Des contrôles d’identité « au faciès » recourent illégalement à la reconnaissance faciale

Reconnaissance faciale lors des contrôles d'identité : "Ce n'est pas légal" assure le ministre de l'intérieur

Le ministre de l'intérieur a reconnu devant le Sénat que le recours à des outils de reconnaissance faciale lors des contrôles d'identité par les forces de l'ordre était illégal. Interpellé sur des révélations publiées par le média d'investigation Disclose, il a admis l'existence de ces pratiques tout en affirmant attendre les conclusions de la Commission nationale de l'informatique et des libertés (CNIL), saisie sur le sujet. Cette reconnaissance publique est significative : elle confirme que des technologies biométriques interdites sont utilisées sur le terrain, exposant l'État à des risques juridiques majeurs et soulevant des questions fondamentales sur le respect des libertés individuelles. Pour les citoyens contrôlés, cela signifie que leurs données biométriques ont pu être collectées et comparées sans base légale, en violation du RGPD et du droit national. La reconnaissance faciale est encadrée très strictement en Europe, et son usage dans les espaces publics par les forces de l'ordre fait l'objet d'un débat législatif tendu depuis plusieurs années. La CNIL joue ici un rôle central d'arbitre, mais ses recommandations n'ont pas force de loi. L'affaire Disclose pourrait accélérer une clarification législative, voire des poursuites, dans un contexte où la France prépare également sa conformité au règlement européen sur l'IA, qui encadre explicitement ces usages.

Les régulateurs signalent des lacunes dans le contrôle des agents autonomes

L'autorité australienne de régulation prudentielle (APRA) a tiré la sonnette d'alarme fin 2025 après un audit ciblé des grandes institutions financières du pays : banques et fonds de retraite adoptent massivement l'intelligence artificielle, mais leur gouvernance des risques associés reste insuffisante. L'examen, conduit auprès d'un échantillon représentatif d'entités régulées, a révélé que l'IA est désormais présente dans la totalité des organisations auditées, notamment pour l'ingénierie logicielle, le traitement des demandes de prêts, le tri des sinistres, la détection de fraudes et les interactions clients. Pourtant, les conseils d'administration se reposent encore trop souvent sur les présentations des fournisseurs plutôt que sur une analyse rigoureuse des risques, notamment ceux liés aux comportements imprévisibles des modèles ou aux conséquences d'une défaillance sur des opérations critiques. L'APRA a également identifié des lacunes concrètes : absence d'inventaires complets des outils d'IA déployés, manque de responsables désignés pour chaque instance, déficiences dans la surveillance des comportements des modèles et dans les procédures de mise hors service. Ces manquements ont des implications directes pour la stabilité du secteur financier australien, qui gère plusieurs milliers de milliards de dollars d'actifs. Lorsque les institutions traitent le risque IA comme un simple risque technologique classique, elles passent à côté des spécificités des modèles : biais, dérive comportementale, opacité des décisions. L'APRA exige désormais que la stratégie IA de chaque établissement soit alignée sur son appétit au risque, assortie de procédures claires en cas d'erreur et d'une supervision humaine obligatoire pour les décisions à fort enjeu. Sur le plan cybersécuritaire, l'adoption de l'IA élargit la surface d'attaque, notamment via l'injection de prompts et les intégrations non sécurisées. Les contrôles d'identité et d'accès, pensés pour des utilisateurs humains, n'ont pas été adaptés aux agents autonomes, et la dépendance à un fournisseur unique pour de nombreuses instances constitue un risque systémique supplémentaire, peu d'établissements étant capables de présenter un plan de sortie crédible. Cette mise en garde australienne s'inscrit dans une tendance mondiale. L'alliance FIDO, standard incontournable de l'authentification en ligne, vient de créer un groupe de travail spécialisé sur l'authentification agentique, en réponse aux modèles existants qui ont été conçus pour des humains et non pour des logiciels agissant en leur nom. Google (Agent Payments Protocol) et Mastercard (Verifiable Intent) ont déjà soumis leurs solutions à l'examen du groupe. Parallèlement, le Centre for Internet Security, financé en grande partie par le département américain de la Sécurité intérieure, vient de publier des guides de sécurité spécifiques aux LLM, aux agents IA et aux environnements Model Context Protocol, couvrant la gestion des accès non humains et les risques liés aux données sensibles. La gouvernance des agents autonomes devient ainsi l'un des chantiers réglementaires prioritaires de 2026, à mesure que leur déploiement s'accélère dans des secteurs à risques systémiques.

Les défis de gouvernance de l'IA à base d'agents face au règlement européen en 2026

Les agents d'intelligence artificielle capables d'agir de façon autonome, de déplacer des données entre systèmes et de déclencher des décisions sans intervention humaine posent un défi de gouvernance croissant pour les organisations européennes. À partir d'août 2026, l'entrée en vigueur des dispositions d'exécution de l'AI Act de l'Union européenne rendra ce défi juridiquement contraignant. Les articles 9 et 13 du texte imposent aux entreprises utilisant des systèmes d'IA dans des domaines à risque élevé, notamment le traitement de données personnelles ou les opérations financières, de maintenir une gestion des risques continue, documentée et révisable à chaque étape du déploiement, ainsi que de garantir que les sorties des systèmes soient interprétables par leurs utilisateurs. Les manquements à ces obligations exposeront les organisations à des pénalités substantielles. Pour les responsables informatiques, cela signifie concrètement qu'ils doivent être capables de prouver, pièces à l'appui, qu'un agent IA agit de façon sûre et légale. Or, beaucoup d'organisations échouent dès la première étape : elles ne disposent pas d'un registre centralisé de leurs agents en production, ni d'un enregistrement précis de leurs capacités et permissions. Sans traçabilité complète des actions, quand un agent interagit avec d'autres agents dans des architectures multi-agents, la chaîne de responsabilité devient impossible à reconstituer. Des solutions techniques existent, comme le SDK Python Asqav, qui signe cryptographiquement chaque action d'un agent et lie les enregistrements à une chaîne de hachage immuable, rendant toute falsification détectable. L'enjeu dépasse la technique : il touche directement à la capacité des entreprises à démontrer leur conformité réglementaire à tout instant. L'émergence des architectures agentiques complexes, où des systèmes délèguent des tâches à d'autres agents sans supervision humaine directe, a rendu obsolètes les approches traditionnelles de gouvernance logicielle. L'AI Act oblige désormais les entreprises à repenser leurs processus de bout en bout : tout agent doit avoir une identité unique, des permissions documentées, et surtout un mécanisme de révocation rapide, idéalement en quelques secondes, incluant la suppression immédiate des accès API et l'annulation des tâches en attente. La supervision humaine ne peut se limiter à un score de confiance ou à l'affichage d'une requête : les opérateurs doivent disposer d'un contexte suffisant pour intervenir avant qu'une erreur ne se produise. Les fournisseurs tiers d'IA sont également concernés, car leurs systèmes doivent être suffisamment documentés et interprétables pour que les entreprises clientes puissent en garantir un usage conforme à la loi.

Les contrôles à l'exportation d'Anthropic déclenchent une course mondiale à la souveraineté en IA

Le 13 juin 2026, un ordre gouvernemental américain a mis hors ligne deux des modèles d'intelligence artificielle les plus puissants d'Anthropic, Fable 5 et Mythos 5, pour tous les utilisateurs étrangers dans le monde entier, y compris, brièvement, les employés d'Anthropic eux-mêmes nés à l'étranger. La directive, signée par le secrétaire au Commerce Howard Lutnick et adressée au PDG Dario Amodei, ordonnait la suspension de tout accès par des ressortissants étrangers, qu'ils se trouvent aux États-Unis ou non. La rapidité de l'opération a frappé les esprits : Fable 5 avait été mis à disposition du grand public le 9 juin, quatre jours seulement avant d'être désactivé. Anthropic a reçu la lettre d'injonction à 17h21 le 12 juin et, faute de pouvoir filtrer ses utilisateurs par nationalité en temps réel, a dû "abruptement couper" l'accès à l'ensemble de sa clientèle pour se conformer à l'ordre. Au coeur du litige se trouve une méthode de contournement des garde-fous de sécurité de Fable 5, ce que l'on appelle un "jailbreak". Washington avance que cette faille permettrait d'accéder à des informations susceptibles d'aider des cyberattaques, une accusation renforcée selon le Wall Street Journal par Andy Jassy, PDG d'Amazon et l'un des principaux investisseurs d'Anthropic, qui aurait alerté le secrétaire au Trésor Scott Bessent après que des chercheurs d'Amazon ont reproduit le problème. Anthropic conteste la gravité du risque, affirmant que la technique en question se limite à une capacité d'examen de code déjà présente chez des modèles concurrents, dont GPT-5.5 d'OpenAI. David Sacks, co-président du conseil scientifique de la Maison-Blanche, a publiquement contredit cette version sur X, affirmant que l'administration avait demandé à Amodei de corriger la vulnérabilité ou de retirer le modèle, et qu'Amodei avait refusé. L'affaire a déclenché une onde de choc en Europe et au Canada, ravivant les inquiétudes sur la souveraineté numérique et la dépendance à des infrastructures d'IA contrôlées par le gouvernement américain. Cette crise ne surgit pas du néant. Le conflit entre Anthropic et Washington s'est cristallisé plus tôt en 2026, lorsque l'entreprise a refusé que ses technologies soient utilisées à des fins de surveillance de masse ou pour des systèmes d'armes entièrement autonomes, suscitant la colère du secrétaire à la Défense Pete Hegseth. Donald Trump avait alors ordonné à chaque agence fédérale de cesser d'utiliser les produits d'Anthropic, et Hegseth avait désigné la société comme un "risque pour la chaîne d'approvisionnement de la sécurité nationale". Fable 5 était lui-même le dérivé grand public d'une famille de modèles plus puissants, les modèles de classe Mythos, développés depuis avril 2026 dans le cadre du programme à accès restreint Project Glasswing. L'épisode illustre de façon brutale une réalité que beaucoup d'acteurs internationaux préféraient ignorer : le droit américain peut couper l'accès à des outils devenus infrastructures critiques, du jour au lendemain, sans préavis.

💬 Quatre jours entre le lancement de Fable 5 et sa désactivation forcée, sur la base d'un jailbreak qu'Anthropic conteste elle-même. C'est exactement le scénario que les partisans de la souveraineté numérique décrivaient depuis des années, mais là c'est réel, une lettre à 17h21 et l'accès coupé pour toute la planète sans préavis ni recours. Espérons que ça suffira à déclencher autre chose qu'un rapport de commission.