AI PlaybookEU

Systèmes d'IA à haut risque selon l'annexe III de la Loi sur l'IA de l'UE

Quels systèmes d'IA sont considérés comme à haut risque selon la Loi sur l'IA ? Aperçu complet des domaines de l'annexe III, exceptions selon l'art. 6(3) et toutes les obligations de conformité pour les fournisseurs et les déployeurs.

11 février 20266 min de lecture
Loi sur l'IAHaut risqueAnnexe IIIClassification des risquesConformitéMarquage CE

Aperçu

L'approche basée sur les risques est le pilier central de la Loi sur l'IA de l'UE. Alors que les pratiques interdites ne couvrent qu'un domaine restreint et clairement défini, l'accent réglementaire porte sur les systèmes d'IA à haut risque.

Ces systèmes ne sont pas interdits -- mais ils sont soumis à des exigences de conformité étendues. Pour de nombreuses entreprises, c'est là que réside le plus grand risque réglementaire, car les classifications à haut risque surviennent souvent de manière inattendue.

Cet article explique :

  • Ce que l'annexe III couvre concrètement
  • Quand un système n'est pas à haut risque malgré son appartenance au champ d'application
  • Quelles exceptions s'appliquent en vertu de l'art. 6(3)
  • Quelles obligations doivent être remplies

Que signifie « haut risque » ?

Un système d'IA est considéré comme à haut risque lorsque :

  1. Il est déployé dans l'un des domaines définis à l'annexe III ou
  2. Il constitue un composant de sécurité d'un produit réglementé (p. ex. un dispositif médical)

Important

« Haut risque » ne signifie pas qu'un système est dangereux. Cela signifie que le législateur identifie un potentiel significatif d'atteinte aux droits fondamentaux.

Les 8 domaines de l'annexe III

1. Identification biométrique

Exemples :

  • Reconnaissance faciale
  • Reconnaissance vocale
  • Biométrie comportementale

Risque : Atteinte à la vie privée, abus de la surveillance étatique.

2. Infrastructures critiques

Exemples :

  • Gestion du réseau électrique
  • Systèmes de gestion du trafic
  • Approvisionnement en eau

Risque : Défaillances système aux conséquences significatives pour la société.

3. Éducation et formation professionnelle

Exemples :

  • Notation d'examens assistée par l'IA
  • Sélection pour l'admission universitaire
  • Prédictions de performances d'apprentissage

Risque : Traitement inégal, désavantages durables.

4. Emploi et ressources humaines

Exemples :

  • Tri de CV
  • Analyse d'entretiens vidéo
  • Évaluation des performances
  • Décisions de promotion

Risque : Discrimination, manque de transparence.

5. Accès aux services essentiels

Exemples :

  • Scoring de crédit
  • Évaluation des risques d'assurance
  • Évaluation des prestations sociales

Risque : Exclusion financière, désavantage social.

6. Application de la loi

Exemples :

  • Prédiction du risque de criminalité
  • Analyse de preuves
  • Identification de suspects

Risque : Décisions erronées aux conséquences graves.

7. Migration et contrôle aux frontières

Exemples :

  • Décisions de visa
  • Examen des demandes d'asile
  • Analyse des risques à l'entrée

8. Justice et processus démocratiques

Exemples :

  • Aide à la décision pour les juges
  • Systèmes d'IA influençant les élections

Quand un système N'EST PAS à haut risque malgré son appartenance au champ d'application ?

L'art. 6(3) prévoit des exceptions.

Un système n'est pas à haut risque s'il :

  • est purement auxiliaire
  • ne contient pas de logique de décision autonome
  • ne cause pas d'atteinte significative
  • fournit uniquement des analyses préparatoires

Éviter les erreurs d'appréciation

« Purement auxiliaire » ne constitue pas automatiquement une exception. Le facteur déterminant est de savoir si le système exerce effectivement un pouvoir de décision.

Cas limites typiques

ScénarioHaut risque ?Évaluation
Pré-tri de CV avec rejet automatiqueOuiEmploi (Annexe III)
Analyse de CV avec score uniquement pour le support RHPossibleExamen selon l'art. 6(3)
Indicateur de risque de crédit sans rejet automatiqueProbableService essentiel
Analyse de productivité interne sans conséquences RHProbablement pasPas un domaine de l'annexe III

Les 7 exigences centrales de conformité

Chaque système à haut risque nécessite :

  1. Système de gestion des risques
  2. Concept de gouvernance des données
  3. Documentation technique
  4. Journalisation automatique
  5. Informations de transparence
  6. Supervision humaine
  7. Exactitude, robustesse, cybersécurité

En outre :

  • Évaluation de la conformité
  • Marquage CE
  • Enregistrement dans la base de données de l'UE

Gestion des risques en détail

Le système de gestion des risques doit :

  • Identifier les risques
  • Évaluer les risques
  • Atténuer les risques
  • Surveiller en continu

Il s'agit d'un processus vivant, et non d'un document ponctuel.

Documentation technique

Celle-ci doit contenir, entre autres :

  • Description du système
  • Finalité prévue
  • Description des données d'entraînement
  • Procédures de test
  • Indicateurs de performance
  • Mécanismes de supervision humaine
  • Mesures de sécurité

Accès au marché menacé

Sans documentation technique complète, un système à haut risque ne peut pas être mis sur le marché.

Supervision humaine

Les fournisseurs doivent s'assurer que :

  • Les humains comprennent le système
  • L'intervention est possible
  • L'arrêt est possible
  • Les décisions erronées peuvent être corrigées

Obligations des déployeurs

Les fournisseurs ne sont pas les seuls concernés.

Les déployeurs doivent :

  • Utiliser les systèmes conformément à leur finalité prévue
  • Assurer la qualité des données d'entrée
  • Garantir la supervision humaine
  • Réaliser une évaluation de l'impact sur les droits fondamentaux pour certains systèmes

Lien avec le RGPD

De nombreux systèmes à haut risque impliquent des données à caractère personnel.

Cela signifie une application parallèle de :

  • RGPD (p. ex. art. 22 décisions automatisées)
  • Analyse d'impact relative à la protection des données
  • Obligations de transparence

Mise en œuvre pratique

Étape 1 -- Délimitation du système

  • Quel est le système d'IA ?
  • Quelle fonction remplit-il ?
  • Qui est le fournisseur, qui est le déployeur ?

Étape 2 -- Examen de l'annexe III

  • Le domaine de déploiement relève-t-il de l'un des 8 domaines ?
  • Une exception selon l'art. 6(3) s'applique-t-elle ?

Étape 3 -- Analyse des écarts

  • La documentation est-elle disponible ?
  • La gestion des risques est-elle établie ?
  • La journalisation est-elle implémentée ?

Étape 4 -- Feuille de route de conformité

  • Planification budgétaire
  • Responsabilités
  • Calendrier

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Prochaines étapes

  1. Réalisez une classification structurée des risques.
  2. Documentez la finalité et le fonctionnement de vos systèmes.
  3. Examinez attentivement les exceptions selon l'art. 6(3).
  4. Développez un système formel de gestion des risques.
  5. Planifiez l'évaluation de la conformité et le marquage CE.

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Articles connexes

Loi sur l'IA de l'UE

Périodes de transition et calendrier de la Loi sur l'IA de l'UE

Aperçu détaillé de l'entrée en vigueur, des périodes de transition et des dates d'application de la Loi sur l'IA – avec des recommandations d'action concrètes pour les entreprises.

Lire la suite

Loi sur l'IA de l'UE

Obligations des fournisseurs selon les art. 16–25 de la Loi sur l'IA de l'UE

Quelles obligations juridiques et organisationnelles s'appliquent aux fournisseurs de systèmes d'IA selon la Loi sur l'IA ? Aperçu de la gestion de la qualité, documentation technique, journalisation, transparence, marquage CE et surveillance post-commercialisation.

Lire la suite

Loi sur l'IA de l'UE

Évaluation de la conformité selon la Loi sur l'IA de l'UE

Comment fonctionne l'évaluation de la conformité pour les systèmes d'IA à haut risque selon la Loi sur l'IA ? Aperçu de l'auto-évaluation, des procédures par un tiers, du marquage CE et des étapes de mise en œuvre pratique.

Lire la suite