Guide AI Act·startbrain.ai
Guide AI Act : le guide complet pour les entreprises Article 4 : l'obligation de former tous vos collaborateurs à l'IA Classification des systèmes IA : êtes-vous concerné par le haut risque ? Pratiques IA interdites : ce que votre entreprise ne peut plus faire Sanctions AI Act : jusqu'à 35 millions d'euros d'amende Calendrier AI Act : toutes les échéances de 2024 à 2027 Checklist conformité AI Act par rôle : DPO, DRH, DSI, COMEX

Classification des systèmes IA : êtes-vous concerné par le haut risque ?

L'AI Act classe les systèmes d'IA en 4 niveaux de risque. Recrutement, crédit, santé : découvrez si vos outils IA sont considérés à haut risque.

Le coeur du dispositif : une approche par les risques

Le Règlement européen sur l’intelligence artificielle (Règlement 2024/1689) repose sur un principe fondamental : les obligations sont proportionnelles au niveau de risque. Plus un système d’IA peut affecter la vie, la santé, les droits fondamentaux ou la sécurité des personnes, plus les exigences sont strictes.

Cette approche graduée distingue l’AI Act des réglementations plus binaires. Elle permet de ne pas freiner l’innovation sur les usages à faible risque, tout en encadrant fermement les applications les plus sensibles.

Considérant 26Règlement (UE) 2024/1689

Les systèmes d’IA présentant un niveau de risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes physiques devraient être soumis à des exigences strictes avant de pouvoir être mis sur le marché de l’Union.

Les quatre niveaux de risque

1. Risque inacceptable — Systèmes interdits

Certains usages de l’IA sont purement et simplement interdits (Article 5). Le scoring social, la manipulation subliminale, l’exploitation des vulnérabilités des personnes et la reconnaissance biométrique en temps réel dans les espaces publics (sauf exceptions) sont proscrits depuis le 1er février 2025.

2. Haut risque — Systèmes soumis à des obligations renforcées

C’est la catégorie qui concerne le plus grand nombre d’entreprises. Les systèmes d’IA à haut risque sont définis aux Articles 6 et 7 et listés en détail dans l’Annexe III du règlement. Les obligations associées sont substantielles : évaluation de conformité, documentation technique, contrôle humain, gestion des risques, gouvernance des données.

3. Risque limité — Obligations de transparence

Les systèmes comme les chatbots, les générateurs de contenu (deepfakes, textes) ou les systèmes de reconnaissance d’émotions non couverts par l’interdiction sont soumis à des obligations de transparence. L’utilisateur doit savoir qu’il interagit avec une IA ou que le contenu a été généré par une IA.

4. Risque minimal — Pas d’obligations spécifiques

La grande majorité des systèmes d’IA : filtres anti-spam, recommandations de produits, correcteurs orthographiques. L’AI Act n’impose pas de contraintes spécifiques, bien que le respect de l’Article 4 sur la maîtrise de l’IA s’applique quand même à tous les déployeurs.

L’Annexe III : les systèmes à haut risque, secteur par secteur

L’Annexe III du règlement dresse la liste des domaines dans lesquels un système d’IA est considéré à haut risque. Voici les cas concrets qui concernent la plupart des entreprises.

Ressources humaines et recrutement

C’est le domaine qui surprend le plus d’entreprises. L’Annexe III, point 4 vise les systèmes d’IA utilisés dans :

Annexe III, point 4Règlement (UE) 2024/1689

L’emploi, la gestion de la main-d’œuvre et l’accès à l’emploi indépendant, notamment pour le recrutement et la sélection des personnes, pour la prise de décisions concernant les conditions des relations de travail, la promotion et la résiliation, et pour l’attribution des tâches, le suivi ou l’évaluation des performances et du comportement des personnes.

Concrètement, sont considérés à haut risque :

  • Scoring de candidats : tout algorithme qui classe, note ou filtre automatiquement des candidatures
  • Analyse de CV automatisée : outils qui présélectionnent des profils sur la base de critères automatiques
  • Chatbots de pré-qualification : assistants conversationnels qui évaluent les candidats lors du processus de recrutement
  • Systèmes d’évaluation des performances : outils IA qui analysent la productivité ou le comportement des employés
  • Outils de matching : algorithmes qui associent des profils à des postes

Si votre service RH utilise un outil de tri automatique des CV ou un chatbot de recrutement, il s’agit probablement d’un système à haut risque au sens de l’AI Act.

📄IA pour les RH : guide complet de transformation des métiers RH

Finance et assurance

L’Annexe III, point 5(b) couvre les systèmes d’IA utilisés pour :

  • Scoring de crédit : modèles qui évaluent la solvabilité des personnes physiques (à l’exception de la détection de fraude)
  • Évaluation des risques en assurance vie et santé
  • Tarification automatisée basée sur des profils individuels

Toute banque ou assurance utilisant un modèle IA pour décider d’accorder ou de refuser un crédit, ou pour fixer une prime d’assurance, est concernée. La détection de fraude est explicitement exclue du haut risque — mais attention, les systèmes de scoring qui vont au-delà de la simple détection peuvent y tomber.

Santé

L’Annexe III, point 1 englobe les systèmes d’IA qui sont des dispositifs médicaux ou des accessoires de dispositifs médicaux au sens des règlements européens sur les dispositifs médicaux. Cela inclut :

  • Aide au diagnostic : algorithmes qui analysent des images médicales ou proposent des diagnostics
  • Triage automatisé : systèmes qui orientent les patients vers des filières de soins
  • Systèmes de monitoring : dispositifs connectés avec composante IA qui surveillent des paramètres vitaux
  • Aide à la prescription : outils qui suggèrent des traitements

Éducation et formation professionnelle

L’Annexe III, point 3 vise les systèmes d’IA utilisés pour :

  • L’admission dans les établissements d’enseignement
  • La notation automatique des examens et évaluations
  • L’évaluation du niveau approprié d’enseignement pour une personne
  • Le contrôle des comportements interdits lors des examens (surveillance automatisée)

Justice et forces de l’ordre

L’Annexe III, points 6, 7 et 8 couvrent :

  • Évaluation des risques de récidive : systèmes utilisés pour évaluer la probabilité qu’une personne commette une infraction
  • Polygraphes et outils de détection d’émotions lors d’interrogatoires
  • Évaluation de la fiabilité des preuves
  • Profilage dans le cadre de la prévention et de la détection d’infractions

Infrastructures critiques

L’Annexe III, point 2 couvre les composants de sécurité de la gestion et de l’exploitation des infrastructures numériques critiques, du trafic routier et de l’approvisionnement en eau, gaz, chauffage et électricité.

Migration et contrôle aux frontières

L’Annexe III, point 7 inclut les systèmes utilisés pour l’évaluation des risques de migration irrégulière, l’examen des demandes de visa et de titres de séjour, et l’identification des personnes dans le cadre de la migration.

Les obligations concrètes pour les systèmes à haut risque

Si un ou plusieurs de vos systèmes d’IA sont classés à haut risque, voici ce que le règlement exige :

Évaluation de conformité (Articles 9 à 15)

Avant la mise sur le marché ou la mise en service, le système doit faire l’objet d’une évaluation de conformité couvrant :

  1. Système de gestion des risques (Article 9) : identification, analyse, estimation et atténuation des risques tout au long du cycle de vie du système
  2. Gouvernance des données (Article 10) : les jeux de données d’entraînement doivent être pertinents, représentatifs et exempts d’erreurs dans la mesure du possible
  3. Documentation technique (Article 11) : description détaillée du système, de ses finalités, de ses performances et de ses limitations
  4. Tenue de registres (Article 12) : journalisation automatique des événements (logs) pendant toute la durée de fonctionnement
  5. Transparence et information (Article 13) : instructions d’utilisation claires pour les déployeurs
  6. Contrôle humain (Article 14) : le système doit être conçu pour permettre un contrôle effectif par des personnes physiques
  7. Exactitude, robustesse et cybersécurité (Article 15)

Obligations spécifiques des déployeurs (Article 26)

Les entreprises qui utilisent des systèmes d’IA à haut risque (déployeurs) ont des obligations propres :

  • Utiliser le système conformément aux instructions du fournisseur
  • Assurer le contrôle humain par des personnes compétentes et formées
  • Surveiller le fonctionnement du système et signaler tout dysfonctionnement
  • Réaliser une analyse d’impact sur les droits fondamentaux (pour certains déployeurs)
  • Conserver les logs générés automatiquement pendant au moins six mois
📄Risques de l'IA en entreprise : identifier et gérer efficacement

Comment auditer vos outils IA

La première étape de la mise en conformité est de savoir exactement quels systèmes d’IA vous utilisez et dans quelle catégorie ils se situent.

1. Dresser l’inventaire complet

Listez tous les outils intégrant de l’IA dans votre organisation. N’oubliez pas :

  • Les outils embarqués dans vos logiciels existants (CRM, ERP, SIRH)
  • Les abonnements SaaS avec des fonctionnalités IA
  • Les usages informels par les collaborateurs (assistants IA, outils de génération)
  • Les développements internes

2. Classifier chaque système

Pour chaque outil identifié, déterminez :

  • Est-il un système d’IA au sens de l’Article 3(1) du règlement ?
  • Relève-t-il d’une des catégories de l’Annexe III ?
  • Quel est son niveau de risque ?

3. Évaluer l’écart de conformité

Pour chaque système à haut risque, comparez votre situation actuelle aux exigences des Articles 9 à 15 et de l’Article 26. Identifiez les écarts et priorisez les actions correctives.

4. Documenter et tracer

Constituez un dossier de conformité par système, incluant la classification, la documentation technique, les évaluations réalisées et les mesures de contrôle mises en place. Cette documentation structurée sera votre référence en cas d’audit.

5. Former les utilisateurs

Pour chaque système à haut risque, les personnes chargées du contrôle humain doivent avoir les compétences nécessaires (Article 14). Cela rejoint l’obligation de l’Article 4 sur la maîtrise de l’IA, mais avec un niveau d’exigence plus élevé : ces personnes doivent comprendre les capacités et limitations spécifiques du système qu’elles supervisent.

Le cas des systèmes d’IA à usage général

Les modèles d’IA à usage général (comme GPT-4, Claude, Gemini) font l’objet de dispositions spécifiques (Articles 51 à 56). Lorsqu’un modèle à usage général est intégré dans un système d’IA classé à haut risque, les obligations de haut risque s’appliquent au système dans son ensemble — même si le modèle sous-jacent est, en soi, un outil généraliste.

Cela signifie qu’utiliser ChatGPT pour répondre aux candidats dans un processus de recrutement peut transformer un outil “généraliste” en composant d’un système à haut risque.

Ce que ça implique pour vous

La classification de vos systèmes d’IA n’est pas un exercice théorique — c’est la pierre angulaire de votre conformité à l’AI Act. Si vous utilisez l’IA dans le recrutement, l’évaluation des performances, le scoring de crédit ou l’aide au diagnostic, vous opérez probablement des systèmes à haut risque. Chaque système concerné exige une évaluation de conformité, une documentation technique, un contrôle humain effectif et des personnes formées pour l’assurer. Commencez par l’inventaire. Aujourd’hui.