Systèmes Haut Risque IA : Liste Annexe III
⚠️ Classification Critique
67% des entreprises utilisant l’IA en Europe possèdent au moins un système classé « haut risque » selon l’AI Act. La plupart l’ignorent.
Votre logiciel de recrutement trie des CV. Votre banque utilise un scoring crédit automatisé. Votre outil de visioconférence analyse les émotions des participants.
Tous ces systèmes sont potentiellement classés « haut risque » par l’AI Act et soumis aux obligations les plus strictes du règlement européen.
L’Annexe III de l’AI Act liste précisément 8 domaines où l’utilisation de l’IA est considérée comme présentant des risques significatifs pour les droits fondamentaux. Ce guide détaille chaque domaine, les exemples concrets de systèmes concernés et les obligations qui en découlent.
Par Loïc Gros-Flandre
Directeur de Modernee – Expert en classification des systèmes IA et conformité réglementaire.
📚 Ce que vous allez découvrir
- → Les 4 niveaux de risque de l’AI Act
- → Les 8 domaines de l’Annexe III détaillés
- → Les obligations spécifiques aux systèmes haut risque
- → Comment classifier votre système IA
- → Le processus de marquage CE
Infographie : Pyramide des 4 niveaux de risque AI Act
🎯 Qu’est-ce qu’un Système IA à Haut Risque ?
L’AI Act définit deux catégories de systèmes à haut risque, détaillées dans les Annexes I et III du règlement.
Photo par RDNE Stock project sur Pexels
📋 Annexe I : Composants de Sécurité des Produits
L’Annexe I couvre les systèmes IA intégrés comme composants de sécurité dans des produits déjà réglementés par l’UE :
- 🚗 Véhicules : systèmes de conduite autonome, ADAS
- 🏥 Dispositifs médicaux : diagnostic assisté par IA
- ✈️ Aviation : systèmes de navigation IA
- 🔧 Machines industrielles : contrôle de sécurité IA
- 🧸 Jouets connectés : IA dans les jouets intelligents
📋 Annexe III : Les 8 Domaines Critiques
L’Annexe III définit 8 domaines où l’utilisation de l’IA est considérée comme présentant des risques significatifs. Contrairement aux systèmes interdits, ces systèmes restent autorisés mais soumis à des obligations strictes.
Vous devez d’abord identifier tous vos systèmes IA avant de les classifier selon ces critères.
« La classification haut risque n’est pas une sanction. C’est une reconnaissance que le système nécessite une attention particulière pour protéger les droits fondamentaux. »
— Commission Européenne, Guide AI Act 2024
📊 Les 8 Domaines de l’Annexe III Détaillés
Photo par Nataliya Vaitkevich sur Pexels
1️⃣ Identification Biométrique
Systèmes d’identification biométrique à distance en temps réel ou en différé :
- 👁️ Reconnaissance faciale
- 🖐️ Identification par empreintes
- 🔊 Reconnaissance vocale
- 🚶 Analyse de la démarche
⚠️ Exception Importante
La reconnaissance faciale en temps réel par les forces de l’ordre dans l’espace public est interdite, sauf exceptions très encadrées (terrorisme, disparition d’enfant).
2️⃣ Infrastructures Critiques
Gestion et exploitation des infrastructures essentielles :
- 🚗 Transport : gestion du trafic routier, ferroviaire, aérien
- ⚡ Énergie : réseaux électriques, gaz, nucléaire
- 💧 Eau : systèmes de distribution et traitement
- 🌐 Numérique : infrastructures cloud critiques
3️⃣ Éducation et Formation
Systèmes affectant l’accès à l’éducation ou évaluant les apprenants :
- 🎓 Orientation scolaire automatisée
- 📝 Correction automatique d’examens
- 📊 Évaluation des performances des étudiants
- 🚪 Décisions d’admission automatisées
4️⃣ Emploi et Gestion RH
C’est le domaine le plus courant dans les entreprises :
- 📄 Recrutement : tri de CV, matching candidats
- 💼 Promotion : décisions de carrière automatisées
- 📊 Évaluation : notation de performance
- 🔔 Licenciement : identification des départs
- 📋 Allocation : attribution des tâches
🔴 Attention Employeurs
Les logiciels de recrutement type LinkedIn Recruiter, Indeed, Workday ou les ATS avec IA sont concernés. Vérifiez avec vos éditeurs leur conformité AI Act.
5️⃣ Services Essentiels
Accès aux services publics et privés essentiels :
- 💳 Crédit : scoring bancaire, décision de prêt
- 🛡️ Assurance : tarification, évaluation des sinistres
- 🚑 Urgences : priorisation des appels 112/15/17/18
- 🏠 Logement : attribution de logements sociaux
6️⃣ Application de la Loi
Systèmes utilisés par les forces de l’ordre :
- 🔍 Évaluation des risques de récidive
- 🕵️ Profilage dans les enquêtes
- 🎯 Détection de comportements suspects
- 📹 Analyse automatique de vidéosurveillance
7️⃣ Migration et Frontières
Contrôle de l’immigration et des frontières :
- ✈️ Détection de documents frauduleux
- 📋 Évaluation des demandes d’asile
- 🛂 Analyse des risques sécuritaires
- 👁️ Vérification d’identité aux frontières
8️⃣ Administration de la Justice
Systèmes d’aide à la décision judiciaire :
- ⚖️ Recherche juridique et analyse de jurisprudence
- 📊 Prédiction d’issues judiciaires
- 📝 Assistance à la rédaction de décisions
- 🔗 Médiation et résolution de litiges
| Domaine | Exemples Courants | Impact |
|---|---|---|
| Biométrie | Reconnaissance faciale, contrôle d’accès | Critique |
| RH/Emploi | ATS, scoring candidats, évaluation | Élevé |
| Crédit | Scoring bancaire, décision prêt | Élevé |
| Éducation | Orientation, notation automatique | Modéré |
| Infrastructures | Gestion trafic, énergie, eau | Critique |
🎯 Votre Système est-il Haut Risque ? (Quiz 3 min)
📋 Les Obligations Spécifiques aux Systèmes Haut Risque
Photo par Hanna Pad sur Pexels
Les systèmes haut risque doivent respecter 8 obligations majeures, détaillées aux articles 9 à 15 de l’AI Act. Toutes ces obligations doivent être inscrites dans le registre des systèmes IA.
Système de Gestion des Risques (Art. 9)
Mettre en place un processus continu d’identification, d’analyse et de gestion des risques tout au long du cycle de vie du système. Documenter les mesures de mitigation.
Gouvernance des Données (Art. 10)
Garantir la qualité des données d’entraînement : représentativité, exactitude, complétude. Prévenir les biais et documenter les sources de données.
Documentation Technique (Art. 11)
Produire une documentation exhaustive : conception, architecture, données utilisées, tests, performances, limites. Cette documentation doit être maintenue à jour.
Conservation des Logs (Art. 12)
Implémenter un système de journalisation automatique permettant la traçabilité des décisions. Conservation des logs pendant toute la durée d’utilisation.
Transparence et Information (Art. 13)
Fournir aux utilisateurs une notice d’utilisation claire : fonctionnement, capacités, limites, risques résiduels, méthodes d’interprétation des résultats.
Supervision Humaine (Art. 14)
Concevoir des mécanismes permettant une supervision humaine efficace. Les opérateurs doivent pouvoir comprendre, intervenir et arrêter le système.
Robustesse et Cybersécurité (Art. 15)
Garantir l’exactitude, la fiabilité et la résilience du système. Protéger contre les attaques adversaires et les manipulations malveillantes.
Marquage CE (Art. 49)
Obtenir le marquage CE avant mise sur le marché. Nécessite une évaluation de conformité (auto-évaluation ou organisme notifié selon le domaine).
« Le marquage CE pour les systèmes IA haut risque sera aussi incontournable que pour les jouets ou les dispositifs médicaux. Pas de CE, pas de marché européen. »
— Expert Conformité, 2024
Les systèmes à risque limité comme les chatbots n’ont que des obligations de transparence. Les systèmes à risque minimal n’ont aucune obligation réglementaire.
🏷️ Le Processus de Marquage CE
Le marquage CE est obligatoire pour tous les systèmes à haut risque avant leur mise sur le marché européen.
📝 Deux Voies d’Évaluation
| Type | Auto-évaluation | Organisme Notifié |
|---|---|---|
| Applicable à | La plupart des domaines Annexe III | Biométrie, infrastructures critiques |
| Qui évalue | Le fournisseur lui-même | Organisme certifié par l’UE |
| Coût estimé | 5 000 – 30 000€ | 30 000 – 150 000€ |
| Délai | 2-4 mois | 6-12 mois |
💡 Astuce Conformité
Même si l’auto-évaluation est possible, documentez votre processus de manière aussi rigoureuse que pour un audit externe. Les autorités pourront vérifier a posteriori.
📄 Dossier de Conformité Requis
Le dossier technique doit contenir :
- 📋 Description générale du système
- 🏗️ Éléments de conception détaillés
- 📊 Description des données d’entraînement
- 🧪 Résultats des tests et validations
- ⚙️ Système de gestion des risques
- 📝 Notice d’utilisation
- 🔒 Mesures de cybersécurité
🎯 Simulateur Classification Risque IA
❓ Questions Fréquentes sur les Systèmes Haut Risque
Un système IA à haut risque est un système d’intelligence artificielle dont l’utilisation présente des risques significatifs pour la santé, la sécurité ou les droits fondamentaux des personnes. L’AI Act définit ces systèmes dans l’Annexe III, couvrant 8 domaines : biométrie, infrastructures critiques, éducation, emploi, services essentiels, forces de l’ordre, migration et justice.
L’Annexe III couvre 8 domaines : (1) Identification biométrique à distance, (2) Infrastructures critiques (transport, énergie, eau), (3) Éducation et formation professionnelle, (4) Emploi et gestion des ressources humaines, (5) Accès aux services essentiels (crédit, assurance, urgences), (6) Application de la loi, (7) Migration, asile et contrôle aux frontières, (8) Administration de la justice.
Oui, le marquage CE est obligatoire pour tous les systèmes IA à haut risque avant leur mise sur le marché européen. Ce marquage atteste de la conformité aux exigences de l’AI Act. L’obtention nécessite une évaluation de conformité, soit par auto-évaluation soit par un organisme notifié selon le domaine.
Pour déterminer si votre système est à haut risque : (1) Vérifiez s’il est un composant de sécurité d’un produit couvert par une législation européenne (Annexe I), (2) Vérifiez s’il entre dans l’un des 8 domaines de l’Annexe III, (3) Analysez son usage réel et son impact sur les droits fondamentaux. En cas de doute, consultez un expert ou l’autorité compétente.
Les sanctions pour non-conformité d’un système à haut risque sont sévères : jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires mondial annuel pour les violations des obligations. En cas de fourniture d’informations fausses, les amendes peuvent atteindre 7,5 millions d’euros ou 1% du CA mondial.
Oui, si votre ATS utilise l’IA pour trier des CV, scorer des candidats ou prendre des décisions d’embauche, il est classé haut risque. Contactez votre éditeur pour vérifier sa conformité AI Act. Si vous développez votre propre solution, vous êtes responsable de la mise en conformité.
✅ Conclusion : Classifiez Vos Systèmes Maintenant
Les systèmes à haut risque de l’Annexe III constituent le cœur de l’AI Act. Ils représentent la majorité des cas d’usage en entreprise : recrutement, scoring crédit, éducation, santé.
Identifier si vos systèmes sont concernés est la première étape de la conformité. Ne pas le faire vous expose à des sanctions pouvant atteindre 15M€ ou 3% du CA mondial.
🎯 Les 3 Actions Prioritaires
- 1️⃣ Inventoriez tous vos systèmes utilisant l’IA
- 2️⃣ Classifiez chacun selon l’Annexe III
- 3️⃣ Planifiez la mise en conformité des systèmes haut risque
Formation Classification Systèmes IA
Apprenez à identifier et classifier vos systèmes IA selon l’AI Act. Certificat inclus.
Maîtriser la Classification → 500€✅ Annexe III détaillée • ✅ Cas pratiques • ✅ Certificat
📚 Sources Officielles Citées
- Règlement (UE) 2024/1689 – AI Act • Annexe III (systèmes haut risque)
- Commission européenne – Cadre réglementaire IA • Documentation officielle
- CNIL – Dossier Intelligence Artificielle • Position française