TL;DR — L'essentiel en 30 secondes
- Un système IA est classé haut-risque selon deux voies prévues à l'Article 6 du Règlement (UE) 2024/1689 : composant de sécurité d'un produit réglementé, ou usage listé en Annexe III (recrutement, scoring crédit, éducation, etc.).
- Quatre filtres opérationnels guident l'évaluation : impact sur les droits fondamentaux, secteur réglementé, finalité de surveillance, décision en situation critique.
- Sanctions financières lourdes en cas de non-conformité : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial (Art. 99 du Règlement).
- L'enregistrement dans la base de données UE est obligatoire avant mise sur le marché (Art. 49 et 71).
- Le AI Act Service Desk de la Commission européenne accompagne gratuitement les PME dans la qualification.
- Cas typiques pour PME : tri de CV, scoring solvabilité, contrôle d'accès biométrique, évaluation de performance des salariés.
1. Pourquoi identifier les systèmes IA haut-risque ?
La qualification « haut-risque » déclenche le régime le plus exigeant du Règlement (UE) 2024/1689 sur l'intelligence artificielle. Une PME qui ignore cette qualification s'expose à trois conséquences cumulatives.
Conformité réglementaire et exposition financière
Le défaut d'identification précède le défaut de conformité. Le Règlement entre en application progressive : les obligations applicables aux systèmes haut-risque listés en Annexe III deviennent contraignantes à compter du 2 août 2026 pour la majorité des cas, et du 2 août 2027 pour les composants de sécurité couverts par la législation d'harmonisation. Une PME qui découvre tardivement qu'elle déploie un système haut-risque dispose d'un délai de remédiation très court.
L'Art. 99 prévoit une amende pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour la violation des obligations applicables aux systèmes haut-risque (Art. 16). Le plafond grimpe à 35 millions d'euros ou 7 % pour les pratiques interdites visées à l'Art. 5. Pour le détail du barème, consultez notre analyse des sanctions et amendes prévues par l'AI Act.
Protection des droits fondamentaux
Le considérant 48 du Règlement rappelle que les systèmes haut-risque touchent à la santé, à la sécurité ou aux droits fondamentaux des personnes. Une qualification erronée fait peser un risque réel sur les utilisateurs finaux : candidats à un emploi, demandeurs de crédit, patients, salariés évalués.
Gestion des risques opérationnels et réputationnels
L'identification précoce permet d'intégrer la conformité dans le cycle de développement plutôt qu'en correctif. Elle prépare aussi la documentation exigée par l'Art. 11 (documentation technique) et l'Art. 12 (journalisation), deux piliers de la traçabilité.
2. Les 4 critères pour déterminer un système IA haut-risque
L'Art. 6 du Règlement définit deux voies d'entrée dans la catégorie haut-risque. En pratique, quatre filtres opérationnels permettent à une PME de qualifier rapidement son système.
| Critère | Fondement juridique | Question opérationnelle |
|---|---|---|
| Impact sur droits fondamentaux | Art. 6 §2 + Annexe III | Le système influence-t-il une décision affectant l'accès à l'emploi, au crédit, à l'éducation ou aux services publics ? |
| Secteur réglementé | Art. 6 §1 + Annexe I | Le système est-il un composant de sécurité d'un produit déjà soumis à harmonisation UE (dispositif médical, machine, jouet, ascenseur) ? |
| Finalité de surveillance | Annexe III, points 1 et 6 | Le système identifie biométriquement des personnes ou surveille des comportements dans l'espace public ou professionnel ? |
| Décision en situation critique | Annexe III, points 5, 7, 8 | Le système intervient-il dans l'accès à des services essentiels, à la justice ou à la gestion migratoire ? |
Critère 1 — Impact sur les droits fondamentaux
L'Annexe III liste huit domaines dans lesquels un système d'IA est présumé haut-risque. La PME doit y identifier sa finalité d'usage, pas sa technologie. Un même algorithme peut être haut-risque dans un contexte RH et non-haut-risque dans un contexte marketing.
L'Art. 6 §3 introduit une dérogation : un système listé à l'Annexe III n'est pas haut-risque s'il « ne présente pas de risque significatif d'atteinte à la santé, à la sécurité ou aux droits fondamentaux ». Cette dérogation est encadrée et doit être documentée par le fournisseur.
Critère 2 — Secteur réglementé (Annexe I)
L'Art. 6 §1 vise les systèmes IA intégrés comme composant de sécurité dans un produit couvert par la législation d'harmonisation listée en Annexe I : dispositifs médicaux (Règlement (UE) 2017/745), machines, équipements radio, jouets, ascenseurs, véhicules. Pour une PME du secteur medtech ou industriel, la qualification est quasi automatique.
Critère 3 — Systèmes de surveillance et biométrie
L'Annexe III, point 1, vise les systèmes d'identification biométrique à distance, de catégorisation biométrique et de reconnaissance des émotions. Le point 6 inclut certains usages en matière répressive. L'Art. 5 interdit par ailleurs plusieurs pratiques de surveillance (notation sociale, identification biométrique en temps réel dans l'espace public sauf exceptions).
Critère 4 — Situations de vie critique
Les points 5, 7 et 8 de l'Annexe III couvrent l'accès aux services essentiels (santé, électricité, aide sociale), l'administration de la justice et la gestion migratoire. Une PME éditrice d'une solution SaaS utilisée par une administration peut basculer dans le régime haut-risque par le seul fait du contexte d'usage.
3. Exemples de systèmes IA haut-risque pour les PME
L'Annexe III liste plusieurs cas d'usage fréquents chez les PME françaises. Le tableau suivant croise le cas d'usage avec sa base juridique et l'obligation principale qui en découle.
| Cas d'usage | Référence Annexe III | Qualification | Obligation principale |
|---|---|---|---|
| Tri automatisé de CV / matching candidats | Point 4 (a) | Haut-risque | Évaluation de conformité Art. 43 |
| Évaluation de performance et licenciement assisté par IA | Point 4 (b) | Haut-risque | Information du salarié Art. 26 §7 |
| Scoring de solvabilité / éligibilité crédit | Point 5 (b) | Haut-risque | Système de gestion des risques Art. 9 |
| Tarification assurance vie et santé | Point 5 (c) | Haut-risque | Documentation technique Art. 11 |
| Contrôle d'accès biométrique en entreprise | Point 1 (a) | Haut-risque | Analyse d'impact droits fondamentaux Art. 27 |
| Aide au diagnostic médical (composant logiciel DM) | Art. 6 §1 + Annexe I | Haut-risque | Marquage CE + procédure produit |
| Chatbot service client générique | Hors Annexe III | Risque limité | Transparence Art. 50 uniquement |
| Outil interne d'aide à la rédaction | Hors Annexe III | Risque minimal | Bonnes pratiques volontaires |
Lecture du tableau
Une PME qui édite un logiciel RH avec module de présélection de candidats déploie un système haut-risque, même si l'algorithme se limite à un classement statistique. La présélection elle-même suffit à déclencher l'Annexe III point 4 (a).
À l'inverse, un chatbot de support client ne relève pas du régime haut-risque mais doit respecter l'Art. 50 : information claire de l'utilisateur qu'il interagit avec une IA.
Besoin d'un diagnostic clair sur vos systèmes IA ?
Le pack regulia inclut une matrice de qualification AI Act et 47 modèles documentaires conformes à l'Annexe IV. Recevez votre devis personnalisé en moins de 24 heures.
Demander un diagnostic regulia4. Processus d'évaluation : comment procéder ?
L'évaluation se déroule en trois temps. Aucun n'est optionnel.
Étape 1 — Inventaire exhaustif des systèmes IA
- Recenser tous les systèmes IA utilisés ou développés, internes et externes.
- Pour chaque système, documenter : éditeur, finalité d'usage, données traitées, public cible, mode de décision (automatisé ou assisté).
- Identifier le rôle de votre PME : fournisseur (Art. 16), déployeur (Art. 26), importateur (Art. 23) ou distributeur (Art. 24). Un même système peut vous placer dans plusieurs rôles.
Étape 2 — Analyse des critères de haut-risque
- Appliquer les quatre filtres opérationnels présentés en section 2.
- Vérifier la présence dans l'Annexe III ou l'Annexe I.
- Évaluer l'éventuelle dérogation Art. 6 §3 (absence de risque significatif). Cette évaluation doit être documentée par écrit et enregistrée dans la base de données UE (Art. 49 §2).
Étape 3 — Documentation et enregistrement
| Action | Article | Délai |
|---|---|---|
| Système de gestion des risques | Art. 9 | Avant mise sur le marché |
| Documentation technique (Annexe IV) | Art. 11 | Avant mise sur le marché |
| Journalisation automatique | Art. 12 | Continu |
| Évaluation de conformité | Art. 43 | Avant marquage CE |
| Déclaration UE de conformité | Art. 47 | Avant mise sur le marché |
| Enregistrement base UE | Art. 49 | Avant mise sur le marché |
| Surveillance post-commercialisation | Art. 72 | Continu après mise sur le marché |
5. Obligations pour les systèmes haut-risque
Le chapitre III, section 2 du Règlement énumère sept exigences essentielles applicables aux systèmes haut-risque. Chaque exigence vise un risque spécifique.
Documentation technique (Art. 11 et Annexe IV)
La documentation technique doit décrire la finalité prévue, l'architecture, les jeux de données d'entraînement, les métriques de performance, les limites connues. Elle est conservée pendant dix ans après la mise sur le marché (Art. 18).
Conception sécurisée et transparence
- Art. 10 : gouvernance des données d'entraînement, de validation et de test. Les jeux de données doivent être pertinents, représentatifs et exempts d'erreurs.
- Art. 13 : transparence vis-à-vis du déployeur. La notice d'utilisation doit décrire les caractéristiques, capacités et limites du système.
- Art. 14 : contrôle humain effectif. Le déployeur doit pouvoir comprendre la sortie du système, l'ignorer ou la renverser.
- Art. 15 : exactitude, robustesse, cybersécurité. Le système doit atteindre un niveau approprié pendant tout son cycle de vie.
Surveillance post-commercialisation et incidents
- Art. 72 : système de surveillance post-commercialisation documenté.
- Art. 73 : signalement obligatoire à l'autorité nationale de tout incident grave dans un délai maximal de 15 jours (3 jours en cas de risque généralisé).
Enregistrement auprès de l'autorité nationale
L'Art. 49 impose l'enregistrement dans la base de données UE gérée par la Commission. En France, l'autorité nationale compétente sera désignée par décret ; la CNIL est déjà identifiée comme autorité de référence pour les systèmes traitant des données personnelles, conformément à sa fiche pratique sur l'IA.
Analyse d'impact pour le déployeur
L'Art. 27 impose au déployeur une analyse d'impact sur les droits fondamentaux (FRIA) avant le premier déploiement, lorsque le système est utilisé par un organisme public ou pour fournir des services d'intérêt public, ou lorsqu'il est listé à l'Annexe III points 5 (b) et (c).
Pour le panorama complet des obligations applicables à votre PME, consultez le pilier regulia AI Act PME France.
6. Les outils et ressources disponibles
L'écosystème institutionnel met à disposition plusieurs ressources gratuites. Une PME n'a pas besoin de tout reconstruire en interne.
| Ressource | Émetteur | Usage |
|---|---|---|
| AI Act Service Desk | Commission européenne | Questions de qualification, accompagnement PME |
| Texte consolidé AI Act | artificialintelligenceact.eu | Recherche par article |
| 13 fiches pratiques IA | CNIL | Articulation RGPD-IA |
| Norme ISO/IEC 42001:2023 | ISO | Système de management de l'IA |
| Norme ISO/IEC 23894:2023 | ISO | Gestion des risques IA |
| Guide AI Act Cigref janvier 2025 | Cigref | Mise en œuvre opérationnelle |
| Guide AI Act Numeum mars 2025 | Numeum | Vision éditeurs et intégrateurs |
Le AI Act Service Desk (ai-act-service-desk.ec.europa.eu) répond aux questions de qualification dans un délai variable selon la complexité. Une PME peut soumettre un cas concret pour obtenir une orientation, sans engagement formel.
Le glossaire regulia recense les définitions techniques mobilisées dans le Règlement : fournisseur, déployeur, modèle à usage général, composant de sécurité, etc.
La page sources regulia centralise les liens officiels actualisés.
7. Les erreurs à éviter
Trois erreurs reviennent dans les diagnostics initiaux menés auprès de PME françaises.
Sous-estimation du risque
La tentation est forte de qualifier un système de « risque limité » en arguant que l'humain conserve la décision finale. Le Règlement ne retient pas ce critère : l'Art. 3 §1 définit le système IA comme un système qui « infère, à partir des données d'entrée qu'il reçoit, la manière de générer des sorties telles que des prévisions, du contenu, des recommandations ou des décisions ». Une recommandation suffit à déclencher la qualification.
Non-documentation des systèmes
Beaucoup de PME utilisent des systèmes IA fournis par des tiers (SaaS RH, plateformes de scoring, modules d'IA dans un ERP) sans tenir de registre. L'Art. 26 §6 impose au déployeur de conserver les journaux générés automatiquement par le système haut-risque pendant six mois minimum, sauf disposition contraire.
Confusion entre fournisseur et déployeur
Une PME peut être à la fois déployeur d'un système acheté et fournisseur d'un système qu'elle a substantiellement modifié. L'Art. 25 précise les cas dans lesquels un déployeur devient fournisseur : modification substantielle, changement de finalité, apposition du nom ou de la marque sur le système haut-risque. Le basculement transfère l'ensemble des obligations du chapitre III.
Sécuriser votre conformité AI Act en 30 jours
Le pack regulia couvre la qualification, l'analyse d'impact, la documentation technique Annexe IV et le registre des systèmes IA. Tarifs adaptés aux PME de 10 à 250 salariés.
Demander mon devis personnalisé8. Conclusion : les étapes clés pour une mise en conformité
La qualification haut-risque n'est pas un point d'arrivée. C'est le déclencheur d'un programme de conformité qui se déploie sur l'ensemble du cycle de vie du système.
- Évaluation régulière des systèmes : chaque évolution fonctionnelle peut déclencher une requalification (Art. 25 sur les modifications substantielles).
- Mesures de sécurité alignées sur l'Art. 15 : robustesse, exactitude, cybersécurité, conformément à l'état de l'art (ISO/IEC 27001:2022 pour la sécurité de l'information).
- Formation du personnel : l'Art. 4 impose depuis le 2 février 2025 un niveau suffisant de maîtrise de l'IA pour les personnes intervenant dans l'exploitation des systèmes.
- Consultation d'experts : DPO pour l'articulation RGPD-IA, conseil juridique pour la qualification, organisme notifié pour les évaluations de conformité de tiers (Art. 43).
La trajectoire vers la conformité est progressive mais documentée. Les sanctions de l'Art. 99 s'appliquent à compter de l'entrée en vigueur effective de chaque obligation. Le coût d'un retard est très supérieur au coût d'une mise en conformité anticipée.
FAQ
Q : Quelles sont les sanctions pour un système IA haut-risque non conforme ?
R : Les sanctions financières sont graduées par l'Art. 99 du Règlement (UE) 2024/1689. La violation des obligations applicables aux systèmes haut-risque est passible d'une amende pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial. Les pratiques interdites de l'Art. 5 sont sanctionnées jusqu'à 35 millions d'euros ou 7 %. L'autorité nationale tient compte de la taille de l'entreprise et de son chiffre d'affaires : les PME bénéficient d'une modulation prévue à l'Art. 99 §6.
Q : Comment savoir si mon système de recrutement est haut-risque ?
R : Un système qui filtre, classe ou évalue des candidatures relève du point 4 (a) de l'Annexe III et est qualifié haut-risque. Le critère est la finalité — tri ou évaluation — et non la complexité technique. Un simple matching algorithmique est concerné. Pour confirmer la qualification, soumettez le cas au AI Act Service Desk de la Commission européenne ou consultez votre DPO.
Q : Puis-je utiliser un système IA haut-risque sans enregistrement ?
R : Non. L'Art. 49 impose l'enregistrement dans la base de données UE avant la mise sur le marché ou la mise en service. L'enregistrement est effectué par le fournisseur. Le déployeur public ou agissant pour le compte d'une autorité publique enregistre également son utilisation (Art. 49 §3). En France, l'autorité de référence pour les questions touchant aux données personnelles est la CNIL.
Q : Qu'est-ce que le service desk de l'AI Act ?
R : Le AI Act Service Desk (ai-act-service-desk.ec.europa.eu) est un guichet d'assistance gratuit géré par la Commission européenne. Il accompagne les fournisseurs et déployeurs, en particulier les PME, dans la compréhension et l'application du Règlement. Il publie également des questions-réponses et des orientations sectorielles.
Q : Comment puis-je m'assurer que mon système IA est sécurisé ?
R : Quatre piliers : gouvernance des données (Art. 10), documentation technique (Art. 11), contrôle humain (Art. 14), exactitude et cybersécurité (Art. 15). L'alignement avec les normes ISO/IEC 42001:2023 (management de l'IA), ISO/IEC 23894:2023 (gestion des risques) et ISO/IEC 27001:2022 (sécurité de l'information) fournit un référentiel reconnu. La présomption de conformité prévue à l'Art. 40 s'applique aux systèmes conformes aux normes harmonisées publiées au JOUE.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé : eur-lex.europa.eu/eli/reg/2024/1689
- Texte intégral annoté de l'AI Act : artificialintelligenceact.eu
- AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — fiches pratiques IA et RGPD : cnil.fr
- ISO/IEC 42001:2023 — Système de management de l'IA
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Système de management de la sécurité de l'information
Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.