L'essentiel en 30 secondes - L'Annexe III du Règlement (UE) 2024/1689 liste 8 domaines couvrant les systèmes IA haut-risque utilisés par les PME françaises. - L'Article 6 du Règlement (UE) 2024/1689 définit deux voies de classification : produits réglementés (Annexe I) et cas d'usage sensibles (Annexe III). - Les obligations s'appliquent en cascade : système de gestion des risques, documentation technique, surveillance humaine, journalisation. - Les sanctions pour mise sur le marché d'un système haut-risque non conforme atteignent 15 M€ ou 3 % du chiffre d'affaires mondial (Art. 99 §4). - Une dérogation existe (Art. 6 §3) lorsque le système n'a pas d'incidence significative sur les droits fondamentaux — mais elle se documente. - Les PME utilisatrices (déployeurs) doivent classer le système même si elles ne l'ont pas développé.
La classification d'un système d'intelligence artificielle comme « haut-risque » n'est pas une formalité administrative. Elle déclenche un régime juridique complet : évaluation de la conformité, marquage CE, enregistrement dans la base européenne, obligations post-marché. Pour une PME française de 10 à 250 salariés, comprendre ce mécanisme conditionne le coût et le calendrier de mise en conformité avant l'entrée en application complète du Règlement le 2 août 2026.
Cet article détaille la méthode de classification pas à pas, avec les bases juridiques exactes et des cas concrets adaptés à la réalité opérationnelle d'une PME.
1. Pourquoi classer un système IA haut-risque ?
La classification n'est pas un exercice théorique. Elle détermine si votre système IA tombe dans le régime le plus exigeant du Règlement (UE) 2024/1689, communément appelé EU AI Act. Trois raisons rendent cette étape critique pour une PME.
Obligation légale directe. L'Article 6 du Règlement (UE) 2024/1689 impose la qualification du système avant toute mise sur le marché ou mise en service. Cette qualification incombe au fournisseur, mais aussi au déployeur lorsqu'il modifie substantiellement le système ou le détourne de sa finalité initiale (Art. 25 §1).
Déclenchement d'obligations en cascade. Une fois classé haut-risque, le système est soumis aux articles 8 à 17 : système de gestion des risques, gouvernance des données, documentation technique conforme à l'Annexe IV, journalisation automatique, transparence, surveillance humaine, exactitude et cybersécurité.
Protection des droits fondamentaux. La logique du législateur européen est explicite au considérant 46 : les systèmes haut-risque sont ceux dont la défaillance « peut porter gravement atteinte à la santé, à la sécurité ou aux droits fondamentaux » des personnes. Mal classer revient à exposer ses utilisateurs — et la PME à des recours.
Pour le calcul des sanctions financières associées à un manquement, consultez notre guide détaillé sur les sanctions AI Act applicables aux PME.
2. Définition des systèmes IA haut-risque (Annexe III EU AI Act)
L'Annexe III du Règlement (UE) 2024/1689 énumère 8 domaines dans lesquels un système IA est présumé haut-risque. Contrairement à une idée répandue, il ne s'agit pas de « 15 catégories » globales mais de 8 domaines subdivisés en cas d'usage. Voici la liste consolidée.
| N° | Domaine (Annexe III) | Exemples de cas d'usage |
|---|---|---|
| 1 | Biométrie | Identification biométrique à distance, catégorisation biométrique, reconnaissance d'émotions |
| 2 | Infrastructures critiques | Gestion du trafic routier, fourniture d'eau, gaz, électricité |
| 3 | Éducation et formation professionnelle | Admission, évaluation, détection de comportements interdits aux examens |
| 4 | Emploi et gestion des travailleurs | Tri de CV, évaluation de candidats, attribution de tâches, surveillance des performances |
| 5 | Accès aux services essentiels | Scoring de crédit, éligibilité à des prestations publiques, tarification assurance vie/santé, appels d'urgence |
| 6 | Application de la loi | Évaluation de la fiabilité de preuves, profilage |
| 7 | Migration, asile, contrôle aux frontières | Évaluation de risques, examen de demandes |
| 8 | Administration de la justice et processus démocratiques | Aide à l'interprétation des faits et du droit, influence sur résultats électoraux |
Les huit domaines couvrent largement le champ d'activité d'une PME. Le tri automatisé de candidatures (domaine 4) concerne déjà des milliers d'entreprises françaises utilisant des ATS dopés à l'IA.
L'Article 6 §1 prévoit en parallèle une seconde voie : tout système IA qui est un composant de sécurité d'un produit couvert par la législation d'harmonisation listée en Annexe I (jouets, dispositifs médicaux, machines, ascenseurs, etc.) est haut-risque par construction, sans qu'il soit nécessaire d'examiner l'Annexe III.
3. Critères de classification selon l'Article 6
L'Article 6 organise la classification en deux voies parallèles. Il faut tester les deux.
3.1 Voie A — Article 6 §1 : composant de sécurité d'un produit Annexe I
Un système IA est haut-risque si deux conditions cumulatives sont remplies : 1. Il est destiné à être utilisé comme composant de sécurité d'un produit couvert par la législation listée en Annexe I, ou il est lui-même un tel produit. 2. Ce produit doit faire l'objet d'une évaluation de conformité par un tiers en vertu de cette même législation.
3.2 Voie B — Article 6 §2 : cas d'usage Annexe III
Un système IA est haut-risque s'il est utilisé dans l'un des 8 domaines de l'Annexe III. La présomption est forte.
3.3 Dérogation Article 6 §3
Le Règlement (UE) 2024/1689 prévoit une exception. Un système couvert par l'Annexe III n'est pas considéré comme haut-risque s'il ne présente pas de risque important d'atteinte à la santé, à la sécurité ou aux droits fondamentaux, ET s'il remplit au moins une des quatre conditions suivantes :
| Condition (Art. 6 §3) | Description |
|---|---|
| a) Tâche procédurale étroite | Le système effectue une tâche procédurale limitée (ex : structurer des documents entrants) |
| b) Amélioration d'une activité humaine | Le système ne fait qu'améliorer le résultat d'une activité humaine déjà réalisée |
| c) Détection de patterns sans remplacer l'évaluation humaine | Le système identifie des schémas décisionnels sans se substituer à l'évaluation humaine finale |
| d) Tâche préparatoire à une évaluation Annexe III | Le système effectue une tâche préparatoire à une évaluation pertinente |
Attention : la dérogation ne s'applique jamais si le système réalise un profilage de personnes physiques (Art. 6 §3 dernier alinéa). De plus, le fournisseur qui invoque la dérogation doit documenter son évaluation et la tenir à disposition des autorités (Art. 6 §4).
Pour comprendre la terminologie utilisée ici (fournisseur, déployeur, profilage), consultez notre glossaire AI Act.
4. Processus de classification pour les PME
Voici la méthode opérationnelle en 5 étapes, applicable par une équipe interne sans cabinet d'avocats.
- Cartographier le système IA. Décrire la finalité, les données d'entrée, les sorties, le contexte d'utilisation, les utilisateurs finaux. Sans ce socle factuel, aucune classification n'est défendable.
- Tester la Voie A (Article 6 §1). Le système est-il un composant de sécurité d'un produit Annexe I (machines, dispositifs médicaux, jouets, etc.) soumis à évaluation par tiers ? Si oui, classification haut-risque automatique.
- Tester la Voie B (Article 6 §2 + Annexe III). Le cas d'usage relève-t-il d'un des 8 domaines de l'Annexe III ? Si non, le système n'est pas haut-risque (mais peut rester soumis aux obligations de transparence de l'Art. 50).
- Examiner la dérogation Article 6 §3. Si oui à l'étape 3, vérifier si l'une des 4 conditions de la dérogation s'applique. Documenter le raisonnement par écrit avant toute mise sur le marché.
- Documenter et archiver la décision. L'évaluation doit être conservée pendant 10 ans (Art. 18). Elle doit être communicable sur demande aux autorités nationales (en France, à confirmer entre CNIL et future autorité compétente désignée par la loi de transposition).
Pack documentaire AI Act pour PME
Templates de classification Art. 6, registre des systèmes IA, évaluation Annexe III, modèle de dérogation §3. Conforme au Règlement (UE) 2024/1689.
Demander le pack documentaire5. Exemples concrets pour les PME
Quatre situations rencontrées fréquemment dans les PME françaises.
5.1 Logiciel de tri de CV (ATS avec scoring IA)
Cas d'usage : une PME industrielle de 80 salariés utilise un module IA pour pré-classer 300 candidatures par recrutement. Le système attribue un score d'adéquation au poste.
Classification : haut-risque, Annexe III point 4 (emploi). La dérogation Art. 6 §3 est inapplicable car le système procède à un profilage des candidats.
5.2 Outil de diagnostic d'aide à la décision médicale
Cas d'usage : un cabinet de radiologie de 12 médecins utilise un logiciel d'aide à la détection de nodules pulmonaires sur scanners thoraciques.
Classification : haut-risque par Voie A. Le logiciel est un dispositif médical au sens du Règlement (UE) 2017/745 (Annexe I, section A point 11), soumis à évaluation de conformité par un organisme notifié.
5.3 Algorithme de scoring crédit pour TPE
Cas d'usage : une fintech de 25 salariés propose à des artisans une décision automatisée d'octroi de microcrédit professionnel.
Classification : haut-risque, Annexe III point 5 b) — évaluation de la solvabilité ou établissement du score de crédit des personnes physiques. La dérogation §3 est inapplicable (profilage).
5.4 Module de relecture orthographique sur un document RH
Cas d'usage : une fonctionnalité IA corrige les fautes d'un compte-rendu d'entretien annuel rédigé par le manager.
Classification : non haut-risque. Bien que le contexte (gestion des travailleurs) relève du domaine 4, la dérogation Art. 6 §3 a) s'applique : tâche procédurale étroite, sans incidence sur la décision RH elle-même. La documentation doit cependant être conservée.
| Cas d'usage | Domaine Annexe III | Voie de classification | Résultat |
|---|---|---|---|
| Tri de CV avec scoring | 4 — Emploi | Art. 6 §2 | Haut-risque |
| Aide au diagnostic radio | — | Art. 6 §1 + Règl. 2017/745 | Haut-risque |
| Scoring crédit TPE | 5 b) — Services essentiels | Art. 6 §2 | Haut-risque |
| Correcteur orthographique RH | 4 — Emploi | Art. 6 §3 a) | Non haut-risque (documenté) |
6. Conséquences de la classification
Une fois le système classé haut-risque, les obligations s'enclenchent. Voici la liste consolidée pour le fournisseur (Art. 16) et le déployeur (Art. 26).
6.1 Obligations du fournisseur (Art. 16 et suivants)
| Obligation | Base juridique | Contenu opérationnel |
|---|---|---|
| Système de gestion des risques | Art. 9 | Processus continu sur tout le cycle de vie |
| Gouvernance des données | Art. 10 | Qualité, représentativité, absence de biais des datasets |
| Documentation technique | Art. 11 + Annexe IV | Dossier complet à maintenir à jour |
| Journalisation automatique | Art. 12 | Logs traçables, conservation adéquate |
| Transparence aux déployeurs | Art. 13 | Notice d'utilisation détaillée |
| Surveillance humaine | Art. 14 | Mesures permettant le contrôle effectif |
| Exactitude, robustesse, cybersécurité | Art. 15 | Niveaux appropriés et déclarés |
| Système de gestion de la qualité | Art. 17 | SGQ documenté, type ISO 9001 ou équivalent |
| Évaluation de conformité | Art. 43 | Procédure interne ou tiers selon le cas |
| Marquage CE | Art. 48 | Apposé avant mise sur le marché |
| Enregistrement | Art. 49 | Inscription dans la base de données UE |
6.2 Obligations du déployeur (Art. 26)
Une PME qui n'a pas développé le système mais l'utilise doit notamment : - Utiliser le système conformément à la notice d'utilisation fournie. - Confier la surveillance humaine à des personnes compétentes et formées. - Assurer la qualité et la pertinence des données d'entrée qu'elle contrôle. - Surveiller le fonctionnement et signaler tout incident grave au fournisseur et à l'autorité de surveillance du marché (Art. 73). - Informer les travailleurs et leurs représentants avant tout déploiement sur le lieu de travail (Art. 26 §7).
6.3 Analyse d'impact sur les droits fondamentaux (AIDF)
Les déployeurs publics et certains déployeurs privés (notamment ceux fournissant des services essentiels — Annexe III point 5 b et c) doivent réaliser une analyse d'impact sur les droits fondamentaux avant le premier déploiement (Art. 27 du Règlement (UE) 2024/1689). Cette AIDF est distincte de l'AIPD du RGPD, mais peut être combinée avec elle.
L'articulation entre RGPD et AI Act est détaillée dans notre guide RGPD-IA pour PME.
7. Outils et ressources pour les PME
Plusieurs ressources institutionnelles permettent de bâtir une classification rigoureuse sans coût direct.
- Texte consolidé du Règlement. La version officielle est publiée sur EUR-Lex (Règlement (UE) 2024/1689). Une version annotée et consultable par article est disponible sur artificialintelligenceact.eu.
- AI Act Service Desk de la Commission. Disponible sur ai-act-service-desk.ec.europa.eu. Permet de poser des questions d'interprétation et consulter une FAQ officielle.
- Fiches pratiques CNIL. La CNIL a publié des fiches IA couvrant la conformité RGPD des systèmes IA. Elles servent de base à l'articulation avec l'AI Act.
- ISO/IEC 42001:2023. Cette norme définit le système de management de l'IA. Elle propose un cadre de gouvernance compatible avec l'Art. 17 du Règlement. Notre guide ISO 42001 pour PME en présente la mise en œuvre.
- Guides sectoriels Cigref et Numeum. Publiés en 2025, ils proposent des grilles de lecture utiles pour les DSI et éditeurs SaaS.
8. Risques de non-classification
Ignorer la classification ou la bâcler expose à plusieurs risques cumulatifs.
8.1 Sanctions administratives (Article 99)
Le régime des sanctions, prévu à l'Article 99 du Règlement (UE) 2024/1689, distingue trois plafonds.
| Type de manquement | Plafond | Article concerné |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial annuel (le + élevé) | Art. 99 §3 |
| Non-conformité d'un système haut-risque (Art. 8 à 25, 50, 60…) | 15 M€ ou 3 % du CA mondial annuel | Art. 99 §4 |
| Information incorrecte aux autorités | 7,5 M€ ou 1 % du CA mondial annuel | Art. 99 §5 |
Pour les PME et start-ups, l'Article 99 §6 prévoit que le montant le plus bas entre les deux options s'applique — disposition spécifiquement protectrice du tissu économique européen.
8.2 Risques opérationnels
- Retrait du marché. L'autorité de surveillance peut imposer le retrait ou le rappel du système non conforme (Art. 79 §5).
- Suspension de mise sur le marché. Mesure provisoire pendant l'enquête.
- Atteinte réputationnelle. L'enregistrement des systèmes haut-risque (Art. 71) est public pour partie. Une PME épinglée apparaîtra dans la base.
8.3 Recours civils
Les personnes physiques affectées par un système IA peuvent engager la responsabilité civile du fournisseur ou du déployeur sur le fondement du droit national. La directive proposée sur la responsabilité IA, encore en discussion, viendra renforcer ce volet.
Sécuriser votre classification AI Act
Recevez notre pack documentaire complet : grille de classification Art. 6, registre des systèmes IA, modèles de dérogation §3, AIDF et documentation technique Annexe IV.
Recevoir le pack reguliaFAQ
Q : Quels sont les délais pour classer un système IA haut-risque ?
Les obligations applicables aux systèmes haut-risque entrent en application le 2 août 2026 pour les systèmes couverts par l'Annexe III, et le 2 août 2027 pour ceux relevant de la Voie A (Art. 6 §1 + Annexe I), conformément à l'Article 113 du Règlement. Les systèmes déjà mis sur le marché avant ces dates bénéficient d'un régime transitoire (Art. 111), mais toute modification substantielle ultérieure réintègre le régime de droit commun. Concrètement : une PME qui déploie un système couvert par l'Annexe III en 2026 doit avoir réalisé sa classification avant déploiement.
Q : Dois-je classer un système IA si je ne suis pas fournisseur ?
Oui. La qualification du système ne dépend pas du statut. Un déployeur (PME utilisatrice) doit identifier la nature du système qu'il utilise pour déterminer ses propres obligations (Art. 26 et suivants). Et si vous modifiez substantiellement le système ou le détournez de sa finalité prévue, l'Article 25 §1 vous fait basculer dans le statut de fournisseur, avec l'ensemble des obligations associées.
Q : Comment articuler classification AI Act et RGPD ?
La classification AI Act et la qualification RGPD sont indépendantes mais cumulatives. Un système IA haut-risque traitant des données personnelles relève des deux régimes. L'AIDF de l'Article 27 du Règlement (UE) 2024/1689 peut être combinée avec l'AIPD prévue à l'article 35 du RGPD pour éviter les doublons documentaires. La CNIL recommande cette articulation dans ses fiches pratiques IA.
Q : Quelle différence entre classification et évaluation de conformité ?
La classification (Art. 6) identifie si un système est haut-risque. L'évaluation de conformité (Art. 43) vérifie comment un système haut-risque respecte les exigences techniques des articles 8 à 15. La classification précède l'évaluation. Selon le type de système, l'évaluation se fait par contrôle interne (Annexe VI) ou par un organisme notifié tiers (Annexe VII).
Q : Peut-on déployer un système haut-risque sans documentation complète ?
Non. L'Article 16 impose au fournisseur de constituer la documentation technique conforme à l'Annexe IV avant la mise sur le marché. Le déployeur, lui, doit vérifier que le marquage CE est apposé et que la notice d'utilisation est disponible (Art. 26 §1). Déployer un système haut-risque sans ces éléments expose aux sanctions de l'Art. 99 §4 (15 M€ ou 3 % du CA mondial).
Sources officielles
- Règlement (UE) 2024/1689 — texte intégral : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:12024R0127
- Version annotée et consolidée : https://artificialintelligenceact.eu
- AI Act Service Desk de la Commission européenne : https://ai-act-service-desk.ec.europa.eu
- CNIL — Systèmes d'intelligence artificielle : https://www.cnil.fr/fr/les-systemes-d-intelligence-artificielle
- ISO/IEC 42001:2023 : norme internationale sur le management des systèmes d'intelligence artificielle, disponible auprès de l'AFNOR.
Pour approfondir le cadre général applicable aux PME françaises, consultez notre pillar AI Act PME France et notre guide dédié aux sanctions et amendes AI Act.
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.