Classification des risques IA Act : tableau complet 2026

Q: Quels sont les risques 'haut' pour les PME ?

Les risques 'haut' concernent les systèmes d'IA ayant un impact significatif sur la sécurité publique ou les droits fondamentaux. Pour les PME, cela inclut les systèmes biométriques d'accès, les algorithmes de décision pour la justice, ou la surveillance massifi. Ces systèmes nécessitent une autorisation préalable de l'ANSSI.

Q: Comment évaluer le niveau de risque de mon système d'IA ?

Utilisez le tableau officiel sur artificialintelligenceact.eu en répondant à 3 critères : impact sur les droits fondamentaux, impact sur la sécurité publique, et nature des données traitées. Le service desk européen (ai-act-service-desk.ec.europa.eu) propose également un outil d'auto-évaluation pour les PME.

Q: Quelles sont les sanctions pour une classification erronée ?

Une classification erronée peut entraîner des amendes allant jusqu'à 7% du chiffre d'affaires annuel (art. 83 EU AI Act) et des poursuites pénales. Les PME doivent consulter /ai-act-sanctions-pme-amendes/ pour comprendre les risques spécifiques et les procédures de conformité.

Q: Dois-je classer tous mes systèmes d'IA ?

Oui, tous les systèmes d'IA utilisés par la PME doivent être classifiés selon l'IA Act 2026. Cela inclut les systèmes internes et externes, même si ceux-ci sont hébergés par des fournisseurs tiers. Consultez le glossaire régulia.fr pour comprendre les définitions techniques.

Q: Quelles sont les obligations minimales pour les risques 'faible' ?

Pour les risques 'faible', les PME doivent mettre en place des mesures de transparence minimale : documenter l'utilisation de l'IA, informer les utilisateurs de la présence d'IA, et garantir que les systèmes respectent les principes de base de l'IA (ex : non-discrimination). Ces obligations sont détaillées dans l'Article 52 de l'EU AI Act.

L'essentiel en 30 secondes

- Le Règlement (UE) 2024/1689 (EU AI Act) hiérarchise les systèmes d'IA en quatre niveaux : inacceptable, élevé, limité, minimal. - Les pratiques interdites (Article 5) sont prohibées depuis le 2 février 2025, sans dérogation possible pour les PME. - Les systèmes à risque élevé listés à l'Annexe III (recrutement, scoring de crédit, biométrie) déclenchent une analyse d'impact sur les droits fondamentaux (Article 27). - Les systèmes à risque limité (chatbots, deepfakes) imposent des obligations de transparence (Article 50). - Les sanctions vont jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites (Article 99) — plafonds adaptés pour les PME. - Auto-évaluez votre cas via le service desk de l'AI Office et le tableau de notre [pilier AI Act PME](/ai-act-pme-france/).

La classification des risques constitue la colonne vertébrale du Règlement (UE) 2024/1689 du 13 juin 2024, dit « EU AI Act ». Sans diagnostic précis, aucune mise en conformité n'est possible. Pour une PME française qui déploie un chatbot, un logiciel RH ou un module de scoring, comprendre où se situe chaque système conditionne le budget, le calendrier et le niveau de documentation à produire.

Cet article détaille les quatre niveaux officiels, les obligations associées et la méthode d'auto-classement recommandée par la CNIL et l'AI Office européen.

1. La classification officielle des risques IA Act 2026

Le Règlement (UE) 2024/1689 adopte une approche fondée sur le risque (« risk-based approach »). Quatre niveaux structurent l'ensemble du texte. Chaque niveau déclenche un régime juridique distinct, du plus contraignant au plus souple.

Niveau	Désignation officielle	Base légale	Régime
1	Risque inacceptable	Article 5	Pratiques interdites
2	Risque élevé (haut risque)	Article 6 + Annexe III	Conformité ex ante stricte
3	Risque limité (modéré)	Article 50	Obligations de transparence
4	Risque minimal (faible)	Implicite	Codes de conduite volontaires

Les critères de classement reposent sur deux dimensions cumulatives : l'impact potentiel sur les droits fondamentaux protégés par la Charte de l'Union européenne, et la fonction réelle du système dans un cas d'usage à enjeu (santé, justice, emploi, éducation, sécurité, services essentiels). Le calendrier d'application s'étale jusqu'au 2 août 2027 pour les systèmes intégrés à des produits régulés (Annexe I).

Pour la majorité des PME françaises, le diagnostic se résume à trois questions. Mon système relève-t-il d'une pratique interdite à l'Article 5 ? Figure-t-il dans la liste de l'Annexe III ? Interagit-il directement avec une personne physique ?

2. Le risque inacceptable : pratiques interdites depuis février 2025

L'Article 5 énumère huit pratiques d'IA strictement interdites sur le territoire de l'Union. Ces interdictions s'appliquent depuis le 2 février 2025, sans phase transitoire ni dérogation pour les PME.

Les pratiques visées incluent : la manipulation subliminale ou exploitant des vulnérabilités, le scoring social par les pouvoirs publics, la prédiction d'infractions reposant uniquement sur le profilage, la création de bases de données de reconnaissance faciale par moisson sur internet, l'inférence des émotions sur le lieu de travail ou dans l'enseignement (sauf raisons médicales ou de sécurité), la catégorisation biométrique inférant la race, les opinions politiques ou l'orientation sexuelle, et l'identification biométrique à distance en temps réel dans les espaces accessibles au public à des fins répressives (avec exceptions encadrées).

Pour une PME, le piège classique est l'analyse émotionnelle d'employés via webcam, justifiée comme outil de productivité. Cette pratique entre dans le champ de l'Article 5(1)(f). Aucun consentement, aucune politique interne ne peut la légaliser. Le risque financier maximum atteint 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel selon l'Article 99, paragraphe 3, le plus élevé des deux montants étant retenu.

3. Le risque élevé : conformité stricte selon l'Annexe III

L'Article 6 définit deux voies d'entrée dans la catégorie haut risque. Première voie : le système est un composant de sécurité d'un produit régulé par la législation d'harmonisation listée à l'Annexe I (jouets, dispositifs médicaux, équipements radio…). Seconde voie : le système relève d'un des huit domaines de l'Annexe III.

Domaine Annexe III	Exemples concrets pour PME
Biométrie	Contrôle d'accès biométrique au site
Infrastructures critiques	IA de gestion d'un réseau d'eau privé
Éducation et formation	Notation automatisée d'examens
Emploi et RH	Tri de CV, évaluation de candidats
Services essentiels privés	Scoring de crédit, tarification d'assurance
Application de la loi	Outils d'aide à l'enquête (rare en PME)
Migration et frontières	Hors champ PME standard
Justice et processus démocratiques	Aide à la décision judiciaire

Les obligations cumulent : système de gestion des risques (Article 9), gouvernance des données d'entraînement (Article 10), documentation technique (Article 11 + Annexe IV), tenue de logs (Article 12), transparence vis-à-vis des déployeurs (Article 13), supervision humaine (Article 14), exactitude et cybersécurité (Article 15). S'y ajoute l'analyse d'impact sur les droits fondamentaux (Article 27) lorsque le déployeur est un organisme public ou un fournisseur de services essentiels privés.

La majorité des éditeurs RH français commercialisent des outils relevant du point 4 de l'Annexe III. Toute PME utilisatrice d'un ATS doté de scoring automatisé devient « déployeur » au sens de l'Article 3(4) et hérite d'obligations propres : usage conforme à la notice, supervision humaine effective, conservation des logs, information des personnes concernées. Consultez notre pilier AI Act pour PME pour le détail opérationnel.

Vous ne savez pas si votre système est à haut risque ?

Téléchargez gratuitement notre grille de qualification Annexe III, conforme au texte consolidé de juin 2024. 14 questions, 10 minutes, verdict immédiat.

Recevoir la grille de qualification

4. Le risque limité : obligations de transparence (Article 50)

L'Article 50 cible les systèmes qui interagissent directement avec des personnes physiques sans constituer un haut risque. Trois cas dominent dans les PME françaises.

Premier cas : les chatbots et agents conversationnels. Le fournisseur doit concevoir le système de telle sorte que l'utilisateur soit informé qu'il interagit avec une IA, sauf si cela résulte de manière évidente du contexte d'usage. La mention « Vous échangez avec un assistant virtuel » placée en début de conversation suffit.

Deuxième cas : les contenus synthétiques. Tout système générant des images, audios, vidéos ou textes (IA générative) doit marquer ses sorties dans un format lisible par machine et détectable comme artificiel. L'obligation pèse sur le fournisseur du modèle, mais le déployeur doit assurer la traçabilité côté usage.

Troisième cas : les deepfakes et textes publiés au nom de l'intérêt public. L'Article 50, paragraphe 4, impose un étiquetage explicite. Les contenus artistiques ou satiriques bénéficient d'un régime allégé, à condition que la nature artificielle soit révélée de manière proportionnée.

Pour une PME qui déploie un chatbot d'assistance commerciale, l'obligation tient en trois lignes de mention légale et une journalisation des interactions. Coût réel : faible. Risque de non-conformité : amende jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Article 99, paragraphe 4), avec plafonds réduits pour les PME (Article 99, paragraphe 6).

5. Le risque minimal : codes de conduite volontaires

Les systèmes ne relevant d'aucune des trois catégories précédentes constituent la catégorie résiduelle. Filtres anti-spam, IA de recommandation produit, optimisation logistique interne, jeux vidéo : aucune obligation contraignante au titre du Règlement.

L'Article 95 encourage néanmoins l'adhésion à des codes de conduite volontaires. Ces codes, élaborés sous l'égide de l'AI Office, couvrent la gouvernance, la documentation des données, l'évaluation environnementale et l'accessibilité. Pour une PME, signer un code de conduite n'est pas obligatoire mais devient un argument commercial face à des grands comptes exigeant une démonstration de maturité IA.

L'adhésion volontaire ne crée pas de risque juridique supplémentaire. Elle structure la documentation interne et prépare à une éventuelle reclassification du système si son usage évolue vers un domaine de l'Annexe III.

6. Tableau comparatif des obligations par niveau

Critère	Inacceptable	Élevé	Limité	Minimal
Base légale	Art. 5	Art. 6 + Annexe III	Art. 50	Hors champ
Mise sur le marché	Interdite	Conditionnée à conformité	Libre + transparence	Libre
Évaluation de conformité	N/A	Obligatoire (Art. 43)	Auto-déclarative	N/A
Documentation technique	N/A	Annexe IV complète	Notice utilisateur	Recommandée
Marquage CE	N/A	Obligatoire	Non requis	Non requis
Enregistrement base UE	N/A	Obligatoire (Art. 49)	Non requis	Non requis
Supervision humaine	N/A	Obligatoire (Art. 14)	Recommandée	Libre
FRIA (Art. 27)	N/A	Obligatoire pour déployeurs publics et services essentiels	Non	Non
Sanction max	35 M€ / 7 % CA	15 M€ / 3 % CA	15 M€ / 3 % CA	Pas d'amende AI Act

Pour la version exhaustive croisée avec les exigences ISO/IEC 42001:2023, consultez notre page sources officielles.

7. Sanctions et amendes pour non-conformité

L'Article 99 fixe trois niveaux de sanctions financières applicables depuis le 2 août 2025.

Premier palier — pratiques interdites de l'Article 5 : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial total de l'exercice précédent. Le montant le plus élevé prévaut.

Deuxième palier — manquements aux obligations applicables aux systèmes à haut risque, aux modèles d'usage général, aux obligations de transparence : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial.

Troisième palier — fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités : jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial.

L'Article 99, paragraphe 6, prévoit un régime spécifique pour les PME et start-ups : le plafond appliqué est le plus bas des deux montants (et non le plus élevé), ce qui réduit significativement l'exposition financière. Notre dossier sanctions et amendes AI Act pour PME détaille les cas d'application et propose un simulateur.

Au-delà de l'amende, la non-conformité peut entraîner le retrait du système du marché européen, l'interdiction de mise en service, et le rappel des produits déjà déployés (Article 79). L'autorité française compétente pour la surveillance du marché sera désignée par décret ; la CNIL conserve son rôle pour les questions de données personnelles imbriquées.

8. Outils pour la classification des risques

Trois ressources officielles permettent à une PME de procéder à un auto-classement fiable.

L'AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) propose un outil interactif de qualification. Le système pose une série de questions sur le domaine d'usage, le type de décision automatisée et la nature des données traitées. La réponse oriente vers la catégorie de risque applicable et liste les articles à respecter.

Les fiches pratiques de la CNIL (cnil.fr) couvrent l'articulation entre AI Act et RGPD. Sept fiches publiées en 2024 et complétées en 2025 traitent du diagnostic, des bases légales, du traitement des données d'entraînement, de l'analyse d'impact et des droits des personnes. Pour une PME française, ces fiches constituent la première étape de qualification.

Le texte consolidé sur artificialintelligenceact.eu offre une lecture croisée des articles et des considérants, avec une fonction de recherche par mot-clé. Pour les définitions techniques (« système d'IA », « fournisseur », « déployeur », « risque significatif »), consultez notre glossaire regulia.

9. Méthode pratique en quatre étapes pour les PME

Inventorier tous les systèmes d'IA utilisés, qu'ils soient développés en interne, achetés à un éditeur ou intégrés via API (ChatGPT, Mistral, Claude, Copilot, Salesforce Einstein, etc.). Documenter le fournisseur, la fonction, les données traitées et la population concernée.
Qualifier chaque système selon le tableau de la section 6. Commencer par exclure l'Article 5 (test rapide), puis vérifier la correspondance avec l'Annexe III, puis l'Article 50.
Documenter la qualification par écrit avec date, responsable et justification. Cette traçabilité est exigée en cas de contrôle (Article 23 pour les fournisseurs, Article 26 pour les déployeurs).
Mettre en conformité selon le niveau identifié : politique d'usage pour les pratiques limitées, FRIA et documentation Annexe IV pour le haut risque, retrait immédiat pour les pratiques interdites.

L'itération annuelle s'impose. Un système faible aujourd'hui peut devenir haut risque demain si son usage glisse vers un domaine de l'Annexe III, par exemple lorsque le chatbot commercial est réutilisé pour qualifier des candidatures.

Passez à l'action sans risque réglementaire

Le pack regulia « Classification IA Act » contient 1 grille Annexe III, 1 modèle de FRIA Article 27, 1 registre de systèmes IA et 1 modèle de politique d'usage IA. Conforme au texte consolidé 2024.

Demander le pack documentaire

FAQ — Questions fréquentes des PME

Quels sont les risques 'haut' pour les PME ?

Les systèmes à haut risque (Article 6, Annexe III) les plus fréquents en PME sont : les outils de tri de candidatures et d'évaluation de performance RH, les modules de scoring crédit ou tarification d'assurance, les dispositifs biométriques de contrôle d'accès, et les IA intégrées à des dispositifs médicaux ou à des composants de sécurité de machines. La qualification dépend de la fonction effective, pas du nom commercial du logiciel.

Comment évaluer le niveau de risque de mon système d'IA ?

Procédez en trois étapes. Vérifiez d'abord l'Article 5 (pratique interdite ?). Comparez ensuite votre cas d'usage aux huit domaines de l'Annexe III. Examinez enfin si le système interagit avec une personne physique ou génère du contenu synthétique (Article 50). Le service desk de l'AI Office propose un outil interactif gratuit. La CNIL met à disposition des fiches pratiques détaillées.

Quelles sont les sanctions pour une classification erronée ?

Une qualification volontairement minimisée est traitée comme un manquement substantiel. Les amendes vont jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Article 99, paragraphe 4). Si le système qualifié à tort était en réalité une pratique interdite, le plafond monte à 35 millions d'euros ou 7 %. Pour les PME, l'Article 99(6) applique le plafond le plus bas. Notre page sanctions PME détaille les cas concrets.

Dois-je classer tous mes systèmes d'IA ?

Oui. L'obligation de qualification s'applique à tout système d'IA au sens de l'Article 3(1), qu'il soit développé en interne, fourni par un tiers (SaaS, API) ou intégré via un composant tiers. Le registre interne doit inclure les modèles d'usage général déployés en production. Consultez notre glossaire pour les définitions techniques précises.

Quelles sont les obligations minimales pour les risques 'faible' ?

Les systèmes à risque minimal ne sont soumis à aucune obligation contraignante au titre du Règlement. L'Article 95 encourage l'adhésion volontaire à des codes de conduite couvrant la documentation, la gouvernance des données et l'accessibilité. Bonne pratique recommandée : tenir un registre interne même pour les systèmes minimaux, afin de tracer une éventuelle évolution vers un usage à haut risque.

Sources officielles

Règlement (UE) 2024/1689 — texte consolidé sur EUR-Lex
AI Act — texte navigable
Commission européenne — AI Act Service Desk
CNIL — fiches pratiques IA
ISO/IEC 42001:2023 — Système de management de l'IA
Pour les ressources complémentaires regulia, consultez notre page sources

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.