Loading...
Loading...
Annexe III du Règlement IA
Catégorie de l'AI Act regroupant les usages d'IA à fort impact sur les droits fondamentaux, la santé ou la sécurité (recrutement, évaluation salariale, scoring crédit, aide au diagnostic médical, triage urgences, gestion des infrastructures critiques). Ces systèmes doivent respecter des obligations strictes : évaluation de conformité, journalisation, supervision humaine systématique (HITL), documentation technique, déclaration de conformité. Applicable au plus tard au 2 août 2027.
L'AI Act haut risque désigne les systèmes d'intelligence artificielle relevant de l'Annexe III du Règlement (UE) 2024/1689, le Règlement européen sur l'intelligence artificielle. Ces systèmes sont identifiés comme présentant un risque significatif pour la santé, la sécurité ou les droits fondamentaux des personnes.
L'Annexe III énumère huit domaines d'application : biométrie (identification à distance, reconnaissance des émotions), gestion d'infrastructures critiques (transport, eau, énergie), éducation et formation professionnelle (notation, admission, accès), emploi (recrutement, sélection, évaluation, promotion), accès aux services privés et publics essentiels (crédit, prestations sociales, urgences médicales, assurance santé/vie), maintien de l'ordre, gestion des migrations, et administration de la justice et processus démocratiques.
Les obligations applicables aux systèmes haut risque sont structurées : système de gestion des risques (article 9), gouvernance des données d'entraînement (article 10), documentation technique exhaustive (article 11), tenue de journaux automatiques (article 12), transparence et information à l'utilisateur (article 13), supervision humaine effective (article 14, dit HITL), exactitude, robustesse et cybersécurité (article 15). Les fournisseurs doivent réaliser une évaluation de conformité, établir une déclaration UE de conformité et apposer le marquage CE avant la mise sur le marché.
Les utilisateurs (déployeurs) ont aussi des obligations : utilisation conforme aux instructions, surveillance du fonctionnement, conservation des journaux, information du personnel concerné, et — pour certains usages publics — analyse d'impact sur les droits fondamentaux (article 27).
La proposition de Règlement IA a été déposée par la Commission européenne en avril 2021. Après trois ans de négociations entre Conseil, Parlement et Commission, le texte a été adopté le 13 mars 2024 par le Parlement européen, puis publié au Journal officiel de l'Union européenne le 12 juillet 2024 sous la référence Règlement (UE) 2024/1689.
L'entrée en vigueur s'est faite le 1er août 2024. L'application est échelonnée : les pratiques interdites s'appliquent depuis le 2 février 2025, les modèles d'IA à usage général depuis le 2 août 2025, l'essentiel du Règlement (dont les obligations haut risque hors produits réglementés) au 2 août 2026, et les systèmes haut risque intégrés à des produits déjà soumis à la législation sectorielle (machines, dispositifs médicaux, jouets, ascenseurs…) au plus tard le 2 août 2027.
Au niveau de la gouvernance, le Règlement instaure un Bureau européen de l'IA (AI Office) au sein de la Commission, complété par un Comité européen de l'IA et des autorités nationales de surveillance du marché — pour la France, l'Arcom et la CNIL sont co-désignées pour les volets applicables.
Pour un dirigeant, identifier qu'un système entre dans la catégorie haut risque change la nature du projet : il ne s'agit plus d'un simple choix d'outil mais d'un projet de conformité avec des exigences documentaires, organisationnelles et techniques contraignantes. Les sanctions atteignent jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et 15 M€ ou 3 % pour les manquements aux obligations haut risque (article 99).
Le calcul ROI d'un projet IA doit donc intégrer le coût de mise en conformité (système qualité, documentation, journalisation, supervision humaine, audits) et l'effort de maintien dans le temps. À défaut, un projet rapide en POC peut devenir bloquant en production. Les secteurs les plus exposés en France sont la banque-assurance (scoring crédit, tarification dommages), la santé (aide au diagnostic, triage), les RH (tri CV, évaluation), et l'industrie sur les volets infrastructures critiques.
Le bon réflexe : qualifier la catégorie de risque en amont du cadrage, dès la phase de scoping, plutôt qu'en fin de pilote.
Sur tout projet IA susceptible d'entrer dans la catégorie haut risque, nous démarrons par une qualification de risque AI Act lors du cadrage initial — une grille de lecture courte qui croise l'Annexe III, le contexte client et le périmètre fonctionnel envisagé. Le résultat oriente l'architecture du projet et le niveau d'effort documentaire à prévoir.
Quand le système est qualifié haut risque, nous intégrons par défaut dans la conception : un cadre HITL dimensionné selon l'usage (validation pré-décision, audit a posteriori, ou hybride), un journal d'événements exploitable pour audit, une traçabilité des données d'entraînement conforme à l'article 10, et une documentation technique vivante versionnée avec le code. Nous travaillons avec les directions juridique et conformité du client en amont, pas en fin de chaîne.
Notre principe : un projet IA haut risque livré en six mois sans cadre de conformité, c'est six mois à reconstruire avant la mise en production. Nous préférons un cadrage initial un peu plus long et une mise en production sereine.
Règlement de l'Union européenne (2024/1689) qui encadre les systèmes d'intelligence artificielle selon une approche par les risques. Il dist…
Architecture d'IA qui maintient un humain dans la boucle de décision pour les cas à fort impact. L'IA propose, score, recommande ; l'humain …
Article du RGPD (Règlement général sur la protection des données) qui interdit en principe le traitement des données sensibles : santé, opin…
Cadrage initial gratuit. Nous évaluons votre contexte et identifions les leviers concrets.