L'essentiel
- 2 voies de classification haut-risque : Annexe III (8 catégories d'usage) ou Annexe I (intégration produit régulé)
- 8 catégories Annexe III : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice
- Exception Article 6(3) : un système Annexe III peut être exclu s'il ne pose pas de risque significatif pour les droits fondamentaux
- Obligations renforcées Art. 9-17 (provider) + Art. 26-27 (déployeur)
- 3 documents minimum : évaluation des risques (Art. 9), AISIA (ISO 42001), FRIA (Art. 27 si déployeur public)
1. Définition légale d'un système IA haut-risque
L'Article 6 du Règlement (UE) 2024/1689 définit deux voies pour qu'un système IA soit qualifié de haut-risque :
- Article 6(1) — le système est utilisé comme composant de sécurité d'un produit, ou est lui-même un produit, couvert par les législations harmonisées de l'Annexe I (dispositifs médicaux, machines, jouets, aviation, automobile, équipements maritimes, ascenseurs, etc.) ET ce produit est soumis à une évaluation de conformité par un tiers.
- Article 6(2) — le système entre dans l'une des 8 catégories d'usage listées à l'Annexe III.
Pour la majorité des PME françaises, c'est la voie Annexe III (Article 6(2)) qui détermine la classification haut-risque.
2. Les 8 catégories de l'Annexe III
| § | Catégorie | Exemples concrets PME |
|---|---|---|
| 1 | Biométrie — identification à distance, catégorisation, reconnaissance d'émotions | Contrôle d'accès biométrique, vérification d'identité bancaire, modération vidéo |
| 2 | Infrastructures critiques — eau, gaz, électricité, transport, télécoms | Optimisation réseau électrique, gestion trafic routier, supervision pipeline |
| 3 | Éducation et formation — accès aux établissements, évaluation, surveillance d'examens, pilotage parcours | Algorithme d'orientation Parcoursup, IA de notation, surveillance d'examens en ligne |
| 4 | Emploi, RH, gestion des travailleurs — recrutement, scoring CV, monitoring salariés, décisions de promotion ou de rupture | ATS scoring CV, outil de tri candidatures, surveillance productivité, scoring talents |
| 5 | Accès aux services publics et privés essentiels — crédit, assurance, prestations sociales, services d'urgence | Scoring crédit, souscription assurance, attribution aides sociales, triage urgences |
| 6 | Application de la loi — évaluation risques de récidive, polygraphes, vérification preuves | Police prédictive, analyse de témoignages, profilage suspects |
| 7 | Migration, asile, contrôle aux frontières — évaluation risques migratoires, examen demandes d'asile | Analyse documentaire visas, scoring risque migratoire |
| 8 | Justice et processus démocratiques — aide à la décision judiciaire, recherche jurisprudentielle automatisée, influence sur élections | IA d'aide juridictionnelle, recommandation de jurisprudence, modération de débats publics |
3. L'exception Article 6(3) — pas haut-risque malgré l'Annexe III
L'Article 6(3) prévoit qu'un système qui rentre dans une catégorie de l'Annexe III n'est pas considéré comme haut-risque s'il ne pose pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux. Quatre situations sont prévues :
- Le système est destiné à exécuter une tâche procédurale limitée
- Le système est destiné à améliorer le résultat d'une activité humaine préalablement complétée
- Le système est destiné à détecter des patterns de prise de décision ou des écarts par rapport à des patterns antérieurs et n'est pas destiné à remplacer ou influencer la décision humaine sans révision humaine appropriée
- Le système est destiné à exécuter une tâche préparatoire à une évaluation pertinente pour les cas d'usage de l'Annexe III
4. Obligations renforcées pour les fournisseurs (Articles 9-17)
Tout fournisseur d'un système IA haut-risque doit mettre en place :
- Article 9 — système de gestion des risques sur le cycle de vie
- Article 10 — gouvernance des données train/validation/test
- Article 11 + Annexe IV — documentation technique complète (cf. Doc 13)
- Article 12 — enregistrement automatique des événements (logs)
- Article 13 — transparence et instructions d'utilisation pour le déployeur
- Article 14 — mesures de supervision humaine intégrées par conception
- Article 15 — précision, robustesse, cybersécurité
- Article 16 — obligations principales du fournisseur (registre, conformité, gestion qualité)
- Article 17 — système de management de la qualité (QMS)
5. Obligations spécifiques au déployeur (Articles 26-27)
Tout déployeur d'un système IA haut-risque doit :
- Utiliser le système conformément aux instructions du fournisseur (Art. 26(1))
- Confier la supervision humaine à des personnes qualifiées (Art. 26(2))
- Tenir à jour les journaux d'événements pendant au moins 6 mois (Art. 26(6))
- Informer les représentants du personnel pour tout système IA affectant les salariés (Art. 26(7))
- Informer les personnes concernées qu'elles font l'objet d'une décision IA (Art. 26(11) + Art. 86)
- Notifier les incidents graves au fournisseur et autorités (Art. 26(5) + Art. 73)
- Pour les déployeurs publics ou opérateurs de service public : conduire une FRIA avant la mise en service (Art. 27)
6. Les 3 documents minimum pour un système haut-risque
Doc 05 — Évaluation des risques (Article 9 + ISO 42001 Cl. 6.1.2)
Analyse vraisemblance × sévérité × réversibilité (échelles 1-5) des risques modèle, données, opérationnels, sociétaux et juridiques. 1 fichier XLSX par système IA. Pré-rempli avec 25 risques sectoriels par regulia, ajustés selon votre secteur (RH, banque, santé, éducation).
Doc 06 — AISIA (ISO 42001 Cl. 6.1.2 + Annexe B)
AI System Impact Assessment qui évalue l'impact du système sur les individus, groupes et société. 12 sections détaillées : identification, contexte, sorties, populations affectées, sévérité, réversibilité, supervision humaine, classification d'impact, mitigation, gouvernance. 1 fichier DOCX+PDF par système IA.
Doc 07 — FRIA (Article 27 AI Act)
Fundamental Rights Impact Assessment obligatoire pour les déployeurs publics ou opérateurs de service public. 12 sections : description, processus, période, populations, risques par droit fondamental, supervision, mesures, information aux personnes, articulation avec DPIA, notification autorité. À transmettre à l'autorité de surveillance compétente avant la mise en service.
Pack documentaire AI Act haut-risque en 1 heure
Pack Premium 999 € + 49 €/mois inclut : évaluation des risques par système + AISIA + FRIA + documentation technique Annexe IV + monitoring trimestriel. Personnalisé pour votre PME, livré en moins d'une heure.
Démarrer mon pack Premium →7. Sanctions en cas de non-conformité haut-risque
L'Article 99(4) prévoit pour les obligations applicables aux systèmes haut-risque :
- Plafond fixe : 15 millions d'euros
- Plafond proportionnel : 3 % du chiffre d'affaires annuel mondial total
- Protection PME (Art. 99(6)) : montant le plus bas appliqué pour PME et start-up
Pour une PME de 5 M€ de CA, l'amende plafond est 150 000 € (3% × 5 M€). Voir notre page dédiée : Sanctions AI Act PME — calcul Article 99 et calculateur interactif.
8. FAQ
Qu'est-ce qu'un système IA haut-risque selon l'AI Act ?
Un système IA est qualifié haut-risque s'il entre dans l'une des 8 catégories de l'Annexe III du Règlement (UE) 2024/1689 OU s'il est intégré comme composant de sécurité dans un produit régulé par l'Annexe I.
Comment classer mon système IA selon l'Article 6 ?
L'Article 6(2) renvoie à l'Annexe III pour 8 catégories d'usage. L'Article 6(1) renvoie à l'Annexe I pour les produits régulés. L'Article 6(3) prévoit une exception si le système ne pose pas de risque significatif pour les droits fondamentaux.
Qui doit conduire une FRIA Article 27 ?
La FRIA est obligatoire pour les déployeurs publics ou opérateurs de service public utilisant un système haut-risque : banques, assurances, opérateurs énergie, écoles privées sous contrat, hôpitaux.