L'essentiel
- 4 secteurs critiques où la quasi-totalité des usages IA tombe en haut-risque : RH, banque/assurance, santé, éducation
- Autorités sectorielles compétentes en France : CNIL (toujours), ACPR (banque/assurance), ANSM (santé), HAS (parcours soins), ARCEP (télécoms), ARCOM (audiovisuel)
- FRIA Article 27 obligatoire pour banque, assurance, énergie, écoles privées sous contrat, hôpitaux (opérateurs de service public)
- 13 secteurs couverts dans ce guide : RH, banque, santé, éducation, assurance, énergie, retail, transport, immobilier, conseil, IT/SaaS, public, agroalimentaire
1. Pourquoi une approche sectorielle ?
Le Règlement (UE) 2024/1689 ne classe pas les obligations par secteur d'activité, mais par type d'usage du système IA. Pour autant, certains secteurs concentrent statistiquement les usages haut-risque (Annexe III), et chaque secteur s'articule avec ses autorités sectorielles propres (ACPR pour la banque, ANSM pour la santé, ARCEP pour les télécoms, etc.). Cette page synthétise les obligations spécifiques par secteur pour permettre à chaque PME de calibrer rapidement sa démarche de conformité.
2. Les 4 secteurs critiques (haut-risque par défaut)
2.1 Ressources Humaines et recrutement
Annexe III §4FRIA si privé sous contratCSE Art. 26(7)
Tous les outils d'aide au recrutement (ATS scoring CV, plateformes de présélection, outils de gamification, scoring talents internes) sont qualifiés haut-risque par l'Annexe III §4 — emploi, gestion des travailleurs. Cela impose :
- Registre AIMS détaillé pour chaque outil RH IA
- AISIA par outil (Doc 06)
- Information explicite des candidats sur l'usage d'IA dans la décision (Art. 26(11) + Art. 86)
- Consultation des représentants du personnel (CSE) avant déploiement (Art. 26(7))
- Procédure de réclamation pour les candidats refusés (droit de réexamen humain)
- Articulation avec le Code du travail (CDD, intérim, stage, alternance — tous concernés)
2.2 Banque et services financiers
Annexe III §5FRIA obligatoire (opérateur service public)ACPR + CNIL
Le scoring crédit, l'évaluation de solvabilité, la détection de fraude et l'aide à la décision KYC sont haut-risque par l'Annexe III §5 — accès aux services essentiels. Les établissements régulés par l'ACPR sont qualifiés d'opérateurs de service public au sens de l'Article 27, ce qui rend la FRIA obligatoire avant tout déploiement.
- FRIA notifiée à l'autorité de surveillance avant mise en service (CNIL ou ACPR selon l'angle)
- Articulation avec la directive CRD VI et le Cyber Resilience Act
- Documentation Annexe IV requise si vous développez votre propre modèle de scoring (rôle de fournisseur)
- Information renforcée des clients refusés (Art. 22 RGPD + Art. 26(11) + Art. 86 AI Act)
2.3 Santé et dispositifs médicaux
Annexe I (MDR/IVDR)+ Annexe III §5ANSM + HAS + CNIL
Les systèmes IA d'aide au diagnostic, de tri patients ou d'analyse d'imagerie médicale tombent à l'intersection de deux régimes : Annexe I (produits régulés MDR/IVDR — Règlements 2017/745 et 2017/746) et Annexe III §5 (accès aux services essentiels). La complexité requiert souvent une délégation au fournisseur du dispositif médical pour la documentation technique Annexe IV.
- Marquage CE médical (MDR) en plus du marquage CE AI Act (Art. 48)
- Évaluation de conformité par organisme notifié (Art. 43)
- Articulation avec la HAS pour l'aide à la décision clinique
- Hébergement HDS obligatoire pour les données patients (RGPD Art. 9)
- FRIA si l'établissement de santé est public (hôpital public, CHU)
2.4 Éducation et formation
Annexe III §3FRIA si école sous contratArt. 86 information renforcée
Les systèmes d'orientation scolaire (type Parcoursup), d'évaluation algorithmique, ou de surveillance d'examens à distance sont haut-risque par l'Annexe III §3 — éducation. Les écoles privées sous contrat avec l'État sont qualifiées opérateurs de service public : FRIA obligatoire.
- FRIA pour tout établissement public ou sous contrat
- Information renforcée des élèves et parents (Art. 86)
- Procédure de recours humain en cas de décision défavorable
- Précaution renforcée pour les mineurs (Charte UE des droits fondamentaux art. 24 + RGPD art. 8)
3. Secteurs intermédiaires (haut-risque selon usage)
3.1 Assurance — souscription et fraude
L'assurance recoupe la banque (scoring solvabilité, détection fraude) au titre de l'Annexe III §5. ACPR compétente. FRIA obligatoire pour les compagnies régulées (opérateurs service public). Articulation avec le Code des assurances et la loi anti-discrimination (origine, santé, situation familiale).
3.2 Énergie et infrastructures critiques
Annexe III §2. Optimisation réseau électrique, gestion charge, supervision pipeline gaz, prédiction consommation. FRIA pour les opérateurs régulés (énergie est qualifiée d'infrastructure critique au sens de la directive NIS 2). Coordination avec l'ANSSI pour la cybersécurité.
3.3 Transport et logistique
Véhicules autonomes (Annexe I — produits régulés), optimisation flotte, prédiction maintenance. Pour les PME logistiques : usage standard d'optimisation sans haut-risque. Pour les fabricants automobiles : régime Annexe I lourd avec marquage CE et organisme notifié.
4. Secteurs majoritairement risque limité (Article 50)
4.1 Retail et e-commerce
Moteurs de recommandation, chatbots clients, prix dynamiques : généralement risque limité (Article 50). Obligation principale : informer le client qu'il interagit avec un système IA (chatbot), étiqueter les contenus générés (deepfakes publicitaires).
4.2 Conseil et services aux entreprises
Usage de ChatGPT, Claude, Copilot pour rédaction client : risque limité ou minimal selon l'usage. Charte d'usage IA stricte recommandée pour protéger la confidentialité client (Doc 09).
4.3 IT, SaaS, développement logiciel
Usage de Copilot, code generation : risque minimal. Mais si vous publiez votre propre SaaS basé sur un LLM open-source, vous devenez fournisseur GPAI (Articles 51-56) avec obligations spécifiques de transparence et de documentation modèle.
4.4 Immobilier
Évaluation algorithmique de biens, scoring locataire : la frontière haut-risque dépend de l'usage (Annexe III §5 si scoring locataire pour accès au logement). Charte d'usage et information transparente requises.
4.5 Agroalimentaire et industrie
Contrôle qualité IA, traçabilité, prédiction de pannes : risque minimal majoritairement. Charte d'usage suffit pour la majorité des PME.
5. Tableau récapitulatif par secteur
| Secteur | Niveau de risque | FRIA | Autorité | Pack regulia |
|---|---|---|---|---|
| RH / recrutement | Haut-risque (Annexe III §4) | Si secteur public ou sous contrat | CNIL + Inspection du travail | Pack Premium |
| Banque / crédit | Haut-risque (Annexe III §5) | OUI (opérateur service public) | ACPR + CNIL | Pack Premium |
| Assurance | Haut-risque (Annexe III §5) | OUI (opérateur service public) | ACPR + CNIL | Pack Premium |
| Santé / dispositif médical | Annexe I + III §5 | Si hôpital public | ANSM + HAS + CNIL | Pack Premium |
| Éducation | Haut-risque (Annexe III §3) | Si école sous contrat | CNIL + Ministère Éducation | Pack Premium |
| Énergie | Haut-risque (Annexe III §2) | OUI (opérateur) | CNIL + CRE | Pack Premium |
| Transport / logistique | Variable (Annexe I si véhicule) | Non standard | CNIL + DGITM | Pack Complet |
| Retail / e-commerce | Risque limité (Art. 50) | Non | DGCCRF + CNIL | Pack Express ou Complet |
| Conseil / services | Risque limité ou minimal | Non | CNIL | Pack Express |
| IT / SaaS | Variable (GPAI si fournisseur) | Non standard | CNIL + ARCEP | Pack Complet ou Premium |
| Immobilier | Variable (haut-risque si scoring locataire) | Non | CNIL + DGCCRF | Pack Express ou Complet |
| Agroalimentaire / industrie | Risque minimal | Non | CNIL + DGCCRF | Pack Express |
| Public (administrations, collectivités) | Haut-risque (déployeur public) | OUI systématique | CNIL + DINUM | Pack Premium |
Pack documentaire AI Act adapté à votre secteur
Le formulaire intelligent regulia détecte automatiquement votre secteur et adapte le contenu des 13 documents : sources réglementaires sectorielles, autorités compétentes, contenus AISIA spécifiques, FRIA si applicable.
Démarrer mon pack — dès 299 €