Depuis le 1er août 2024, le Règlement (UE) 2024/1689 sur l'Intelligence Artificielle — l'AI Act — est un droit en vigueur dans toute l'Union européenne. Ses obligations les plus exigeantes s'appliquent de façon échelonnée : les interdictions absolues sont entrées en vigueur le 2 février 2025, et les obligations pour les systèmes à haut risque seront pleinement applicables à partir du 2 août 2026. Il ne reste que quelques mois. Si votre entreprise développe, commercialise ou utilise des systèmes d'intelligence artificielle, la question à laquelle vous devez répondre immédiatement est simple mais critique : mon système d'IA est-il à haut risque selon le Règlement ?
Ce guide vous explique le mécanisme de classification étape par étape, avec les catégories réelles de l'Annexe III, des exemples concrets de systèmes qui entrent et n'entrent pas dans chaque catégorie, et les obligations qui en découlent si la réponse est affirmative. Il n'y a pas de raccourcis : une classification erronée — affirmer que vous n'êtes pas à haut risque alors que vous l'êtes — expose votre entreprise à des amendes allant jusqu'à 30 millions d'euros ou 6 % du chiffre d'affaires mondial (article 99 de l'AI Act).
Que signifie «système d'IA à haut risque» selon l'AI Act ?
L'AI Act distingue quatre niveaux de risque : inacceptable (interdit), élevé, limité et minimal. Les systèmes à haut risque ne sont pas interdits, mais sont soumis au régime le plus exigeant : évaluation de la conformité, enregistrement, documentation technique, surveillance humaine obligatoire et gestion des risques continue.
Un système d'IA est à haut risque lorsqu'il remplit l'une de ces deux conditions (article 6 de l'AI Act) :
- Condition A — Produit réglementé : le système d'IA est un composant de sécurité d'un produit déjà soumis à la législation d'harmonisation européenne figurant à l'Annexe I (machines, jouets, dispositifs médicaux, véhicules, aéronefs, ascenseurs…). Dans ce cas, le produit lui-même nécessite une évaluation par un tiers.
- Condition B — Catégorie de l'Annexe III : le système d'IA est utilisé dans l'un des domaines d'utilisation à haut risque listés de façon exhaustive à l'Annexe III du Règlement.
La grande majorité des entreprises de taille moyenne qui ne fabriquent pas de machines ou de dispositifs médicaux se trouvent dans la seconde condition. C'est pourquoi l'Annexe III est le document que vous devez lire.
Les huit catégories de l'Annexe III : votre système est-il concerné ?
L'Annexe III liste huit domaines. Au sein de chacun, elle précise les usages concrets qui constituent un haut risque. Le tableau ci-dessous résume les catégories avec des exemples de systèmes qui entrent dans le champ et de systèmes qui en restent exclus parce que leur usage ne génère pas le risque que la norme entend contrôler.
| Catégorie Annexe III | Exemples qui SONT à haut risque | Exemples qui NE SONT PAS à haut risque |
|---|---|---|
| 1. Infrastructures critiques (énergie, eau, gaz, transport numérique) | Système d'IA gérant la charge d'un réseau électrique ; contrôle automatisé du trafic ferroviaire | Chatbot de service client d'un fournisseur d'énergie ; tableau de bord de consommation de l'utilisateur final |
| 2. Éducation et formation professionnelle | Système déterminant l'accès à un programme éducatif ou évaluant des examens avec effet contraignant | Plateforme e-learning adaptative sans évaluation certifiée ; recommandateur de formations internes |
| 3. Emploi et gestion des travailleurs | Outil de tri de CV filtrant les candidats de façon autonome ; système d'évaluation des performances déterminant promotions ou licenciements | Assistant de rédaction d'offres d'emploi ; tableau de bord RH sans décision autonome contraignante |
| 4. Accès aux services essentiels privés et publics | Système de scoring de crédit ; outil d'évaluation de la solvabilité pour les assurances ; priorisation des services sociaux d'urgence | Moteur de recommandation de produits financiers non contraignant ; calculateur hypothécaire informatif |
| 5. Application de la loi | Outil d'évaluation polygraphique ; système d'analyse prédictive de la criminalité | Logiciel interne de gestion des dossiers policiers sans fonction d'évaluation du risque individuel |
| 6. Migration, asile et contrôle des frontières | Système évaluant le risque d'immigration irrégulière ; outil de détection de mensonges aux frontières | Traducteur automatique dans les bureaux des étrangers sans fonction d'évaluation |
| 7. Administration de la justice et processus démocratiques | Système d'aide à la décision judiciaire pour les peines ; outil d'influence sur les processus électoraux | Moteur de recherche jurisprudentielle informatif sans recommandation contraignante |
| 8. Infrastructures numériques critiques (ajoutée dans le texte final) | Système d'IA pour la gestion cybernétique d'infrastructures numériques essentielles (télécoms, centres de données critiques) | Outil de surveillance des performances des serveurs internes sans classification automatique des incidents |
Important : l'article 6.3 de l'AI Act permet aux fournisseurs de se soustraire au régime à haut risque même si leur système entre dans l'Annexe III, s'ils peuvent démontrer de façon documentée que le système ne présente pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux, parce qu'il n'accomplit qu'une tâche préparatoire ou qu'il s'agit d'une activité de contrôle à faible influence sur la décision réelle. Cette exclusion est étroite : elle nécessite une notification à l'autorité compétente et une documentation robuste.
Le processus de décision étape par étape
Avant de conclure si votre système est ou non à haut risque, suivez cette séquence. C'est le même processus que nous appliquons dans notre service d'adaptation à l'AI Act avec chaque client :
Étape 1 — Inventorier les systèmes d'IA utilisés
Beaucoup d'entreprises utilisent de l'IA intégrée dans des logiciels tiers (CRM avec scoring, ERP avec prévision de la demande, plateformes RH avec filtrage automatique) sans en avoir conscience. La première étape consiste à dresser un inventaire complet : quels systèmes prennent des décisions ou aident à prendre des décisions affectant des personnes.
Étape 2 — Identifier le rôle de votre entreprise
L'AI Act distingue le fournisseur (qui développe ou commercialise le système), le déployeur (qui le met en service dans son organisation pour ses propres besoins) et l'utilisateur. Les obligations varient selon le rôle. Une entreprise qui achète un logiciel de sélection de personnel pré-entraîné et l'utilise pour filtrer des candidats est un déployeur, pas un fournisseur, mais elle a également ses propres obligations.
Étape 3 — Vérifier l'usage concret par rapport à l'Annexe III
Il ne suffit pas que le système puisse être utilisé dans un domaine à haut risque : ce qui compte, c'est l'usage prévu et l'usage raisonnablement prévisible (articles 9 et 13 de l'AI Act). Un même modèle d'IA peut être à haut risque s'il est utilisé pour la sélection du personnel et ne pas l'être s'il est utilisé pour générer des descriptions de produits.
Étape 4 — Évaluer la clause d'exclusion
Si le système entre dans l'Annexe III, vérifiez si l'exception de l'article 6.3 s'applique : le système ne fait-il que préparer des informations sans influencer matériellement la décision ? Existe-t-il toujours une révision humaine substantielle ? Si les deux réponses sont oui, documentez-le et notifiez l'autorité.
Étape 5 — Appliquer les obligations correspondantes ou enregistrer l'exclusion
Si le système est à haut risque, activez le plan de conformité. Si l'exception s'applique, enregistrez l'évaluation et conservez les preuves.
Cas d'usage concrets dans les PME espagnoles
Pour rendre l'analyse plus tangible, voici quelques systèmes que nous rencontrons fréquemment dans des entreprises de 10 à 250 employés et leur classification selon l'AI Act :
Logiciel de recrutement avec IA intégrée (catégorie 3)
Des plateformes comme Manatal, Teamtailor ou des modules d'IA dans des ATS propriétaires qui notent automatiquement les CV et proposent une liste restreinte de candidats. Si le système a une influence matérielle sur qui avance et qui n'avance pas, il est à haut risque. Le déployeur doit s'assurer que le fournisseur a effectué l'évaluation de la conformité (marquage CE ou équivalent selon le droit national) et mettre en place une surveillance humaine documentée.
Scoring de crédit ou de solvabilité (catégorie 4)
Une fintech ou une société de leasing utilisant un modèle propriétaire pour approuver ou rejeter des opérations de crédit relève de l'Annexe III. Cela requiert une évaluation de la conformité, un enregistrement dans la base de données de l'UE (article 71) et une documentation technique complète, incluant la description des données d'entraînement et l'analyse des biais.
Système de planification de la maintenance prédictive dans l'industrie (catégorie 1)
Une usine industrielle utilisant l'IA pour prédire les pannes d'équipements et prioriser la maintenance peut relever de la catégorie des infrastructures critiques si les équipements font partie de réseaux d'approvisionnement essentiels. S'il s'agit d'une usine de production privée sans connexion à une infrastructure critique, elle n'entre probablement pas dans le champ.
Chatbot de service client dans la banque
Un chatbot qui répond à des questions sur les soldes ou les produits financiers, sans prendre de décisions contraignantes sur l'octroi de crédit ou d'assurances, n'est pas à haut risque. Le régime de transparence des systèmes d'IA à risque limité s'applique (article 50 de l'AI Act) : l'utilisateur doit savoir qu'il interagit avec une IA.
Obligations pour les systèmes à haut risque : résumé exécutif
Si votre système relève de l'Annexe III et que l'exclusion de l'article 6.3 ne s'applique pas, les principales obligations sont (articles 9 à 16 de l'AI Act) :
- Système de gestion des risques : processus continu tout au long du cycle de vie du système.
- Gouvernance des données : les données d'entraînement, de validation et de test doivent satisfaire à des critères de qualité documentés et être représentatives du domaine d'utilisation.
- Documentation technique : avant la commercialisation ou la mise en service du système, élaborer et maintenir la documentation de l'Annexe IV.
- Journalisation des événements : le système doit générer des traces automatiques permettant de reconstituer son fonctionnement en cas d'incident.
- Transparence et information : les déployeurs doivent recevoir des instructions d'utilisation claires sur les capacités et les limites du système.
- Surveillance humaine : concevoir le système pour que des personnes puissent surveiller, interrompre ou corriger les décisions.
- Exactitude, robustesse et cybersécurité : le système doit atteindre des niveaux adéquats et être protégé contre les manipulations adversariales.
- Évaluation de la conformité : selon la catégorie, il peut s'agir d'une auto-évaluation (avec documentation interne) ou d'une évaluation par un organisme notifié.
- Enregistrement dans la base de données de l'UE : obligatoire avant la mise sur le marché pour la plupart des catégories de l'Annexe III.
- Déclaration UE de conformité et marquage CE (pour les fournisseurs qui commercialisent le système).
Pour les déployeurs (entreprises qui utilisent le système mais ne l'ont pas développé), les obligations sont différentes mais non négligeables : ils doivent vérifier que le fournisseur a complété la conformité, désigner une supervision humaine, informer les travailleurs lorsque des systèmes les affectant sont utilisés et notifier les incidents graves à l'autorité compétente.
Si vous avez besoin d'aide pour déterminer si votre système est à haut risque et concevoir le plan de conformité, Summum Consultoría accompagne les entreprises dans les mises en conformité réglementaires les plus exigeantes depuis 2007. Notre équipe de conseil AI Act travaille conjointement avec l'équipe technique IA du groupe pour couvrir à la fois la dimension juridique et l'architecture du système.
La norme ISO 42001 comme levier pour la conformité à l'AI Act
Beaucoup d'entreprises se demandent si la mise en place de l'ISO 42001 (Système de Management de l'IA) facilite la conformité à l'AI Act. La réponse est oui, avec des nuances. L'ISO 42001 n'est pas une exigence légale de l'AI Act, mais ses contrôles — gouvernance des données, gestion des risques, supervision humaine, documentation du système — sont directement alignés sur les articles 9 à 16 du Règlement. Disposer du système de management ISO 42001 réduit significativement l'effort nécessaire pour préparer la documentation technique de l'Annexe IV et démontrer la gestion continue des risques.
Le parcours de certification ISO 42001 relève de Summum Calidad, avec qui nous collaborons sur des projets conjoints lorsque le client a besoin simultanément de la certification de la norme et de la conformité réglementaire. Du point de vue juridico-réglementaire, Summum Consultoría gère le volet AI Act.
Questions fréquentes
Mon entreprise est-elle «fournisseur» ou «déployeur» selon l'AI Act ?
Vous êtes fournisseur si vous développez un système d'IA avec l'intention de le commercialiser ou de le mettre en service sous votre nom ou votre marque, même si vous utilisez des modèles tiers comme base. Vous êtes déployeur si vous utilisez un système déjà développé par une autre entreprise dans le cadre de vos propres activités professionnelles. Un cabinet RH qui configure et exploite un ATS avec IA acheté à un fournisseur SaaS est déployeur, pas fournisseur. Les obligations du fournisseur sont plus étendues, mais celles du déployeur sont également applicables et non négligeables en ce qui concerne les droits des personnes.
Que se passe-t-il si j'utilise un système à haut risque dont le fournisseur n'a pas complété la conformité ?
Dans ce cas, le déployeur ne peut pas mettre le système en service pour des usages à haut risque (article 26 de l'AI Act). Si vous l'avez déjà en production, vous devez exiger du fournisseur la documentation de conformité ou cesser l'utilisation dans les contextes à haut risque. Continuer à l'utiliser sans que le fournisseur ait satisfait à ses obligations constitue une infraction au Règlement qui peut également incomber au déployeur.
L'AI Act s'applique-t-il aux systèmes d'IA utilisés uniquement en interne, sans être vendus à des clients ?
Oui. Le Règlement s'applique aussi bien aux systèmes commercialisés auprès de tiers qu'aux systèmes déployés en interne pour un usage propre lorsqu'ils entrent dans les catégories de l'Annexe III. Une entreprise qui utilise un système d'IA pour évaluer les performances de ses propres employés (catégorie 3) est soumise aux obligations du déployeur même si le système ne quitte jamais l'organisation.
Les sanctions sont-elles déjà en vigueur ou y a-t-il du temps jusqu'en 2026 ?
Les interdictions de l'article 5 (systèmes à risque inacceptable) sont applicables depuis le 2 février 2025. Les obligations pour les systèmes à haut risque de l'Annexe III seront pleinement applicables à partir du 2 août 2026. Les obligations pour les fournisseurs de modèles d'IA à usage général (GPAI) — par exemple, les entreprises qui développent ou intègrent des LLM de façon significative — sont applicables depuis août 2025. Le délai est serré : réaliser l'évaluation de la conformité, préparer la documentation technique et enregistrer le système prend entre six mois et un an pour les systèmes complexes.