50 : informer les personnes lorsqu'elles sont exposees a un systeme de reconnaissance des emotions ou de categorisation biometrique autorise. Les obligations de haut risque, elles, sont reportees au 2 decembre 2027, mais les interdits de l'article 5 s'appliquent deja.

Comment savoir ou j'en suis sans etre juriste ?

Faites le diagnostic gratuit de MaConformite en 3 minutes sur maconformite.fr : vous obtenez la liste de vos obligations AI Act selon vos usages reels, votre score de conformite et une estimation du temps de mise en conformite, sans carte bancaire.

Conclusion

La biometrie est le domaine le plus severement traite par l'EU AI Act parce qu'il touche au corps et aux libertes. Pour une entreprise, la bonne sequence est claire : verifier d'abord qu'aucun dispositif ne tombe dans l'interdit (emotions au travail, categorisation sensible) — ce volet s'applique deja et ne pardonne pas ; trier ensuite l'identification a distance (haut risque, 2 decembre 2027) de la verification consentie (legere) ; puis securiser, pour le 2 aout 2026, l'information des personnes au titre de l'article 50 et l'AIPD RGPD. Tout commence par un recensement honnete des cameras et capteurs deja en place. Lancez le diagnostic gratuit de MaConformite pour savoir, usage par usage, ce qui s'applique a vous.