L'EU AI Act est devenu une loi applicable depuis février 2025. Les amendes RGPD ont dépassé les deux milliards d'euros l'année dernière. Quiconque mène des recherches utilisateurs avec l'aide de l'IA évolue désormais sur un terrain aux règles nouvelles.
La plupart des articles sur la réglementation de l'IA semblent écrits par des avocats pour des avocats. Celui-ci explique ce qui a réellement changé, ce qui compte pour la pratique de la recherche et où se trouvent les pièges habituels.
Les trois vagues de l'EU AI Act
L'EU AI Act n'est pas arrivé d'un coup. Il s'est déployé par vagues.
En février 2025, les pratiques IA interdites sont entrées en vigueur. Quiconque utilisait des logiciels de reconnaissance des émotions dans la recherche en milieu professionnel ou éducatif a vu cette porte se fermer. L'interdiction est catégorique : aucune analyse faciale pour déduire des états émotionnels dans ces contextes.
En août 2025, les règles pour l'IA à usage général ont suivi. Les fournisseurs de modèles comme Claude ou GPT ont désormais des obligations de transparence. Ils doivent documenter ce qui a alimenté l'entraînement et divulguer quand quelqu'un interagit avec une IA.
En août 2026, le plein poids des exigences pour les systèmes à haut risque arrive. C'est dans sept mois. Quiconque mène des recherches touchant aux décisions d'embauche, à l'octroi de crédit ou aux évaluations éducatives devrait commencer à se préparer maintenant.
Ce qui reste autorisé et ce qui ne l'est plus
La reconnaissance des émotions est interdite sur les lieux de travail et dans les établissements scolaires. Quiconque prévoyait d'utiliser des logiciels d'analyse faciale pour mesurer les réactions des utilisateurs lors de recherches sur les employés ou de tests de produits éducatifs : ce n'est plus possible. Peu importe que les participants consentent. La pratique elle-même est prohibée dans ces contextes. Les applications médicales et les scénarios de sécurité constituent les seules exceptions.
L'analyse de sentiment textuelle reste légale. Analyser ce que les gens écrivent ou disent, extraire des thèmes, identifier des sentiments positifs ou négatifs à partir du langage : tout cela reste autorisé. La différence cruciale réside dans le fait qu'on analyse du contenu, pas des signaux biométriques. Un consentement RGPD approprié reste évidemment nécessaire.
Les entretiens menés par IA exigent une divulgation. L'article 50 de l'AI Act impose d'informer les utilisateurs lorsqu'ils interagissent avec un système IA. Quiconque déploie un modérateur IA pour des entretiens ne peut pas prétendre qu'il s'agit d'un humain. Ce n'est pas seulement éthiquement requis ; c'est désormais la loi.
L'exemption pour la recherche est plus étroite qu'on ne le pense. L'article 2 contient certes des exemptions pour la recherche scientifique, mais celles-ci s'appliquent principalement au développement et aux tests des systèmes IA eux-mêmes. Mener des recherches utilisateurs avec des outils IA ne qualifie pas automatiquement. Vérifiez cela soigneusement avant de vous y fier.
Les trois pièges les plus courants
Après plus de deux décennies dans ce domaine, je vois les équipes tomber dans les mêmes pièges à répétition. La réglementation n'a fait qu'augmenter les enjeux.
Consentement bâclé. Le RGPD exige un consentement éclairé en langage clair, librement donné, avec une explication compréhensible des données collectées et de leur finalité. La plupart des formulaires de consentement sont soit trop vagues, soit noyés dans du jargon juridique que personne ne lit. Si votre processus de consentement ne passe pas le test « Ma mère comprendrait-elle cela ? », il n'est probablement pas conforme.
Conserver les données trop longtemps. L'étude s'est terminée il y a six mois. Les enregistrements traînent toujours sur un disque partagé. Les transcriptions existent dans trois outils différents. Personne ne sait qui a accès. Ce sont exactement ces situations qui deviennent des violations du RGPD. Les durées de conservation doivent être définies avant le début de la collecte.
Cacher l'utilisation de l'IA. Vous utilisez un outil IA pour la transcription, le codage initial ou les entretiens eux-mêmes. Les participants devraient le savoir. Non pas parce que c'est effrayant, mais parce que la transparence est désormais légalement requise et a toujours été éthiquement appropriée.
Comment QUALLEE met cela en œuvre
Quand j'ai commencé à construire QUALLEE, il était clair que la conformité ne pouvait pas être une réflexion après coup. Trop d'outils traitent la vie privée comme une fonctionnalité à ajouter plus tard.
Nos serveurs sont situés en Allemagne, hébergés par Hetzner. Les données de recherche ne quittent pas l'UE. Nous ne les acheminons pas via des fournisseurs cloud américains et ne les stockons pas dans des pays à protection des données plus faible.
Nous n'utilisons pas d'analyse biométrique. Pas de reconnaissance faciale, pas de détection d'émotions à partir de signaux vidéo ou audio. Notre IA analyse ce que les participants disent, pas à quoi ressemblent leurs visages. Ce n'est pas seulement une décision juridique ; c'est aussi méthodologique. Le texte révèle les motivations. Les expressions faciales sont notoirement peu fiables pour déduire des états internes.
Chaque entretien QUALLEE indique clairement que les participants parlent avec une IA. Pas de tromperie, pas d'ambiguïté. Cette transparence améliore même la qualité des données. Les participants partagent souvent plus ouvertement avec des intervieweurs IA parce qu'ils ne craignent pas le jugement social.
La conservation des données est intégrée au système. Les durées de conservation sont définies lors de la création d'un projet. À leur expiration, les données sont réellement supprimées, pas simplement cachées.
La réglementation comme standard minimum
L'EU AI Act et le RGPD forcent l'industrie à faire ce que nous aurions dû faire depuis toujours. Obtenir un consentement véritable. Être transparent sur les méthodes. Ne pas conserver les données plus longtemps que nécessaire. Respecter les personnes qui participent à nos recherches.
Ce ne sont pas des obstacles à une bonne recherche, mais des prérequis.
Les équipes qui traitent la conformité comme un standard minimum à atteindre à contrecœur seront toujours en retard. Celles qui intègrent des pratiques éthiques dans leur workflow dès le départ constateront que la réglementation n'est guère un frein.
La recherche utilisateur a toujours consisté à comprendre les gens. Les traiter avec respect n'est pas seulement légalement requis ; c'est le fondement de la confiance qui rend une bonne recherche possible.
Essayez par vous-même
QUALLEE mène des entretiens assistés par IA qui sont conformes dès le départ. Serveurs en Allemagne, pas de biométrie, transparence totale. Un entretien dure environ 20 à 30 minutes.