L’IA Act de l’UE et les outils d’IA autistiques

Bruxelles précise actuellement quels systèmes d’IA sont considérés comme à haut risque. Pour l’IA appliquée à la santé et à l’éducation, cette question est cruciale. Autistic Mirror n’appartient délibérément pas à cette catégorie. Voici ce que cela signifie en pratique.

L’essentiel en deux phrases

L’IA Act de l’UE est le premier règlement qui classe les systèmes d’IA selon leur niveau de risque. Les contraintes les plus strictes s’appliquent là où il est question de diagnostics, de places scolaires, d’accès à la réadaptation ou de décisions en matière de personnel. C’est précisément là que se joue la distinction entre les outils d’IA que les personnes autistes peuvent utiliser en toute sécurité et ceux qui ne sont ni juridiquement ni éthiquement viables.

Ce que régit l’IA Act de l’UE

Le règlement sur l’IA (Règlement UE 2024/1689)[1] est en vigueur depuis août 2024 et devient applicable par étapes. L’interdiction de certaines pratiques et l’obligation de compétence en matière d’IA (article 4) s’appliquent depuis le 2 février 2025. Les obligations pour les modèles d’IA à usage général s’appliquent depuis le 2 août 2025. La date butoir pour la plupart des fournisseurs est le 2 août 2026: à partir de cette date, les exigences complètes pour les systèmes d’IA à haut risque selon l’annexe III s’appliqueront.[1]

Le règlement prévoit quatre niveaux de risque: pratiques interdites, systèmes à haut risque, systèmes à risque limité et systèmes à risque minimal. Le niveau détermine le catalogue des obligations.

Où se situe la limite pour l’IA en santé et éducation

L’annexe III énumère les domaines dans lesquels les systèmes d’IA sont automatiquement considérés comme à haut risque.[1] Trois d’entre eux concernent particulièrement les RH et le secteur social: l’éducation et la formation professionnelle, l’emploi et la gestion du personnel, ainsi que l’accès aux services essentiels, y compris les prestations de santé et de protection sociale. Quiconque prépare ou prend des décisions dans ces domaines entre dans le corridor du haut risque.

L’annexe I s’articule en complément avec le droit des dispositifs médicaux. Dès qu’une IA fonctionne comme composant de sécurité d’un dispositif médical ou comme diagnostic in vitro, elle est considérée comme à haut risque, quel que soit son cas d’utilisation.[3][5]

L’article 6, paragraphe 3, offre une exception étroite: si un système n’assume qu’une tâche préparatoire ou purement technique et ne crée pas de risque substantiel pour les droits fondamentaux, il peut être exclu de la catégorie haut risque malgré son domaine cité en annexe III. Cependant, dès qu’un profilage a lieu, c’est-à-dire une évaluation automatisée d’aspects personnels, l’exception ne s’applique plus.

Pourquoi Autistic Mirror n’est pas une IA à haut risque

Autistic Mirror n'est explicitement pas un dispositif médical. Cette position est stipulée dans la déclaration de protection des données, section 2.4, et dans les conditions d'utilisation. Il n’y a pas de diagnostic, pas de thérapie, pas de triage, pas de recommandation d’actes médicaux. Sa mission est strictement définie: expliquer les mécanismes neurologiques de l’expérience autistique et soutenir l’auto-réflexion.

Quatre points justifient le classement hors du corridor à haut risque:

  1. Pas un dispositif médical selon le RDM/RDIV.[3][5] Par conséquent, l’annexe I ne s’applique pas.
  2. Aucune fonction de préparation à la décision dans l’éducation, l’emploi ou l’accès aux services essentiels. L’application n’évalue pas les personnes, ne trie pas les candidatures, n’attribue pas de places d’école ou de réadaptation. Ainsi, les trois piliers critiques de l’annexe III ne s’appliquent pas.
  3. Pas de profilage au sens de l’article 4 n° 4 du RGPD. Les informations fournies lors de l’inscription (rôle, co-occurring conditions, tranche d’âge) ne servent qu’à configurer le paramétrage de l’invite système. Il n’y a aucune évaluation automatisée d’aspects personnels, aucune prédiction sur le comportement, la performance ou la santé. L’exception de l’article 6 paragraphe 3 reste donc applicable.
  4. Pas de décision automatisée au sens de l’article 22 du RGPD.[2][7] L’utilisation ne produit aucun effet juridique ou affectation significative similaire. Les réponses sont explicatives, non décisionnelles.

L’application ne dispense pas de conseil au sens clinique. Si les personnes utilisatrices demandent explicitement un parcours de diagnostic ou de traitement, un filtre de sortie s’active, rejette la demande et oriente vers des professionnels. Ce n’est pas une auto-limitation, mais une ligne claire entre l’explication et la recommandation.

Pas de reconnaissance des émotions, pas de catégorisation biométrique

L'article 5, paragraphe 1, point f, de l’IA Act de l’UE interdit les systèmes de reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement.[1][4] Autistic Mirror n’effectue aucune reconnaissance des émotions. Il n’y a pas de traitement audio, pas d’analyse par caméra, pas d’analyse vocale ou faciale, pas de catégorisation biométrique. Les entrées sont des textes libres. L’application exclut ainsi une pratique particulièrement risquée pour les personnes autistes, dont l’expression émotionnelle est systématiquement mal interprétée.

Obligations de transparence selon l’article 50

Même hors du corridor haut risque, les obligations de transparence de l’article 50 s’appliqueront à partir du 2 août 2026. Les personnes utilisatrices doivent pouvoir reconnaître qu’elles interagissent avec un système d’IA. Autistic Mirror remplit cette condition systématiquement: nom du produit, accueil, politique de confidentialité et chaque réponse sont identifiés comme générés par IA. Il n’y a pas d’imitation de conseil humain, pas de relation thérapeutique simulée.

Fournisseur, déployeur et classification GPAI

Autistic Mirror est le fournisseur (Provider) au sens de l’IA Act de l’UE. Les organisations qui distribuent l’application à leurs collaborateurs dans le cadre d’une licence B2B sont des déployeurs (Deployer) et portent les obligations de l’article 26, dans la mesure où elles sont applicables. Autistic Mirror n’étant pas à haut risque, ces obligations se limitent essentiellement aux règles d’utilisation internes et à l’information des employés. Le modèle de langage sous-jacent est un modèle d’IA à usage général (GPAI) d’un tiers fournisseur. Les obligations GPAI du chapitre V incombent au fournisseur du modèle, pas à Autistic Mirror.

Pourquoi cela compte pour les personnes autistes

Lorsqu’une IA générique dans un contexte de conseil, d’école ou de travail formule une recommandation comportementale, telle que « pratiquez le contact visuel » ou « réduisez le stimming », elle intervient profondément dans l’expérience autistique. Sans professionnel entre les deux. Sans explication du mécanisme. De telles recommandations suivent souvent une logique qui cherche à supprimer les réactions autistiques plutôt qu'à les comprendre.

L’IA Act de l’UE s’attaque précisément à ce risque. Il force les fournisseurs à déclarer leur position: est-ce que je pose des diagnostics ou des recommandations ayant un impact sur l’éducation, la carrière ou la santé, ou est-ce que je m’en tiens à l’explication. Cette ligne de démarcation ne protège pas seulement les fournisseurs des audits, elle protège les personnes autistes contre des outils qui voudraient corriger leur neurologie au lieu de l’expliquer.

Ce que coûteraient concrètement les obligations « haut risque »

Toute personne située dans le corridor haut risque doit mettre en place un régime complet de conformité: gestion des risques documentée, gouvernance des données avec preuve des données d’entraînement, documentation technique, obligations de journalisation, surveillance humaine, mesures de précision et de robustesse, évaluation de la conformité. Pour les cas de l’annexe I, s'ajoute l’intervention d’un organisme notifié.

Une étude souvent citée du Centre for European Policy Studies estime l’effort initial de conformité pour un seul système d’IA à haut risque à environ 29.277 euros, complété par des coûts annuels d’environ 71.400 euros pour un système de gestion de la qualité certifié, sans compter les frais de personnel interne et les audits de suivi.[6] Pour une petite équipe, cela n'est supportable que si le cas d’utilisation est réellement à haut risque. La réponse à cela n’est pas de contourner les obligations, mais de définir proprement le cas d'utilisation.

Ce que nous respectons malgré tout volontairement

Même hors du corridor haut risque, le RGPD, l’ePrivacy et les réglementations nationales s’appliquent. Autistic Mirror respecte cinq familles de conformité en parallèle: ISO/IEC 27001 Annexe A pour la sécurité de l’information, OWASP Top 10 pour la sécurité applicative, RGPD articles 5, 9, 22, 25, 32, 35, EN ISO 9241 parties 110 à 210 pour l’ergonomie logicielle et WCAG 2.1 niveaux A et AA pour l’accessibilité numérique. À cela s’ajoute une architecture de sécurité à 5 couches avec filtre anti-ABA, détection de crise, filtre de sécurité en sortie (output), détection d’injection et Buffer-then-Send.

L'analyse d'impact relative à la protection des données selon l'article 35 du RGPD est documentée, de même que le registre des activités de traitement selon l'article 30. Les mesures techniques et organisationnelles selon l'article 32 sont élaborées. Il n'y a pas de suivi, pas de vente de données, pas d'entraînement de modèles avec le contenu des personnes utilisatrices.

En quoi cela diffère d’une IA générique

Un chatbot générique sans spécialisation peut à tout moment glisser involontairement vers un langage diagnostique, donner des recommandations thérapeutiques ou suggérer des stratégies proches de l'ABA. Il se déplace ainsi dans un espace juridiquement flou dès qu’il est utilisé pour des questions de santé ou d’éducation, et dans un espace éthiquement critique dès qu’il rencontre des personnes autistes.

Autistic Mirror dispose d'un prompt fixe privilégiant le mécanisme et d'un filtre de sortie qui bloque les recommandations de diagnostic et les contenus ABA. L’outil reste ainsi dans le domaine autorisé, sans priver les personnes utilisatrices de la profondeur métier. L’explication au lieu de la recommandation. Le mécanisme au lieu du diagnostic.

IA générique
Espace thématique ouvert. Pas de blocage des diagnostics. Pas de filtres ABA. Pas de détection de crise. Réponses optimisées pour la plausibilité, non pour la fidélité neurologique.
Autistic Mirror
Cas d'utilisation restreint: expliquer le mécanisme. Filtre de sortie contre les recommandations de diagnostic et de traitement. Filtre anti-ABA. Détection de crise redondante en frontend et backend. Buffer-then-Send, afin que chaque réponse soit vérifiée avant affichage.

Une lueur d’espoir

La réglementation est souvent vécue comme un obstacle. Dans le cas de l’IA Act de l’UE, elle offre une opportunité de clarté: elle oblige les fournisseurs à décider s’ils veulent assumer une responsabilité diagnostique ou non. Les outils qui expliquent les mécanismes plutôt que de poser des diagnostics peuvent se développer sérieusement sans glisser dans le corridor à haut risque. C’est à la fois la voie juridiquement saine et éthiquement solide. Pour les personnes autistes, cela signifie que l’outil reste utilisable sans que personne ne vienne s'interposer entre elles et leur propre neurologie.

Autistic Mirror explique la neurologie autistique de manière individuelle, en fonction de votre situation. Que ce soit pour vous-même, en tant que parent ou en tant que professionnel.

Sources

  1. Parlement européen et Conseil: Règlement (UE) 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle (règlement sur l’IA), 13 juin 2024. eur-lex.europa.eu/eli/reg/2024/1689/oj
  2. Parlement européen et Conseil: Règlement (UE) 2016/679 (RGPD), 27 avril 2016. eur-lex.europa.eu/eli/reg/2016/679/oj
  3. Parlement européen et Conseil: Règlement (UE) 2017/745 relatif aux dispositifs médicaux (RDM), 5 avril 2017. eur-lex.europa.eu/eli/reg/2017/745/oj
  4. Commission européenne: Lignes directrices sur les pratiques interdites en vertu du règlement sur l’IA (C(2025) 884 final), février 2025. digital-strategy.ec.europa.eu
  5. Medical Device Coordination Group: MDCG 2019-11 Rev.1, Qualification and Classification of Software in Regulation (EU) 2017/745 and Regulation (EU) 2017/746, 2024. health.ec.europa.eu
  6. Renda, A. et al., Centre for European Policy Studies: Clarifying the costs for the EU's AI Act, 2021. ceps.eu
  7. Comité européen de la protection des données (EDPB): Lignes directrices et avis sur l’article 22 du RGPD. edpb.europa.eu
  8. Commission européenne, AI Office: Application et dates butoirs du règlement sur l’IA. digital-strategy.ec.europa.eu/en/policies/ai-office
Aaron Wahl
Aaron Wahl

Autiste, fondateur d'Autistic Mirror

Ton fonctionnement a des raisons.
Elles peuvent etre expliquees.

Creer un compte gratuit