Systèmes d'IA à haut risque du règlement IA de l'UE : Guide complet de classification
Les systèmes d'IA à haut risque dans le cadre du règlement IA de l'UE sont des systèmes d'IA classifiés dans l'une des 8 catégories de l'Annexe III — couvrant la biométrie, les infrastructures critiques, l'éducation, l'emploi, les services essentiels (notamment le scoring de crédit et les assurances), les forces de l'ordre, la migration et la justice — ou des systèmes d'IA qui sont des composants de sécurité de produits réglementés par la législation existante sur la sécurité des produits de l'UE figurant à l'Annexe I. Ces systèmes doivent satisfaire à 14 obligations obligatoires des fournisseurs en vertu des Art. 9–15 avant le 2 août 2026, notamment la gestion des risques, la gouvernance des données, la documentation technique et l'évaluation de la conformité, avec des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial en cas de non-conformité (Art. 99). La Commission européenne estime que 15 % de tous les systèmes d'IA dans l'UE seront classifiés comme à haut risque selon ces dispositions — environ 300 000 systèmes.
Ce guide fournit la décomposition définitive de chaque catégorie à haut risque, explique les deux voies de classification, détaille toutes les obligations et inclut un organigramme décisionnel pour déterminer si votre système d'IA est concerné.
Effectuez l'évaluation gratuite de préparation à l'AI Act pour classifier vos systèmes d'IA de manière interactive.
Deux voies vers la classification à haut risque (Art. 6)
Le règlement IA définit les systèmes d'IA à haut risque par deux voies distinctes en vertu de l'Article 6.
Voie 1 : Législation sur la sécurité des produits (Art. 6(1), Annexe I)
Systèmes d'IA qui sont des composants de sécurité de produits couverts par la législation d'harmonisation de l'UE figurant à l'Annexe I — notamment machines, jouets, dispositifs médicaux, aviation civile, véhicules à moteur, équipements marins, systèmes ferroviaires et équipements de protection individuelle. Ces systèmes d'IA doivent subir une évaluation de conformité en vertu de la législation produit pertinente.
Exemple : Un système d'IA qui contrôle le freinage dans les véhicules autonomes est un composant de sécurité au titre du règlement sur les véhicules à moteur.
Voie 2 : Haut risque autonome (Art. 6(2), Annexe III)
Systèmes d'IA listés à l'Annexe III dans 8 catégories d'utilisation. Ce sont des classifications autonomes à haut risque basées sur la finalité prévue du système d'IA.
L'exception Art. 6(3)
Un système d'IA listé à l'Annexe III n'est pas à haut risque s'il :
- Ne présente pas de risque significatif de préjudice pour la santé, la sécurité ou les droits fondamentaux
- N'influence pas matériellement le résultat de la prise de décision
- Est destiné à effectuer une tâche procédurale étroite
- Est destiné à améliorer le résultat d'une activité humaine précédemment accomplie
- Est destiné à détecter des modèles de prise de décision sans remplacer l'évaluation humaine
Important : Les fournisseurs invoquant cette exception doivent documenter leur évaluation avant de mettre le système sur le marché et notifier l'autorité nationale compétente concernée.
Les 8 catégories de l'Annexe III
Catégorie 1 : Identification et catégorisation biométriques
Systèmes concernés :
- Systèmes d'identification biométrique à distance (reconnaissance faciale pour l'identification)
- Systèmes de catégorisation biométrique classifiant des individus par attributs sensibles
- Systèmes de reconnaissance des émotions (lorsqu'utilisés dans des contextes ne relevant pas des interdictions Art. 5)
Exemples concrets :
- Reconnaissance faciale aéroportuaire pour la vérification d'identité
- Systèmes de surveillance des émotions des employés (contextes limités)
- Systèmes d'estimation de l'âge en point de vente
Distinction clé : L'identification biométrique en temps réel dans les espaces publics à des fins répressives est interdite en vertu de l'Art. 5, sauf exceptions étroites (terrorisme, enfants disparus, infractions pénales spécifiques avec autorisation judiciaire).
Statistique : L'Association européenne de biométrie estime que plus de 12 000 systèmes d'IA biométriques opèrent dans l'UE, dont environ 3 000 susceptibles d'être classifiés à haut risque.
Catégorie 2 : Gestion des infrastructures critiques
Systèmes concernés :
- Systèmes d'IA utilisés comme composants de sécurité dans la gestion et l'exploitation d'infrastructures numériques critiques, de trafic routier et de fourniture d'eau/gaz/chauffage/électricité
Exemples concrets :
- IA contrôlant l'équilibrage de charge du réseau électrique
- IA de gestion du trafic optimisant la synchronisation des feux
- Systèmes d'IA surveillant les processus de traitement des eaux
- IA de maintenance prédictive pour l'infrastructure énergétique
Chevauchement réglementaire : Ces systèmes relèvent souvent aussi des exigences NIS2 relatives aux infrastructures critiques et de DORA pour les infrastructures de marchés financiers.
Catégorie 3 : Éducation et formation professionnelle
Systèmes concernés :
- IA déterminant l'accès à ou l'affectation dans des établissements d'enseignement
- IA évaluant les résultats d'apprentissage
- IA évaluant les niveaux d'enseignement appropriés
- IA surveillant les comportements interdits pendant les examens (proctoring)
Exemples concrets :
- IA de présélection des candidatures universitaires
- Systèmes automatisés de notation des dissertations
- Proctoring d'examens assisté par IA pour détecter la triche
- Systèmes de prédiction des performances étudiantes
Statistique clé : Une étude UNESCO 2025 a révélé que 47 % des universités européennes utilisent au moins un système d'IA qui serait classifié à haut risque sous l'Annexe III.
Catégorie 4 : Emploi et gestion des travailleurs
Systèmes concernés :
- IA pour le recrutement et la sélection (filtrage de CV, évaluation d'entretiens)
- IA prenant des décisions de promotion, licenciement ou attribution de tâches
- IA surveillant et évaluant les performances et comportements des travailleurs
- Systèmes d'IA dans les relations de travail
Exemples concrets :
- Outils de filtrage de candidatures
- Notation d'entretiens vidéo assistée par IA
- Analytique des performances des employés
- IA d'optimisation de la planification des effectifs
- Surveillance de productivité pilotée par IA
Statistique clé : LinkedIn rapporte que 67 % des responsables du recrutement européens utilisent des outils assistés par IA, dont la majorité nécessitera une conformité Art. 9–15.
Catégorie 5 : Accès aux services essentiels
Systèmes concernés :
- IA évaluant l'éligibilité aux prestations d'assistance publique
- IA utilisée dans le scoring de crédit et l'évaluation de la solvabilité
- IA pour l'évaluation des risques et la tarification dans les assurances vie et santé
- IA pour la priorisation des interventions des services d'urgence
Exemples concrets :
- Modèles de scoring de crédit bancaire
- Algorithmes de tarification des risques d'assurance
- Détermination d'éligibilité aux prestations gouvernementales
- IA de priorisation des interventions d'urgence
Il s'agit de la catégorie la plus large pour les services financiers. Chaque banque, assureur et fintech utilisant l'IA pour des décisions de crédit ou de tarification doit se conformer.
Statistique clé : L'ABE estime que plus de 85 % des banques de l'UE utilisent l'IA dans l'évaluation du risque de crédit, ce qui en fait la catégorie la plus touchée en volume.
Catégorie 6 : Forces de l'ordre
Systèmes concernés :
- IA évaluant le risque qu'une personne physique commette ou récidive une infraction
- IA utilisée comme détecteur de mensonge ou outils similaires
- IA évaluant la fiabilité des preuves
- IA évaluant le risque qu'une personne physique soit victime
Important : La police prédictive basée uniquement sur le profilage est interdite en vertu de l'Art. 5. Les outils d'IA utilisés par les forces de l'ordre à des fins d'enquête spécifiques peuvent être à haut risque plutôt qu'interdits.
Catégorie 7 : Migration, asile et contrôle aux frontières
Systèmes concernés :
- IA utilisée comme détecteur de mensonge ou pour la reconnaissance des émotions aux frontières
- IA évaluant les risques posés par des individus aux points de passage frontaliers
- IA aidant à l'examen des demandes d'asile ou de visa
- IA utilisée pour la vérification d'identité dans les contextes migratoires
Catégorie 8 : Administration de la justice et processus démocratiques
Systèmes concernés :
- IA aidant les autorités judiciaires à rechercher et interpréter les faits et le droit
- IA aidant les autorités judiciaires à appliquer le droit à des faits concrets
- IA utilisée pour influencer le résultat d'élections ou de référendums
Note : Les systèmes d'IA purement pour des tâches administratives (planification, gestion documentaire) ne sont pas couverts.
Votre système d'IA est-il à haut risque ? Organigramme décisionnel
DÉPART : Vous développez/déployez un système d'IA dans l'UE
│
▼
Est-ce un composant de sécurité d'un produit Annexe I ?
│
├── OUI → À HAUT RISQUE (Voie 1)
│
└── NON
│
▼
Relève-t-il de l'une des 8 catégories Annexe III ?
│
├── NON → Pas à haut risque (vérifier Art. 50 transparence)
│
└── OUI
│
▼
L'exception Art. 6(3) s'applique-t-elle ?
(tâche procédurale étroite, pas de risque significatif,
pas d'influence matérielle sur les décisions)
│
├── OUI → Pas à haut risque (documenter & notifier l'autorité)
│
└── NON → À HAUT RISQUE (Voie 2)
→ Doit respecter Art. 9-15
→ Évaluation de conformité requise (Art. 43)
→ Enregistrement dans la base de données UE (Art. 49)
Obligations des fournisseurs pour l'IA à haut risque (Art. 9–15)
| Obligation | Article | Résumé |
|---|---|---|
| Gestion des risques | Art. 9 | Identification, analyse, évaluation, atténuation continues des risques |
| Gouvernance des données | Art. 10 | Qualité des données d'entraînement, représentativité, examen des biais |
| Documentation technique | Art. 11 | Documentation Annexe IV avant la mise sur le marché |
| Tenue de registres | Art. 12 | Journalisation automatique des événements, conservation minimale 6 mois |
| Transparence | Art. 13 | Instructions d'utilisation fournies aux déployeurs |
| Supervision humaine | Art. 14 | Conception pour une supervision et une intervention humaines effectives |
| Précision & robustesse | Art. 15 | Niveaux de précision appropriés, résilience contre erreurs et attaques |
| Gestion de la qualité | Art. 17 | Système de gestion de la qualité couvrant les processus de conformité |
| Évaluation de conformité | Art. 43 | Auto-évaluation (Annexe VI) ou tierce partie (Annexe VII) |
| Déclaration UE de conformité | Art. 47 | Déclaration formelle selon Annexe V |
| Marquage CE | Art. 48 | Apposer le marquage CE sur le système ou la documentation |
| Enregistrement | Art. 49 | Enregistrement dans la base de données UE avant la mise sur le marché |
| Surveillance post-commercialisation | Art. 72 | Système de surveillance proportionné pour les systèmes déployés |
| Signalement d'incidents | Art. 73 | Signaler les incidents graves dans les 15 jours |
Obligations des déployeurs (Art. 26)
Les déployeurs (utilisateurs) d'IA à haut risque ont également des obligations :
- Utiliser le système conformément aux instructions d'utilisation
- Affecter du personnel de supervision humaine compétent
- Surveiller le fonctionnement du système et signaler les dysfonctionnements
- Réaliser une analyse d'impact sur la protection des données si applicable (lien avec RGPD Art. 35)
- Informer les personnes concernées qu'elles sont soumises à une prise de décision par IA à haut risque
Foire aux questions
Comment savoir si mon système d'IA est à haut risque ?
Suivez l'organigramme décisionnel ci-dessus. Vérifiez d'abord si c'est un composant de sécurité d'un produit Annexe I. Vérifiez ensuite s'il relève de l'une des 8 catégories Annexe III. Si oui, vérifiez si l'exception Art. 6(3) s'applique. En cas de doute, classifiez comme à haut risque — les conséquences d'une sous-classification sont bien plus graves que le coût de la conformité.
Que faire si mon système d'IA couvre plusieurs catégories Annexe III ?
Il ne doit être classifié à haut risque qu'une seule fois. Les obligations sont les mêmes quelle que soit la catégorie qui déclenche la classification. Cependant, votre système de gestion des risques doit adresser les risques de toutes les catégories applicables.
Mon système d'IA peut-il devenir à haut risque après le déploiement ?
Oui. Si vous modifiez la finalité prévue ou le contexte de déploiement d'un système d'IA de sorte qu'il relève désormais de l'Annexe III, il devient à haut risque et doit satisfaire à toutes les obligations. C'est pourquoi la surveillance continue et la révision de la classification sont importantes.
Quelle est la différence entre IA à haut risque et IA interdite ?
L'IA interdite (Art. 5) ne peut pas être utilisée du tout — elle est complètement bannie. L'IA à haut risque (Art. 6, Annexe III) peut être utilisée mais doit satisfaire à des exigences de conformité strictes. La ligne peut être fine : la police prédictive basée uniquement sur le profilage est interdite, mais l'IA aidant des enquêtes répressives spécifiques est à haut risque.
Quel est le coût de la conformité à l'IA à haut risque par système ?
La Commission européenne estime 6 000–7 500 EUR pour la mise en place du système de gestion des risques et 3 000–7 500 EUR pour l'évaluation de la conformité par système d'IA à haut risque. Les coûts de conformité totaux de la première année vont typiquement de 20 000–45 000 EUR par système, bien que l'automatisation via des plateformes comme Matproof puisse réduire cela de 40–70 %.