AI Act pour coworking et conciergerie : reconnaissance d'accès biométrique

Q: Quel est le délai pour se conformer à l'AI Act pour la biométrie ?

Les PME ont jusqu'au 2 mai 2025 pour se conformer aux exigences de base. Pour les systèmes 'risque élevé', une conformité anticipée est recommandée dès 2024. Le service desk européen propose des audits accélérés pour les PME.

Q: Quelles sont les sanctions pour non-conformité ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires européen annuel (article 83 AI Act). Pour les PME, les amendes minimales sont fixées à 10 millions d'euros. La CNIL peut également imposer des sanctions administratives.

Q: Dois-je consulter un expert pour ma solution biométrique ?

Oui, les PME sont fortement recommandées à consulter un expert en cybersécurité et en droit des données. Le service desk européen propose des accompagnements gratuits pour les PME jusqu'à 250 salariés. Un audit technique est obligatoire avant déploiement.

Q: Puis-je utiliser la biométrie sans risque pour mon coworking ?

Oui, mais uniquement si vous respectez les conditions de l'AI Act. Vous devez réaliser une évaluation d'impact, mettre en place des mesures de sécurité renforcées, et informer les utilisateurs. Le service desk européen offre des guides spécifiques pour les espaces de travail partagés.

Q: Quelles alternatives à la biométrie pour l'accès ?

Les alternatives recommandées incluent : authentification par badge NFC, code PIN avec vérification biométrique secondaire, ou systèmes d'accès par smartphone avec token sécurisé. Ces solutions sont moins réglementées mais offrent une sécurité équivalente.

TL;DR

L'essentiel en 30 secondes - La reconnaissance biométrique pour le contrôle d'accès relève du « haut risque » au sens de l'Article 6 du Règlement (UE) 2024/1689. - L'identification biométrique à distance en temps réel dans les espaces accessibles au public est largement interdite (Art. 5). - Une analyse d'impact relative à la protection des données (AIPD) est obligatoire avant tout déploiement (Art. 35 RGPD). - Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Art. 99 AI Act). - Les obligations « haut risque » deviennent applicables le 2 août 2026 selon le calendrier d'entrée en vigueur du Règlement. - Les alternatives non-biométriques (badge NFC, code PIN, smartphone) restent juridiquement plus sûres pour la majorité des cas d'usage.

1. Contexte réglementaire : AI Act et biométrie dans les espaces partagés

Le Règlement (UE) 2024/1689 du 13 juin 2024, dit « AI Act », encadre strictement l'usage des systèmes d'intelligence artificielle traitant des données biométriques. Pour les opérateurs de coworking et de conciergerie en France, cela concerne directement les portiques d'accès, les serrures intelligentes et les systèmes de gestion des présences.

L'Article 3(33) du Règlement définit les données biométriques comme « les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique ». Cela inclut la reconnaissance faciale, l'empreinte digitale, la géométrie de la main et la reconnaissance vocale.

Deux régimes coexistent. Les systèmes d'identification biométrique à distance en temps réel dans les espaces accessibles au public relèvent de l'Article 5, qui pose une interdiction de principe. Les systèmes de vérification biométrique (1:1, avec consentement explicite, pour ouvrir une porte par exemple) relèvent de l'Annexe III et sont classés « haut risque ».

Type de système	Cas d'usage typique	Classification AI Act	Régime applicable
Vérification 1:1 avec consentement	Accès personnel à une salle privative	Haut risque (Annexe III §1)	Art. 8 à 17 — exigences techniques
Identification 1:N en temps réel	Caméra reconnaissant les passants	Pratique interdite (Art. 5)	Interdit sauf exceptions strictes
Catégorisation biométrique sensible	Inférence d'opinion politique, religion	Pratique interdite (Art. 5)	Interdit dans tous les cas
Reconnaissance d'émotions au travail	Détection de fatigue d'un coworker	Pratique interdite (Art. 5)	Interdit hors raisons médicales

Le calendrier d'application est échelonné. Les interdictions de l'Article 5 s'appliquent depuis le 2 février 2025. Les obligations « haut risque » de l'Annexe III deviennent applicables le 2 août 2026. Les opérateurs disposent donc d'une fenêtre courte pour mettre leur dispositif en conformité.

À cela s'ajoute la Directive 2016/680 pour les traitements à finalité pénale, et bien sûr le RGPD pour toute donnée à caractère personnel. La CNIL a précisé sa doctrine dans plusieurs délibérations sur la biométrie sur les lieux de travail, considérant qu'un déploiement doit toujours être « strictement nécessaire » au regard de la finalité poursuivie.

Pour une vue d'ensemble du Règlement appliquée aux PME, consultez notre guide AI Act pour les PME françaises.

2. Impact concret sur les PME du coworking et de la conciergerie

Les exploitants d'espaces partagés sont parmi les premiers à envisager la biométrie pour des raisons opérationnelles : fluidité d'accès 24/7, suppression des badges perdus, traçabilité fine des présences. Mais le coût réglementaire est sous-estimé.

Un déploiement conforme implique trois postes de dépense majeurs. Le premier est l'audit technique et juridique préalable, généralement compris entre 8 000 € et 20 000 € pour une PME de moins de 50 salariés [à vérifier selon prestataire]. Le deuxième est la mise en place du système de gestion des droits (registre, AIPD, politique de conservation). Le troisième est la formation continue du personnel habilité à manipuler les données biométriques.

Poste de coût	Fourchette PME (10-50 salariés)	Fréquence
Audit conformité initial	8 000 € – 20 000 €	Une fois
AIPD documentée	3 000 € – 7 000 €	Tous les 3 ans ou après changement majeur
Système de gestion des consentements	2 000 € – 5 000 €	Mise en place initiale
Formation personnel habilité	500 € – 1 500 € par personne	Annuelle
Maintenance documentaire	1 500 € – 4 000 € par an	Continue

Les risques opérationnels sont également significatifs. Une suspension de service par la CNIL en cas de plainte d'un coworker peut paralyser l'accès aux locaux. La perte de confiance des clients-locataires, particulièrement dans les secteurs sensibles (avocats, médecins, conseil), peut entraîner des résiliations en cascade.

Le risque réputationnel est réel. Plusieurs espaces de coworking parisiens ont été pointés dans la presse en 2023-2024 pour des dispositifs biométriques jugés disproportionnés, sans qu'aucune sanction formelle n'ait été nécessaire pour provoquer la perte de contrats.

Le détail du barème de sanctions est traité dans notre article dédié : AI Act — sanctions et amendes pour les PME.

3. Obligations spécifiques pour les systèmes biométriques

Trois corps de règles s'empilent : l'AI Act pour la classification et les exigences techniques, le RGPD pour le traitement des données, et la doctrine CNIL pour l'environnement de travail.

Au titre de l'AI Act (système haut risque), l'opérateur (qualifié de « déployeur » au sens de l'Art. 3(4)) doit :

Vérifier que le fournisseur a réalisé l'évaluation de conformité et apposé le marquage CE (Art. 16, 43)
Utiliser le système conformément à la notice d'instructions (Art. 26)
Assurer une supervision humaine effective (Art. 14) : un agent doit pouvoir interrompre le système à tout moment
Conserver les logs générés automatiquement pendant au moins six mois (Art. 12, 19)
Informer les personnes concernées de leur soumission au système (Art. 26(11))
Réaliser une analyse d'impact sur les droits fondamentaux (FRIA, Art. 27) si l'opérateur est un organisme public ou un opérateur de service essentiel

Au titre du RGPD, les données biométriques sont classées « catégories particulières » par l'Article 9. Leur traitement est interdit par principe, sauf consentement explicite, libre, spécifique et éclairé (Art. 9(2)(a)). Dans une relation employeur-salarié ou bailleur-locataire, la CNIL considère que le consentement est rarement libre, ce qui complique fortement l'usage de la biométrie en coworking.

L'AIPD prévue par l'Article 35 du RGPD est obligatoire. Elle doit documenter la nécessité, la proportionnalité, les risques pour les droits et libertés, et les mesures de mitigation.

Au titre de l'Article 32 du RGPD, les mesures de sécurité renforcées comprennent :

Stockage des gabarits biométriques uniquement sur un support détenu par la personne (carte, smartphone) ou chiffré localement
Chiffrement de bout en bout des transmissions
Suppression automatique en cas de résiliation
Journalisation des accès au système
Test de pénétration annuel sur l'infrastructure

Obligation	Source juridique	Échéance pratique
Marquage CE du fournisseur	Art. 16 AI Act	Avant mise en service
Supervision humaine	Art. 14 AI Act	Permanente
Conservation des logs ≥ 6 mois	Art. 19 AI Act	Continue
AIPD documentée	Art. 35 RGPD	Avant déploiement
Consentement explicite	Art. 9(2)(a) RGPD	Par utilisateur
Information transparente	Art. 13-14 RGPD + Art. 26 AI Act	Avant collecte
Registre des traitements	Art. 30 RGPD	Continue

Vous exploitez un coworking équipé ou prévoyez un système biométrique ?

Recevez la checklist regulia « Biométrie & AI Act » : 42 points de contrôle alignés Art. 14, 26, 27 du Règlement (UE) 2024/1689, AIPD type et modèle de notice d'information utilisateur.

Demander la checklist

4. Étapes de mise en conformité

La démarche se déroule en cinq phases. Elle peut être pilotée en interne par un DPO ou un IA Lead, ou confiée à un prestataire spécialisé.

Phase 1 — Cadrage et inventaire (2 à 4 semaines)

Recenser tous les dispositifs biométriques en place ou envisagés
Identifier le rôle de l'organisation : déployeur, fournisseur ou les deux
Cartographier les flux de données depuis le capteur jusqu'au stockage
Lister les sous-traitants impliqués (intégrateur, hébergeur, mainteneur)

Phase 2 — Analyse de risque (3 à 6 semaines)

Réaliser l'AIPD au sens de l'Art. 35 RGPD
Documenter la nécessité et la proportionnalité du dispositif
Évaluer les alternatives moins intrusives (test obligatoire au titre de la jurisprudence CNIL)
Si applicable, réaliser la FRIA prévue à l'Art. 27 de l'AI Act

Phase 3 — Configuration et documentation technique (4 à 8 semaines)

Obtenir la documentation technique du fournisseur (Annexe IV)
Configurer la supervision humaine
Activer la journalisation conforme à l'Art. 12
Définir la politique de conservation (durée, modalités de suppression)

Phase 4 — Information et consentement (en parallèle phase 3)

Rédiger la notice d'information utilisateur
Préparer le formulaire de consentement explicite
Proposer une alternative non-biométrique aux personnes refusant
Afficher la signalétique adéquate dans les espaces

Phase 5 — Mise en service et suivi continu

Former le personnel habilité (Art. 4 AI Act sur la littératie IA)
Tester le système avant ouverture commerciale
Mettre en place une revue annuelle de l'AIPD
Intégrer le système au registre Art. 30 RGPD

Phase	Durée	Livrables	Responsable
Cadrage	2-4 sem.	Cartographie, qualification juridique	DPO + IA Lead
Analyse de risque	3-6 sem.	AIPD, FRIA si applicable	DPO
Documentation technique	4-8 sem.	Spécifications, logs configurés	RSSI + intégrateur
Information / consentement	En parallèle	Notice, formulaire, signalétique	DPO + direction
Mise en service	1-2 sem.	Formation, registre, plan de revue	IA Lead

Pour le vocabulaire technique mobilisé, le glossaire regulia référence les définitions clefs : déployeur, fournisseur, AIPD, FRIA, gabarit biométrique.

5. Exemples concrets dans le coworking

Cas 1 — Contrôle d'accès au bâtiment 24/7

Un coworking parisien souhaite supprimer les badges au profit de la reconnaissance faciale à l'entrée principale. Analyse : ce dispositif est qualifiable d'identification biométrique 1:N (le système doit reconnaître chaque entrant parmi tous les membres enregistrés). S'il opère en temps réel sur une voie d'accès ouverte aux livreurs et visiteurs, il peut basculer dans le champ de l'Article 5 et devenir une pratique interdite. Solution recommandée : limiter strictement le système à une vérification 1:1 sur présentation volontaire d'un identifiant (carte ou smartphone), ce qui sort du périmètre interdit mais reste « haut risque ».

Cas 2 — Accès aux salles de réunion premium

Un opérateur de conciergerie d'immeuble propose un accès biométrique aux salles de réunion réservées à une clientèle haut de gamme. Le consentement est plus facilement caractérisé comme libre (service optionnel, alternative badge proposée). L'AIPD doit néanmoins démontrer pourquoi la biométrie est strictement nécessaire par rapport à un simple QR code à usage unique. La justification est rarement convaincante : la CNIL a déjà sanctionné des dispositifs jugés disproportionnés.

Cas 3 — Gestion des présences pour la facturation

Certains coworking utilisent la biométrie pour facturer à l'usage réel. Ce cas est particulièrement risqué : la finalité (facturation) ne justifie pas l'usage de données biométriques alors que des solutions de pointage classique existent. Le test de proportionnalité de l'Art. 35 RGPD échouera presque systématiquement.

Cas 4 — Salles serveurs et coffres

Pour les espaces hébergeant du matériel sensible (serveurs des locataires, coffres de cabinets d'avocats), la biométrie peut se justifier au titre de la sécurité renforcée. Le test de nécessité passe plus aisément. C'est le seul cas où le déploiement est généralement défendable, sous réserve de respecter l'ensemble des obligations Art. 14, 26 et 27 de l'AI Act.

Cas d'usage	Test de nécessité	Risque réglementaire	Recommandation
Entrée principale 24/7	Échec probable	Très élevé (Art. 5)	Renoncer ou passer en 1:1 strict
Salles premium	Échec fréquent	Élevé (CNIL)	Alternative QR code
Pointage facturation	Échec systématique	Élevé (RGPD)	Solution classique
Salles serveurs sensibles	Réussite possible	Modéré si bien documenté	Biométrie acceptable avec AIPD solide

6. Outils et ressources disponibles

Plusieurs ressources institutionnelles sont accessibles gratuitement aux PME.

Le AI Act Service Desk opéré par la Commission européenne propose un point de contact unique pour les questions de mise en conformité. Le service est gratuit et multilingue. Il ne délivre pas d'avis juridique contraignant mais oriente vers les ressources adéquates.

La CNIL publie des fiches pratiques sur la biométrie en milieu professionnel et sur l'AIPD. Le « Guide pratique de l'AIPD » fournit un modèle directement utilisable. Les délibérations passées sur la biométrie sur les lieux de travail constituent une grille d'analyse précieuse.

L'AI Office européen, hébergé au sein de la Commission, publie depuis 2024 des lignes directrices sur les pratiques interdites (Art. 5) et sur les obligations applicables aux modèles à usage général. Ces lignes directrices ne lient pas juridiquement les opérateurs mais constituent une référence interprétative.

Les normes ISO pertinentes sont disponibles à l'achat auprès de l'AFNOR. ISO/IEC 42001:2023 définit un système de management de l'IA. ISO/IEC 23894:2023 traite de la gestion des risques. ISO/IEC 27001:2022 reste le standard pour la sécurité de l'information.

Pour une orientation rapide vers les sources officielles, consultez notre page sources regulia.

Ressource	Type	Coût	Pertinence biométrie
AI Act Service Desk	Aide en ligne	Gratuit	Élevée
CNIL — fiches biométrie	Doctrine	Gratuit	Très élevée
AI Office lignes directrices	Interprétation	Gratuit	Élevée
ISO/IEC 42001:2023	Norme	Payant (~150 €)	Moyenne
Cigref guide AI Act janvier 2025	Guide professionnel	Gratuit	Moyenne
Numeum guide AI Act mars 2025	Guide professionnel	Gratuit	Moyenne

7. Alternatives et bonnes pratiques

La meilleure stratégie de conformité reste souvent de ne pas déployer de biométrie. Pour le contrôle d'accès en coworking, plusieurs alternatives offrent un niveau de sécurité équivalent à un coût réglementaire bien inférieur.

Badge NFC ou RFID — solution éprouvée, faible coût, aucun traitement biométrique. La donnée traitée est un identifiant aléatoire associé à une personne, ce qui sort du régime « catégories particulières » du RGPD.

Application smartphone avec token sécurisé — le smartphone du membre devient la clé. Le token tournant rend l'usurpation très difficile. Le traitement est limité à des métadonnées de connexion.

Code PIN à usage personnel — solution la plus simple, suffisante pour un accès secondaire. Combinable avec un badge pour une authentification à deux facteurs.

Authentification à deux facteurs hybride — badge NFC + code PIN, ou smartphone + code. Niveau de sécurité supérieur à la biométrie seule pour de nombreux scénarios.

Visioconciergerie à distance — un opérateur humain valide l'accès via interphone vidéo en dehors des heures ouvrées. La donnée n'est pas conservée si l'enregistrement n'est pas activé.

Solution	Conformité AI Act	Conformité RGPD	Coût déploiement	Coût conformité
Reconnaissance faciale 1:1	Haut risque	Cat. particulières	Élevé	Très élevé
Empreinte digitale 1:1	Haut risque	Cat. particulières	Moyen	Très élevé
Badge NFC	Hors champ	Standard	Faible	Faible
Application smartphone	Hors champ	Standard	Faible	Faible
Code PIN	Hors champ	Standard	Très faible	Très faible
2FA hybride badge+PIN	Hors champ	Standard	Faible	Faible

Si la biométrie est malgré tout retenue, plusieurs bonnes pratiques limitent l'exposition :

Stockage local sur support utilisateur : le gabarit reste sur la carte ou le smartphone, jamais sur un serveur central. Cette architecture évite une grande partie des obligations RGPD sur le traitement centralisé.
Suppression automatique à la fin du contrat de membership
Audit annuel par un tiers indépendant
Alternative systématique proposée à chaque membre, sans surcoût ni dégradation de service
Politique de transparence publiée et accessible sur le site web

8. Perspectives futures : ce qui change d'ici 2027

Le cadre réglementaire continue de se densifier. Trois évolutions méritent d'être anticipées.

Renforcement progressif des sanctions — l'AI Office a annoncé une montée en puissance progressive de son activité de surveillance entre 2025 et 2027. Les premières sanctions emblématiques sur la biométrie sont attendues dès 2026 [à vérifier auprès de l'AI Office]. Pour la France, la CNIL devrait être désignée comme autorité de surveillance compétente.

Émergence de technologies biométriques moins intrusives — la « biométrie comportementale » (rythme de frappe, démarche, etc.) et les approches « privacy by design » (zero-knowledge proofs, gabarits chiffrés homomorphiquement) gagnent en maturité. Ces approches restent qualifiées de biométriques au sens de l'Art. 3(33) mais réduisent les risques pour les droits et libertés.

Obligations de reporting — les déployeurs de systèmes haut risque devront notifier les incidents graves à l'autorité compétente (Art. 73 AI Act). Pour la biométrie, un incident inclut tout dysfonctionnement de la supervision humaine ayant entraîné un refus d'accès indu ou une intrusion non autorisée.

Articulation avec le futur règlement « eIDAS 2 » — l'identité numérique européenne (portefeuille EUDI Wallet) inclura des fonctions biométriques sous un cadre dédié. Les opérateurs de coworking pourraient à terme s'appuyer sur l'EUDI Wallet pour déléguer l'authentification, sortant ainsi en grande partie du régime « haut risque » de l'AI Act.

Pression assurantielle croissante — plusieurs assureurs cyber commencent à conditionner la couverture à l'existence d'une AIPD documentée et d'un système de management ISO 42001. Cette tendance devrait s'amplifier en 2026-2027.

Échéance	Évolution attendue	Action recommandée
Août 2026	Application complète Annexe III	Conformité finalisée
2026-2027	Premières sanctions emblématiques	Suivi des décisions CNIL
2026-2027	Déploiement EUDI Wallet	Évaluer la délégation d'authentification
2027+	ISO 42001 exigée par assureurs	Démarche de certification

Préparez maintenant la conformité de votre dispositif biométrique

Le pack regulia « Biométrie & accès » contient : modèle d'AIPD adaptée au coworking, registre Art. 30 RGPD pré-rempli, notice d'information utilisateur, formulaire de consentement explicite et trame de FRIA Art. 27 AI Act.

Obtenir le pack documentaire

FAQ

Q : Quel est le délai pour se conformer à l'AI Act pour la biométrie ?

Les interdictions de l'Art. 5 du Règlement (UE) 2024/1689 s'appliquent depuis le 2 février 2025. Les obligations applicables aux systèmes haut risque (Annexe III), qui couvrent la vérification biométrique 1:1, deviennent applicables le 2 août 2026. Le délai pour engager la démarche est donc court : audit de cadrage immédiat, AIPD avant l'été 2026, mise en conformité finalisée avant août 2026.

Q : Quelles sont les sanctions pour non-conformité ?

L'Article 99 du Règlement (UE) 2024/1689 prévoit trois niveaux. Pour les pratiques interdites (Art. 5), l'amende peut atteindre 35 000 000 € ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les manquements aux exigences haut risque, le plafond est de 15 000 000 € ou 3 %. Pour les PME, le Règlement précise (Art. 99(6)) que les montants doivent tenir compte de la viabilité économique. La CNIL peut en outre prononcer des sanctions RGPD distinctes.

Q : Dois-je consulter un expert pour ma solution biométrique ?

L'AI Act n'impose pas formellement le recours à un expert externe, mais l'Article 14 (supervision humaine) et l'Article 26 (obligations du déployeur) exigent une expertise rarement disponible en interne dans une PME. La consultation d'un DPO externe et d'un cabinet spécialisé en cybersécurité est fortement recommandée. Le AI Act Service Desk européen fournit gratuitement une orientation initiale, mais pas un avis juridique opposable.

Q : Puis-je utiliser la biométrie sans risque pour mon coworking ?

Aucun déploiement biométrique n'est sans risque. Les cas où le risque est acceptable sont rares : salles serveurs sensibles, coffres, accès à zone hautement sécurisée avec consentement clair et alternative non-biométrique systématiquement proposée. Pour le contrôle d'accès courant, la biométrie échoue presque systématiquement au test de proportionnalité de l'Art. 35 RGPD.

Q : Quelles alternatives à la biométrie pour l'accès ?

Les alternatives recommandées sont : badge NFC ou RFID, application smartphone avec token tournant, code PIN personnel, ou authentification à deux facteurs combinant ces éléments. Ces solutions ne traitent pas de données biométriques et restent hors du champ « haut risque » de l'AI Act et hors « catégories particulières » du RGPD. La sécurité effective est équivalente à la biométrie dans la majorité des cas d'usage en coworking.

Sources officielles

Règlement (UE) 2024/1689 — texte intégral (EUR-Lex)
Texte consolidé de l'AI Act
AI Act Service Desk — Commission européenne
CNIL — fiches pratiques IA
CNIL — guide AIPD
ISO/IEC 42001:2023 — Système de management de l'IA
ISO/IEC 23894:2023 — Gestion des risques IA
ISO/IEC 27001:2022 — Sécurité de l'information
Directive (UE) 2016/680 — protection des données à finalité pénale
Cigref — Guide AI Act janvier 2025
Numeum — Guide AI Act mars 2025

Pour une cartographie complète des sources et une vue d'ensemble des obligations PME, consultez le pillar regulia AI Act PME France, notre article sanctions et amendes, le glossaire des termes clés et la bibliothèque de sources.

Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

AI Act et reconnaissance biométrique : guide conformité pour coworking et conciergerie