L'essentiel en 30 secondes - L'Article 5 du Règlement (UE) 2024/1689 interdit 8 catégories de systèmes d'IA jugés inacceptables pour les droits fondamentaux. - Ces interdictions s'appliquent depuis le 2 février 2025 à toute organisation établie dans l'UE, PME comprises, sans seuil minimum d'effectif ou de chiffre d'affaires. - Les sanctions atteignent 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (Article 99, paragraphe 3). Pour les PME, c'est le montant le plus faible des deux qui s'applique (Art. 99(6)). - Les pratiques visées vont de la manipulation subliminale à l'identification biométrique en temps réel, en passant par la reconnaissance d'émotions au travail. - La conformité passe par un inventaire des systèmes d'IA, une revue de conformité Article 5 et une documentation des décisions de retrait. - La CNIL, l'AI Office européen et la norme ISO/IEC 42001:2023 fournissent des cadres opérationnels pour structurer cette mise en conformité.
1. Pourquoi l'Article 5 vous concerne dès aujourd'hui
L'Article 5 du Règlement (UE) 2024/1689 définit les usages d'intelligence artificielle considérés comme incompatibles avec les valeurs de l'Union européenne. Contrairement aux systèmes à haut risque, ces pratiques ne sont pas encadrées par des obligations renforcées : elles sont purement et simplement interdites.
L'Article 113, point a) du Règlement fixe l'entrée en application au 2 février 2025. À cette date, toute mise sur le marché, mise en service ou utilisation d'un système relevant de l'Article 5 sur le territoire de l'Union devient illicite.
Beaucoup de dirigeants de PME pensent que ces interdictions ne visent que les grands groupes technologiques. C'est faux. Le Règlement s'applique à tout fournisseur ou déployeur, indépendamment de la taille. Une entreprise française de 30 salariés qui intègre un module de scoring comportemental dans son CRM tombe dans le champ.
L'Article 5 fonctionne en miroir avec le RGPD : il complète l'Article 22 du RGPD (décisions automatisées) sans s'y substituer. Les obligations s'additionnent. La vue d'ensemble des obligations PME replace cet Article 5 dans l'architecture globale du texte.
2. Les 8 pratiques interdites par l'Article 5
L'Article 5, paragraphe 1, énumère huit catégories. Chacune correspond à un alinéa, de a) à h). Les interpréter exige de croiser le texte juridique avec les considérants 28 à 44 du Règlement, qui en précisent la portée.
2.1 Manipulation subliminale ou trompeuse — Art. 5(1)(a)
Sont interdits les systèmes d'IA qui déploient « des techniques subliminales au-dessous du seuil de conscience d'une personne ou des techniques délibérément manipulatrices ou trompeuses », et qui ont pour effet d'altérer matériellement le comportement d'une personne en lui causant un préjudice significatif.
Exemple typique : un assistant vocal qui module l'intonation pour pousser un client vulnérable vers un crédit à taux élevé.
2.2 Exploitation des vulnérabilités — Art. 5(1)(b)
Tout système exploitant les vulnérabilités liées à l'âge, au handicap ou à une situation sociale ou économique spécifique pour altérer le comportement d'une personne et causer un préjudice est prohibé.
Le considérant 29 vise notamment les enfants, les personnes âgées et les ménages en grande précarité.
2.3 Notation sociale — Art. 5(1)(c)
Les systèmes d'IA évaluant ou classant des personnes physiques sur la base de leur comportement social ou de caractéristiques personnelles sont interdits lorsque cette notation entraîne un traitement défavorable : - dans des contextes sociaux sans rapport avec ceux où les données ont été générées, ou - disproportionné ou injustifié par rapport à la gravité du comportement observé.
Cette interdiction concerne autant les acteurs publics que privés. Une PME utilisant un algorithme de notation client pour refuser l'accès à un service public-privé local doit en revoir les paramètres.
2.4 Police prédictive fondée sur le profilage — Art. 5(1)(d)
Les systèmes prédisant la probabilité qu'une personne commette une infraction uniquement à partir d'un profilage ou de l'évaluation de traits de personnalité sont interdits.
Exception : le système peut soutenir une évaluation humaine déjà fondée sur des faits objectifs et vérifiables directement liés à une activité criminelle. Les PME éditrices de logiciels destinés aux forces de sécurité sont particulièrement exposées.
2.5 Moisson non ciblée d'images faciales — Art. 5(1)(e)
Toute création ou extension de bases de données de reconnaissance faciale par moisson non ciblée d'images issues d'Internet ou de la vidéosurveillance est interdite.
Cela vise des outils comme certains scrapers commerciaux qui agrègent des photos publiques pour entraîner des modèles biométriques. Une PME qui revend ce type de jeu de données engage sa responsabilité directe.
2.6 Reconnaissance d'émotions au travail et à l'école — Art. 5(1)(f)
L'usage de systèmes d'IA pour inférer les émotions d'une personne sur le lieu de travail et dans les établissements d'enseignement est interdit.
Deux exceptions limitées : raisons médicales ou de sécurité (par exemple détecter la somnolence d'un opérateur de machine). Un logiciel de visioconférence intégrant un score de « bien-être émotionnel » des salariés tombe sous l'interdiction.
2.7 Catégorisation biométrique sensible — Art. 5(1)(g)
Sont interdits les systèmes de catégorisation biométrique qui classent les personnes pour en déduire ou inférer : - la race, - les opinions politiques, - l'appartenance syndicale, - les convictions religieuses ou philosophiques, - la vie sexuelle ou l'orientation sexuelle.
Le filtrage et l'étiquetage de jeux de données légalement acquis pour les forces de l'ordre restent permis dans des conditions strictes (considérant 30).
2.8 Identification biométrique à distance en temps réel — Art. 5(1)(h)
L'identification biométrique à distance en temps réel dans les espaces accessibles au public à des fins répressives est interdite, sauf trois exceptions strictes (recherche ciblée de victimes, prévention d'une menace imminente, localisation d'auteurs d'infractions graves listées en annexe II).
Cette exception ne concerne pas les acteurs privés. Une PME exploitant un dispositif de reconnaissance faciale en magasin tombe sous l'interdiction principale, hors cas spécifiques d'autorisation préalable.
Tableau récapitulatif
| Alinéa | Pratique interdite | Cible-type | Exception encadrée |
|---|---|---|---|
| 5(1)(a) | Manipulation subliminale ou trompeuse | Marketing comportemental, scoring émotionnel | Aucune |
| 5(1)(b) | Exploitation de vulnérabilités | Mineurs, personnes âgées, précaires | Aucune |
| 5(1)(c) | Notation sociale | Évaluation comportementale généralisée | Aucune |
| 5(1)(d) | Police prédictive sur profilage | Logiciels d'aide à l'enquête | Évaluation humaine fondée sur faits |
| 5(1)(e) | Moisson non ciblée d'images faciales | Bases biométriques web/CCTV | Aucune |
| 5(1)(f) | Reconnaissance d'émotions | Travail, établissements scolaires | Médical, sécurité |
| 5(1)(g) | Catégorisation biométrique sensible | Profilage racial, politique, religieux | Étiquetage légal pour répression |
| 5(1)(h) | Identification biométrique temps réel publique | Espaces publics à fins répressives | 3 cas listés, autorisation préalable |
3. Sanctions et conséquences pour les PME
L'Article 99, paragraphe 3, du Règlement fixe le régime de sanction le plus sévère pour les violations de l'Article 5 :
« des amendes administratives pouvant aller jusqu'à 35 000 000 EUR ou, si l'auteur de l'infraction est une entreprise, jusqu'à 7 % de son chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu ».
Les PME bénéficient d'un aménagement à l'Article 99, paragraphe 6 : pour les PME, y compris les jeunes entreprises, le plafond appliqué est le montant le plus faible entre les pourcentages et les sommes fixes. La logique est de préserver leur viabilité, sans pour autant supprimer la sanction.
Au-delà de l'amende, les conséquences opérationnelles sont lourdes :
| Type de conséquence | Description |
|---|---|
| Retrait du marché | L'autorité compétente peut imposer la cessation immédiate de la mise sur le marché ou de l'usage |
| Action civile | Les personnes lésées peuvent demander réparation devant les juridictions civiles |
| Atteinte à la réputation | Publication possible des décisions de sanction, impact contractuel sur les appels d'offres publics |
| Exclusion des marchés publics | Risque d'inéligibilité aux procédures publiques au titre des manquements graves |
Le détail du calcul et des paliers est traité dans notre analyse dédiée des sanctions Article 99.
Audit Article 5 en moins de 48 h
Notre pack documentaire regulia inclut une grille d'auto-évaluation Article 5 alignée sur les considérants 28 à 44 du Règlement, plus un registre de décisions de retrait prêt à l'emploi.
Demander le pack regulia4. Exemples concrets de pratiques interdites dans les PME
Les cas suivants illustrent des situations réellement observées dans le tissu PME français. Ils sont présentés à titre pédagogique.
Cas 1 — Recrutement avec scoring émotionnel. Une PME de services intègre un module qui analyse les expressions faciales des candidats lors d'entretiens visio. Cette pratique relève de l'Art. 5(1)(f) : reconnaissance d'émotions sur le lieu de travail (l'entretien constitue un contexte professionnel au sens du considérant 44). Interdite.
Cas 2 — Affichage publicitaire ciblant les enfants. Un éditeur de jeux mobiles utilise un système qui détecte les jeunes utilisateurs et adapte les sollicitations d'achat in-app. L'Art. 5(1)(b) sanctionne l'exploitation de la vulnérabilité liée à l'âge dès lors qu'un préjudice significatif est causé.
Cas 3 — Notation client transversale. Une chaîne de magasins déploie un score « fiabilité » dérivé du comportement en caisse, qui sert ensuite à refuser l'accès à un service de location partenaire. L'Art. 5(1)(c) interdit cette extension d'une notation à un contexte social sans rapport.
Cas 4 — Vidéosurveillance avec catégorisation politique. Un commerce installe un dispositif promettant d'identifier les « profils militants » à partir de signaux visuels. L'Art. 5(1)(g) prohibe la catégorisation biométrique inférant des opinions politiques.
Aucun de ces cas ne dispose d'exception applicable.
5. Plan de mise en conformité en 6 étapes
La conformité à l'Article 5 ne demande pas de stack technique sophistiquée. Elle demande une traçabilité des décisions et une gouvernance interne. Voici la séquence opérationnelle recommandée :
- Inventaire des systèmes d'IA. Recensez tout outil intégrant un modèle prédictif, génératif ou de classification, qu'il soit développé en interne, acheté en SaaS, ou enfoui dans une suite logicielle existante.
- Cartographie Article 5. Pour chaque système, vérifiez les huit alinéas a) à h). Documentez votre raisonnement, même négatif (« le système X ne relève pas de l'Art. 5(1)(c) parce que… »).
- Décision documentée. Pour les systèmes susceptibles de tomber sous l'Article 5, prenez une décision formelle : retrait, modification, ou recours à une exception encadrée. Faites valider par votre DPO ou conseil juridique.
- Mise à jour contractuelle. Vos contrats fournisseurs doivent inclure une clause d'engagement Article 5. Les fournisseurs SaaS doivent garantir que leur produit ne déploie pas de pratique interdite.
- Formation des équipes. L'Article 4 du Règlement impose une obligation de maîtrise de l'IA (« AI literacy ») pour le personnel concerné. Une formation Article 5 spécifique sécurise la conformité Article 4 simultanément.
- Boucle de revue annuelle. Intégrez l'audit Article 5 dans votre revue de management ISO/IEC 42001:2023, ou dans le cycle EIPD prévu à l'Article 35 du RGPD lorsque c'est pertinent.
Cette séquence forme l'ossature minimum. Elle ne remplace pas l'analyse au cas par cas, mais elle évite la situation la plus risquée : ignorer un système prohibé par méconnaissance.
6. Ressources officielles et internes
| Ressource | Utilité |
|---|---|
| Pillar AI Act PME France | Vue d'ensemble obligations + calendrier |
| Sanctions Article 99 détaillées | Calcul des plafonds, règle PME |
| Glossaire regulia | Définitions juridiques opérationnelles |
| Sources officielles regulia | Liens directs CNIL, EUR-Lex, AI Office |
| AI Act Service Desk (Commission EU) | Questions interprétatives officielles |
| Fiches pratiques CNIL IA | 13 fiches couvrant base légale, droits, EIPD |
| ISO/IEC 42001:2023 | Système de management de l'IA |
7. Glossaire express des termes clés
- Système d'IA : système automatisé conçu pour fonctionner avec différents niveaux d'autonomie et qui infère des sorties à partir d'entrées (Art. 3, point 1). Voir glossaire complet.
- Pratique interdite : usage d'un système d'IA visé par l'Article 5, dont la mise sur le marché ou l'utilisation est prohibée sans condition.
- Déployeur : personne physique ou morale qui utilise un système d'IA sous sa propre autorité (Art. 3, point 4). Une PME utilisatrice est un déployeur.
- Préjudice significatif : critère qualitatif évalué au regard de la nature, durée et réversibilité de l'atteinte (considérant 29).
- Espace accessible au public : tout lieu physique privé ou public, accessible à un nombre indéterminé de personnes (Art. 3, point 44).
8. Que faire dès cette semaine
L'Article 5 est en application. La fenêtre de tolérance est juridiquement nulle depuis le 2 février 2025. Les autorités françaises (CNIL en chef de file probable, ARCOM, ARCEP, ACPR selon les secteurs) ont commencé à publier leurs lignes d'action.
Pour une PME, trois actions immédiates : 1. Désigner un référent IA Act (peut être le DPO existant). 2. Lancer l'inventaire des systèmes d'IA déployés ou en projet. 3. Confronter ces systèmes à la grille Article 5.
Reporter cette analyse expose à un risque de sanction sans contrepartie commerciale. Les huit interdictions concernent un périmètre étroit mais leur transgression coûte cher.
Sécurisez votre conformité Article 5
Le pack regulia comprend la grille d'évaluation Article 5, le registre de décisions, le modèle de clause fournisseur et le support de formation Article 4. Livraison sous 24 h.
Recevoir le pack reguliaFAQ
Quelles sont les sanctions pour une PME qui ne se conforme pas à l'Article 5 ?
Les violations de l'Article 5 relèvent du plafond le plus élevé prévu par le Règlement : 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel (Art. 99(3)). Pour une PME, l'Article 99(6) prévoit que le montant le plus faible entre les deux est retenu. S'y ajoutent le retrait du marché, l'éventuelle action civile des victimes et le risque d'exclusion des marchés publics.
Comment une PME peut-elle identifier ses systèmes concernés par l'Article 5 ?
La méthode consiste à recenser tous les systèmes d'IA en usage (CRM, RH, marketing, sécurité, support client), puis à passer chacun au crible des huit alinéas a) à h) de l'Article 5(1). Un outil de scoring comportemental, un module de reconnaissance faciale, un dispositif d'analyse émotionnelle au travail sont les drapeaux rouges les plus fréquents. Une revue par un conseil juridique externe sécurise la décision finale.
Quelles sont les étapes pour se conformer à l'Article 5 ?
Six étapes : inventaire, cartographie Article 5, décision documentée (retrait, modification ou exception), mise à jour contractuelle avec les fournisseurs, formation des équipes au titre de l'Article 4, et revue annuelle. Le détail figure en section 5 de cet article.
Une PME peut-elle invoquer une exception à l'Article 5 ?
Les exceptions sont limitées et réservées à des cas précis : raisons médicales ou de sécurité pour la reconnaissance d'émotions (Art. 5(1)(f)), évaluation humaine fondée sur faits objectifs pour la prédiction d'infraction (Art. 5(1)(d)), trois cas répressifs strictement encadrés pour l'identification biométrique en temps réel (Art. 5(1)(h)). En pratique, la quasi-totalité des PME ne peut pas mobiliser ces exceptions et doit retirer le système.
Où trouver les ressources officielles pour la mise en conformité ?
Les références principales sont le Règlement consolidé sur EUR-Lex, les fiches pratiques de la CNIL sur l'IA, l'AI Act Service Desk de la Commission européenne, et la norme ISO/IEC 42001:2023 pour le système de management. Les liens directs sont rassemblés en section sources ci-dessous.
Sources officielles
- Règlement (UE) 2024/1689 — version consolidée EUR-Lex
- Texte intégral et navigation par article — artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne
- Fiches pratiques IA — CNIL
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
Avertissement. Cet article fournit des informations générales sur l'Article 5 du Règlement (UE) 2024/1689 applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.