Aller au contenu principal
Le Fil IA
Le Fil IAL'actu IA, décodée
Des contrôles d’identité « au faciès » recourent illégalement à la reconnaissance faciale
RégulationNext INpact7sem

Des contrôles d’identité « au faciès » recourent illégalement à la reconnaissance faciale

Résumé IASource uniqueImpact UE
Source originale ↗·

Des policiers et gendarmes français utilisent la reconnaissance faciale depuis leurs téléphones de service pour effectuer des contrôles d'identité au faciès — une pratique « totalement illégale » selon l'ONG de journalisme d'investigation Disclose, qui révèle l'ampleur du dispositif dans une enquête publiée cette semaine.

230 000 smartphones NEO 2 (pour « Nouvel Équipement Opérationnel ») déployés dans la police nationale depuis 2022 et les terminaux Neogend de la gendarmerie depuis 2020 embarquent une application, NEOFIC, permettant d'accéder aux principaux fichiers de police, dont le TAJ (Traitement d'Antécédents Judiciaires). Ce fichier, sorte de « casier judiciaire bis », recense 24 millions de personnes « mises en cause » — l'équivalent d'un tiers de la population française — dont les fiches incluent des photographies exploitables par un dispositif de reconnaissance faciale. Or, le code de procédure pénale limite strictement la consultation du TAJ aux besoins des enquêtes judiciaires, et non aux contrôles en temps réel.

Les témoignages recueillis par Disclose illustrent concrètement ces pratiques. Ahmed, apprenti pâtissier de 18 ans, décrit des agents pointant « de gros portables rectangulaires » vers lui et ses proches, sans jamais demander de papiers d'identité. Un manifestant pro-palestinien raconte avoir tenté de détourner le visage pour éviter d'être photographié, avant d'être maintenu de force par deux agents face à la caméra — les policiers lui communiquant ensuite ses antécédents judiciaires. Disclose cite également plusieurs reportages télévisés montrant des forces de l'ordre procéder de même avec des individus ne disposant pas de leurs documents sur eux. Par ailleurs, GASPARD, le fichier intermédiaire qui aurait servi de relais pour ces consultations illicites, aurait lui-même été créé sans base légale.

L'affaire soulève des questions profondes sur l'encadrement réel de la biométrie policière en France. Le TAJ n'est en principe accessible qu'à des agents « individuellement désignés et spécialement habilités » — une restriction que l'intégration dans l'application mobile des terminaux NEO contourne de fait. À l'heure où le débat sur la reconnaissance faciale dans l'espace public reste vif, notamment depuis les expérimentations autour des Jeux Olympiques 2024, cette révélation montre que le déploiement de facto précède largement tout cadre légal.

Impact France/UE

La police et gendarmerie françaises utilisent illégalement la reconnaissance faciale sur 230 000 appareils, en violation du droit français et du cadre européen sur l'IA (AI Act).

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

Reconnaissance faciale lors des contrôles d'identité : "Ce n'est pas légal" assure le ministre de l'intérieur
1ZDNET FR 

Reconnaissance faciale lors des contrôles d'identité : "Ce n'est pas légal" assure le ministre de l'intérieur

Le ministre de l'intérieur a reconnu devant le Sénat que le recours à des outils de reconnaissance faciale lors des contrôles d'identité par les forces de l'ordre était illégal. Interpellé sur des révélations publiées par le média d'investigation Disclose, il a admis l'existence de ces pratiques tout en affirmant attendre les conclusions de la Commission nationale de l'informatique et des libertés (CNIL), saisie sur le sujet. Cette reconnaissance publique est significative : elle confirme que des technologies biométriques interdites sont utilisées sur le terrain, exposant l'État à des risques juridiques majeurs et soulevant des questions fondamentales sur le respect des libertés individuelles. Pour les citoyens contrôlés, cela signifie que leurs données biométriques ont pu être collectées et comparées sans base légale, en violation du RGPD et du droit national. La reconnaissance faciale est encadrée très strictement en Europe, et son usage dans les espaces publics par les forces de l'ordre fait l'objet d'un débat législatif tendu depuis plusieurs années. La CNIL joue ici un rôle central d'arbitre, mais ses recommandations n'ont pas force de loi. L'affaire Disclose pourrait accélérer une clarification législative, voire des poursuites, dans un contexte où la France prépare également sa conformité au règlement européen sur l'IA, qui encadre explicitement ces usages.

UELe ministre de l'intérieur français reconnaît publiquement l'usage illégal de la reconnaissance faciale par les forces de l'ordre, exposant l'État à des recours juridiques et pouvant accélérer une clarification législative nationale alignée sur le règlement européen sur l'IA.

RégulationReglementation
1 source
Les régulateurs signalent des lacunes dans le contrôle des agents autonomes
2AI News 

Les régulateurs signalent des lacunes dans le contrôle des agents autonomes

L'autorité australienne de régulation prudentielle (APRA) a tiré la sonnette d'alarme fin 2025 après un audit ciblé des grandes institutions financières du pays : banques et fonds de retraite adoptent massivement l'intelligence artificielle, mais leur gouvernance des risques associés reste insuffisante. L'examen, conduit auprès d'un échantillon représentatif d'entités régulées, a révélé que l'IA est désormais présente dans la totalité des organisations auditées, notamment pour l'ingénierie logicielle, le traitement des demandes de prêts, le tri des sinistres, la détection de fraudes et les interactions clients. Pourtant, les conseils d'administration se reposent encore trop souvent sur les présentations des fournisseurs plutôt que sur une analyse rigoureuse des risques, notamment ceux liés aux comportements imprévisibles des modèles ou aux conséquences d'une défaillance sur des opérations critiques. L'APRA a également identifié des lacunes concrètes : absence d'inventaires complets des outils d'IA déployés, manque de responsables désignés pour chaque instance, déficiences dans la surveillance des comportements des modèles et dans les procédures de mise hors service. Ces manquements ont des implications directes pour la stabilité du secteur financier australien, qui gère plusieurs milliers de milliards de dollars d'actifs. Lorsque les institutions traitent le risque IA comme un simple risque technologique classique, elles passent à côté des spécificités des modèles : biais, dérive comportementale, opacité des décisions. L'APRA exige désormais que la stratégie IA de chaque établissement soit alignée sur son appétit au risque, assortie de procédures claires en cas d'erreur et d'une supervision humaine obligatoire pour les décisions à fort enjeu. Sur le plan cybersécuritaire, l'adoption de l'IA élargit la surface d'attaque, notamment via l'injection de prompts et les intégrations non sécurisées. Les contrôles d'identité et d'accès, pensés pour des utilisateurs humains, n'ont pas été adaptés aux agents autonomes, et la dépendance à un fournisseur unique pour de nombreuses instances constitue un risque systémique supplémentaire, peu d'établissements étant capables de présenter un plan de sortie crédible. Cette mise en garde australienne s'inscrit dans une tendance mondiale. L'alliance FIDO, standard incontournable de l'authentification en ligne, vient de créer un groupe de travail spécialisé sur l'authentification agentique, en réponse aux modèles existants qui ont été conçus pour des humains et non pour des logiciels agissant en leur nom. Google (Agent Payments Protocol) et Mastercard (Verifiable Intent) ont déjà soumis leurs solutions à l'examen du groupe. Parallèlement, le Centre for Internet Security, financé en grande partie par le département américain de la Sécurité intérieure, vient de publier des guides de sécurité spécifiques aux LLM, aux agents IA et aux environnements Model Context Protocol, couvrant la gestion des accès non humains et les risques liés aux données sensibles. La gouvernance des agents autonomes devient ainsi l'un des chantiers réglementaires prioritaires de 2026, à mesure que leur déploiement s'accélère dans des secteurs à risques systémiques.

UELes institutions financières européennes font face aux mêmes lacunes de gouvernance des agents IA, un enjeu que l'AI Act et les régulateurs sectoriels (BCE, EBA) devront préciser dans leurs exigences de conformité.

RégulationReglementation
1 source
3AI News 

Les défis de gouvernance de l'IA à base d'agents face au règlement européen en 2026

Les agents d'intelligence artificielle capables d'agir de façon autonome, de déplacer des données entre systèmes et de déclencher des décisions sans intervention humaine posent un défi de gouvernance croissant pour les organisations européennes. À partir d'août 2026, l'entrée en vigueur des dispositions d'exécution de l'AI Act de l'Union européenne rendra ce défi juridiquement contraignant. Les articles 9 et 13 du texte imposent aux entreprises utilisant des systèmes d'IA dans des domaines à risque élevé, notamment le traitement de données personnelles ou les opérations financières, de maintenir une gestion des risques continue, documentée et révisable à chaque étape du déploiement, ainsi que de garantir que les sorties des systèmes soient interprétables par leurs utilisateurs. Les manquements à ces obligations exposeront les organisations à des pénalités substantielles. Pour les responsables informatiques, cela signifie concrètement qu'ils doivent être capables de prouver, pièces à l'appui, qu'un agent IA agit de façon sûre et légale. Or, beaucoup d'organisations échouent dès la première étape : elles ne disposent pas d'un registre centralisé de leurs agents en production, ni d'un enregistrement précis de leurs capacités et permissions. Sans traçabilité complète des actions, quand un agent interagit avec d'autres agents dans des architectures multi-agents, la chaîne de responsabilité devient impossible à reconstituer. Des solutions techniques existent, comme le SDK Python Asqav, qui signe cryptographiquement chaque action d'un agent et lie les enregistrements à une chaîne de hachage immuable, rendant toute falsification détectable. L'enjeu dépasse la technique : il touche directement à la capacité des entreprises à démontrer leur conformité réglementaire à tout instant. L'émergence des architectures agentiques complexes, où des systèmes délèguent des tâches à d'autres agents sans supervision humaine directe, a rendu obsolètes les approches traditionnelles de gouvernance logicielle. L'AI Act oblige désormais les entreprises à repenser leurs processus de bout en bout : tout agent doit avoir une identité unique, des permissions documentées, et surtout un mécanisme de révocation rapide, idéalement en quelques secondes, incluant la suppression immédiate des accès API et l'annulation des tâches en attente. La supervision humaine ne peut se limiter à un score de confiance ou à l'affichage d'une requête : les opérateurs doivent disposer d'un contexte suffisant pour intervenir avant qu'une erreur ne se produise. Les fournisseurs tiers d'IA sont également concernés, car leurs systèmes doivent être suffisamment documentés et interprétables pour que les entreprises clientes puissent en garantir un usage conforme à la loi.

UELes entreprises françaises et européennes déployant des agents IA dans des domaines à risque élevé doivent mettre en conformité leurs processus de gouvernance (registre d'agents, traçabilité, révocation) avant l'entrée en vigueur des articles 9 et 13 de l'AI Act en août 2026, sous peine de pénalités substantielles.

RégulationReglementation
1 source
Meta espère qu'une décision de la Cour suprême sur le piratage l'aidera à faire rejeter le procès sur ses données d'entraînement
4Ars Technica AI 

Meta espère qu'une décision de la Cour suprême sur le piratage l'aidera à faire rejeter le procès sur ses données d'entraînement

Meta a déposé la semaine dernière une déclaration dans un procès intenté par Entrepreneur Media, espérant s'appuyer sur une récente décision de la Cour suprême américaine pour échapper à sa responsabilité dans une affaire de téléchargement illicite de données d'entraînement pour l'IA. Les plaignants accusent Meta d'avoir utilisé BitTorrent pour télécharger environ 80 téraoctets d'œuvres protégées par le droit d'auteur. En « seedant » ces fichiers — c'est-à-dire en permettant à d'autres utilisateurs de télécharger à partir de ses propres copies — Meta aurait sciemment facilité des infractions supplémentaires au droit d'auteur, ce qui constitue le cœur de la plainte pour « contributory infringement », ou contrefaçon par complicité. La décision de la Cour suprême que Meta invoque avait établi que les fournisseurs d'accès à Internet ne sont pas responsables des actes de piratage commis sur leurs réseaux par leurs abonnés. Meta tente d'appliquer ce raisonnement à sa propre situation, arguant qu'une simple connaissance du fonctionnement du protocole BitTorrent ne suffit pas à établir une responsabilité juridique. L'enjeu est considérable : la plainte en contrefaçon par complicité est nettement plus facile à prouver qu'une accusation de contrefaçon directe, car elle n'exige pas de démontrer que Meta a téléchargé une œuvre dans son intégralité — seulement qu'elle a facilité des transferts de fichiers. Cette affaire s'inscrit dans un contentieux plus large autour de l'entraînement des grands modèles de langage sur des données potentiellement protégées. Une action collective distincte, Kadrey v. Meta, portée par des auteurs, poursuit Meta pour contrefaçon directe liée au même épisode de torrent. L'ensemble de ces procédures reflète une bataille juridique fondamentale qui oppose l'industrie de l'IA aux ayants droit : dans quelle mesure les entreprises technologiques peuvent-elles aspirer massivement du contenu protégé pour entraîner leurs modèles sans s'exposer à des poursuites ? La façon dont les tribunaux américains répondront à cette question façonnera durablement les pratiques de collecte de données dans tout le secteur.

UELa jurisprudence américaine sur les données d'entraînement pourrait influencer l'interprétation du cadre européen sur les droits d'auteur face à l'IA, notamment dans les procédures similaires en cours en Europe sous l'AI Act.

RégulationReglementation
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour