Classification Risques IA : 4 Niveaux
67% des Entreprises se Trompent
Selon une étude de PwC, 67% des entreprises européennes classifient mal leurs systèmes IA. Une erreur qui peut coûter jusqu’à 35M€ de sanctions.
L’IA Act organise tous les systèmes d’intelligence artificielle en 4 niveaux de risque. Chaque niveau implique des obligations différentes, de l’interdiction totale à l’usage libre.
Mal classifier votre système IA, c’est risquer des sanctions massives. Bien le classifier, c’est savoir exactement ce que vous devez faire pour être conforme.
Ce guide vous explique les 4 niveaux, les critères précis pour chacun, et comment classifier vos propres systèmes en 5 étapes.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA et Fondateur de Soignant Voice. Expert en classification et conformité IA Act.
Ce que vous allez découvrir
- → Les 4 niveaux de risque et leurs critères
- → Les exemples concrets pour chaque catégorie
- → Les obligations par niveau de risque
- → Comment classifier vos propres systèmes
- → Les erreurs de classification à éviter
Infographie : Les 4 niveaux de risque de l’IA Act et leurs sanctions maximales
🚫 Niveau 1 : Risque Inacceptable (INTERDIT)
Photo par Kampus Production sur Pexels
Les systèmes IA à risque inacceptable sont purement et simplement interdits. Leur utilisation ou développement expose à des sanctions maximales de 35M€ ou 7% du CA mondial.
❌ Les 8 Pratiques Interdites (Article 5)
- 🚫 Scoring social : Évaluation des citoyens par les autorités publiques basée sur leur comportement social
- 🚫 Manipulation subliminale : Techniques exploitant l’inconscient pour influencer les décisions
- 🚫 Exploitation des vulnérables : Ciblage des personnes fragiles (enfants, handicapés, personnes âgées)
- 🚫 Reconnaissance faciale de masse : Identification biométrique à distance en temps réel dans les espaces publics
- 🚫 Catégorisation biométrique : Déduction de caractéristiques sensibles (race, religion, orientation)
- 🚫 Police prédictive individuelle : Prédiction de la criminalité basée sur le profilage
- 🚫 Reconnaissance émotionnelle au travail : Analyse des émotions des employés ou élèves
- 🚫 Bases de données faciales : Constitution de bases par scraping d’images
Sanction Maximale : 35M€ ou 7% CA
C’est la sanction la plus élevée de l’IA Act. Elle s’applique dès l’utilisation, même partielle, d’un système interdit. Pas de délai de grâce : l’interdiction est entrée en vigueur le 2 février 2025.
« Les pratiques interdites ne concernent pas que les GAFAM. J’ai vu des PME utiliser des outils de ‘détection d’émotions’ pour leurs entretiens RH sans réaliser qu’elles étaient en infraction. »
— Dr. Claire Levasseur, Avocate spécialisée IA, Cabinet Lexing
⚠️ Niveau 2 : Risque Élevé (RÉGLEMENTÉ)
Photo par Matilda Wormwood sur Pexels
Les systèmes à haut risque sont autorisés mais strictement encadrés. Ils nécessitent un marquage CE, une documentation technique complète, et une surveillance humaine.
📋 Les 8 Catégories Haut Risque (Annexe III)
| Catégorie | Exemples de systèmes | Échéance |
|---|---|---|
| 1. Biométrie | Identification faciale, reconnaissance vocale d’identité | 2 août 2025 |
| 2. Infrastructures critiques | Gestion du trafic, réseaux électriques, eau | 2 août 2025 |
| 3. Éducation et formation | Notation automatique, orientation scolaire, détection triche | 2 août 2025 |
| 4. Emploi et RH | Tri de CV, entretiens automatisés, évaluation performance | 2 août 2025 |
| 5. Services essentiels | Scoring crédit, éligibilité assurance, aide sociale | 2 août 2025 |
| 6. Forces de l’ordre | Évaluation risque criminel, détection mensonges | 2 août 2025 |
| 7. Migration et asile | Vérification documents, évaluation demandes | 2 août 2025 |
| 8. Justice | Aide à la décision judiciaire, analyse juridique | 2 août 2025 |
📝 Les 7 Obligations pour les Systèmes Haut Risque
Système de gestion des risques
Mettre en place un processus continu d’identification, analyse et atténuation des risques tout au long du cycle de vie du système.
Gouvernance des données
Garantir la qualité, pertinence et représentativité des données d’entraînement. Documenter les sources et les traitements.
Documentation technique
Produire une documentation complète démontrant la conformité. Conservation 10 ans minimum après la mise sur le marché.
Enregistrement automatique (logs)
Journaliser toutes les opérations du système pour permettre la traçabilité et les audits. Conservation minimum 6 mois.
Transparence et information
Fournir des instructions d’utilisation claires aux déployeurs. Informer sur les capacités et limites du système.
Surveillance humaine
Garantir qu’un humain peut superviser, comprendre et interrompre le système. Pas de décision 100% automatisée sur des sujets critiques.
Robustesse et cybersécurité
Assurer la fiabilité, résilience et sécurité du système face aux attaques adversariales et aux erreurs.
Sanction : 15M€ ou 3% du CA mondial
Non-respect des obligations pour un système haut risque. S’ajoute l’interdiction potentielle de mise sur le marché et le retrait du marquage CE.
🎯 Quiz : Classifiez Ces Systèmes IA
💬 Niveau 3 : Risque Limité (TRANSPARENCE)
Les systèmes à risque limité sont autorisés avec une obligation principale : la transparence. L’utilisateur doit savoir qu’il interagit avec une IA.
📢 Systèmes Concernés par l’Obligation de Transparence
- 🤖 Chatbots et assistants virtuels : L’utilisateur doit être informé qu’il parle à une IA
- 🎨 IA générative : Les contenus générés (texte, image, audio, vidéo) doivent être signalés comme artificiels
- 👤 Deepfakes : Obligation de signaler que le contenu est généré ou manipulé par IA
- 😊 Reconnaissance d’émotions : Informer les personnes qu’elles sont soumises à une analyse émotionnelle
- 🏷️ Catégorisation biométrique : Informer les personnes qu’elles sont catégorisées (sauf cas interdits)
Exemple de Conformité pour un Chatbot
Message conforme : « Bonjour ! Je suis un assistant virtuel propulsé par intelligence artificielle. Comment puis-je vous aider ? » — L’information est claire et visible dès le début de l’interaction.
🎯 Obligations Spécifiques IA Générative
Les modèles de fondation (GPT-4, Claude, Llama, Mistral) ont des obligations supplémentaires :
- 📝 Documentation technique : Description des capacités, limites et risques connus
- 📊 Résumé des données d’entraînement : Description des sources utilisées
- ©️ Respect du droit d’auteur : Politique de gestion du contenu protégé
- 🏷️ Marquage des contenus : Watermark ou métadonnées pour identifier les générations IA
Sanction : 7,5M€ ou 1,5% du CA mondial
Défaut de transparence envers les utilisateurs. Applicable même si le système fonctionne parfaitement — c’est l’information qui compte.
✅ Niveau 4 : Risque Minimal (LIBRE)
Photo par Anna Nekrashevich sur Pexels
La grande majorité des systèmes IA (environ 85%) entrent dans cette catégorie. Ils sont libres d’usage sans contrainte réglementaire spécifique.
🆓 Exemples de Systèmes à Risque Minimal
- 📧 Filtres anti-spam : Classification automatique des emails
- 🎮 IA de jeux vidéo : Comportement des PNJ, matchmaking
- 📺 Recommandations de contenu : Suggestions Netflix, Spotify, YouTube
- 📸 Filtres photo : Amélioration d’image, mode portrait
- 🔍 Moteurs de recherche : Classement des résultats
- 🏭 Maintenance prédictive : Détection de pannes machines
- 📊 Analyse de données : Tableaux de bord automatisés
Bonne Pratique : Code de Conduite Volontaire
Même sans obligation, l’IA Act encourage l’adoption de codes de conduite volontaires. Cela démontre votre engagement éthique et peut devenir un avantage compétitif.
« Ne négligez pas les systèmes à risque minimal. Un changement d’usage peut les faire basculer en haut risque. Documentez systématiquement vos classifications. »
— Prof. Jean-Michel Truong, IA Lab École Polytechnique
📋 Comment Classifier Vos Systèmes en 5 Étapes
Voici la méthodologie pour classifier correctement chacun de vos systèmes IA.
Inventorier Tous Vos Systèmes IA
Listez TOUS les systèmes IA utilisés dans votre entreprise, y compris les outils SaaS, les API externes, et les modules intégrés. Pour chaque système : nom, fonction, fournisseur, données traitées.
Durée estimée : 2-4 semaines selon la taille de l’entreprise
Vérifier les Pratiques Interdites
Pour chaque système, vérifiez s’il entre dans les 8 catégories interdites de l’Article 5. Si oui : arrêt immédiat et recherche d’alternative.
Questions clés : Manipulation ? Scoring social ? Exploitation vulnérables ? Reconnaissance faciale de masse ?
Évaluer le Haut Risque (Annexe III)
Vérifiez si le système correspond à l’une des 8 catégories de l’Annexe III. Attention : c’est l’usage qui détermine le risque, pas la technologie.
Exemple : Un même algorithme de tri est minimal pour les emails, mais haut risque pour les CV.
Identifier les Obligations de Transparence
Le système interagit-il avec des humains ? Génère-t-il du contenu ? Analyse-t-il des émotions ? Si oui : obligations de transparence du risque limité.
Action : Mettre en place les mentions d’information appropriées.
Documenter et Maintenir
Créez un registre des systèmes IA avec leur classification. Réévaluez à chaque modification, nouvel usage, ou au minimum tous les 12 mois.
Template : ID système, description, classification, justification, date, responsable.
🎯 Simulateur : Classifiez Votre Système IA
❓ Questions Fréquentes sur la Classification
L’IA Act définit 4 niveaux : Risque inacceptable (pratiques interdites comme le scoring social), Risque élevé (systèmes réglementés comme RH, santé, crédit), Risque limité (obligations de transparence pour chatbots et IA générative), Risque minimal (usage libre sans contrainte).
Un système IA est à haut risque s’il entre dans l’une des 8 catégories de l’Annexe III : biométrie, infrastructures critiques, éducation, emploi et RH, accès aux services essentiels (crédit, assurance), forces de l’ordre, migration et asile, justice.
Non, les chatbots sont généralement classés en risque limité. Leur principale obligation est la transparence : informer l’utilisateur qu’il interagit avec une IA. Cependant, un chatbot utilisé dans un domaine sensible (santé, RH) peut être reclassé en haut risque.
L’IA générative est classée en risque limité avec des obligations de transparence spécifiques : signaler les contenus générés par IA, informer que l’utilisateur interagit avec une IA. Les modèles de fondation ont des exigences supplémentaires de documentation.
Oui, la classification dépend du contexte d’utilisation. Un algorithme de tri peut être à risque minimal pour classer des emails, mais devient haut risque s’il est utilisé pour trier des CV de candidats. Réévaluez à chaque nouvel usage.
Le fournisseur (développeur) est responsable de la classification initiale. Le déployeur (entreprise utilisatrice) doit vérifier cette classification et peut être tenu responsable si son usage change le niveau de risque.
Les sanctions varient selon l’erreur : 35M€ pour utilisation d’un système interdit, 15M€ pour non-conformité d’un système haut risque, 7,5M€ pour défaut de transparence. Une sous-classification volontaire est considérée comme une fraude.
Non, elle doit être réévaluée : à chaque modification substantielle, lors d’un changement d’usage, et au minimum tous les 12 mois. La Commission européenne peut également mettre à jour les listes de systèmes à haut risque.
Maîtrisez la Classification IA Act
Notre formation certifiante de 8 heures inclut un module complet sur la classification des risques avec exercices pratiques.
- ✅ Les 4 niveaux de risque en détail
- ✅ Méthode de classification pas à pas
- ✅ Cas pratiques de classification
- ✅ Templates de registre IA
- ✅ Certificat Article 4
✅ Conclusion : Classifiez Correctement pour Éviter les Sanctions
La classification des risques est la première étape de toute mise en conformité IA Act. Sans elle, impossible de savoir quelles obligations s’appliquent à vos systèmes.
Les 3 points essentiels à retenir
- 1️⃣ 4 niveaux : Inacceptable (interdit), Élevé (réglementé), Limité (transparence), Minimal (libre)
- 2️⃣ L’usage prime : C’est le contexte d’utilisation qui détermine le risque, pas la technologie
- 3️⃣ Documentez : Tenez un registre de vos classifications et réévaluez régulièrement
67% des entreprises se trompent. Ne faites pas partie de cette statistique. Formez-vous à la classification IA Act.
Le temps presse. Maîtrisez la classification avant l’échéance.
Sources Officielles Citées
- Règlement (UE) 2024/1689 – IA Act • Article 5 (interdictions), Annexe III (haut risque)
- Commission européenne – Cadre IA • Classification des risques
- CNIL – Intelligence Artificielle • Recommandations françaises