EuroComply
Créer un compte
Back to blog
Règlement IA UE 7 min read

Comment classer votre système d'IA sous le règlement IA UE : guide étape par étape

What you need to know: Comment classer votre système d'IA sous le règlement IA UE : guide étape par étape

Vous ne savez pas si votre système d'IA est à haut risque ? Suivez le processus de classification officiel avec des exemples pratiques pour les outils d'IA courants en entreprise.

Source: EuroComply Editorial (2025-02-15)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Le règlement IA UE classe les systèmes d'intelligence artificielle en quatre niveaux de risque : Interdit, Élevé, Limité et Minimal. Cette classification détermine l'intégralité de votre feuille de route en matière de conformité. Voici comment procéder.

Étape 1 : Vérifier les pratiques interdites (article 5)

Commencez par vous assurer que votre système ne relève d'aucune des huit catégories interdites. La plupart des systèmes d'IA utilisés en entreprise ne sont pas concernés, mais il convient de vérifier :

  • Le système attribue-t-il des scores aux individus en fonction de leur comportement social ?
  • Recourt-il à des techniques de manipulation subliminale ?
  • Exploite-t-il les vulnérabilités de groupes spécifiques ?
  • Effectue-t-il une identification biométrique en temps réel dans des espaces publics ?
  • Reconnaît-il les émotions sur des lieux de travail ou dans des établissements scolaires ?

Si vous répondez oui à l'une de ces questions, le déploiement doit être suspendu immédiatement. Le système ne peut pas être mis en service au sein de l'Union européenne.

Étape 2 : Consulter la liste des systèmes à haut risque (annexe III)

L'annexe III énumère huit secteurs dans lesquels l'IA est considérée à haut risque lorsqu'elle affecte significativement des individus :

  1. Biométrie — systèmes d'identification à distance
  2. Infrastructures critiques — composants de sécurité dans les réseaux d'énergie, de transport
  3. Éducation — admissions, notation, surveillance, détection de fraude
  4. Emploi — recrutement, tri de CV, évaluation des performances, décisions de licenciement
  5. Services essentiels — notation de crédit, tarification d'assurance, prestations sociales
  6. Application de la loi — évaluation des risques, analyse de preuves, profilage
  7. Migration — évaluation des risques, vérification de documents
  8. Processus démocratiques — systèmes d'influence électorale

La question clé est la suivante : votre système d'IA prend-il ou influence-t-il de manière substantielle des décisions concernant des personnes physiques dans l'un de ces secteurs ?

Étape 3 : Vérifier les obligations de transparence (article 50)

Même si votre système n'est pas à haut risque, des obligations de transparence peuvent s'appliquer :

  • Chatbots : les utilisateurs doivent être informés qu'ils interagissent avec une IA
  • Génération de contenu : les textes, images, fichiers audio ou vidéos générés par IA doivent être étiquetés
  • Reconnaissance des émotions : les personnes concernées doivent en être informées
  • Hypertrucages (deep fakes) : ils doivent être clairement identifiés comme synthétiques

Étape 4 : Risque minimal

Tout le reste relève de cette catégorie. Aucune obligation spécifique ne s'applique — uniquement des codes de conduite volontaires et l'exigence générale de compétence en matière d'IA prévue à l'article 4.

Exemples pratiques

| Système | Classification | Motif | |---------|---------------|-------| | Chatbot de support client | LIMITÉ | Interaction avec des personnes, obligation de transparence | | Outil de tri de CV | ÉLEVÉ | Secteur de l'emploi, influence les décisions d'embauche | | Moteur de recommandation de contenu | MINIMAL | Aucune incidence significative sur les individus | | Détection de fraude pour les prêts | ÉLEVÉ | Services essentiels, conditionne l'accès au crédit | | Générateur d'images IA | LIMITÉ | Produit du contenu synthétique, étiquetage obligatoire | | Capteur de maintenance prédictive | MINIMAL | Aucune incidence sur les individus |

Que faire après la classification

Pour les systèmes à haut risque, vous devez disposer d'un système de gestion des risques, de procédures de gouvernance des données, d'une documentation technique, d'une journalisation automatique, d'informations de transparence destinées aux utilisateurs, de mécanismes de supervision humaine ainsi que de tests de précision et de robustesse. Une évaluation de conformité est également requise avant tout déploiement.

Pour les systèmes à risque limité, des mesures de transparence sont nécessaires — informer les utilisateurs et étiqueter les contenus.

Pour les systèmes à risque minimal, le suivi de codes de conduite volontaires est encouragé, mais aucune obligation contraignante ne s'impose au-delà des exigences de compétence en matière d'IA.

Commencez dès maintenant à classifier vos systèmes. La date limite pour les systèmes à haut risque est le 2 août 2026, et la mise en place d'une infrastructure de conformité prend du temps.

Principales exigences documentaires par niveau de risque

IA interdite (article 5) : Aucune documentation requise — ces systèmes doivent être démantelés ou abandonnés. Si vous identifiez une pratique interdite dans un système existant, documentez le constat et votre plan de remédiation à des fins d'audit.

IA à haut risque (annexe III) : Documentation complète au titre des articles 9 à 15, comprenant un système de gestion des risques, une documentation sur la gouvernance des données, un dossier technique (annexe IV), une journalisation automatique, des instructions d'utilisation et des preuves des dispositions relatives à la supervision humaine. Lorsqu'une évaluation de conformité par un tiers est requise en vertu de l'article 43, conservez la déclaration de conformité UE et enregistrez le système dans la base de données de l'UE (article 71).

IA à risque limité (article 50) : Documentation de divulgation de transparence uniquement. Les systèmes doivent notifier aux utilisateurs qu'ils interagissent avec une IA. Conservez des enregistrements du mécanisme de divulgation et de l'interface utilisateur employée pour le communiquer.

IA à risque minimal : Aucune documentation obligatoire, mais la tenue d'un registre interne des systèmes d'IA et de leurs finalités constitue une bonne pratique et soutient les obligations de compétence en matière d'IA au titre de l'article 4.

Foire aux questions

Comment savoir si mon système d'IA relève de l'annexe III du règlement IA UE ?

L'annexe III recense huit secteurs spécifiques dans lesquels l'IA est classée à haut risque lorsqu'elle affecte significativement des individus : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration et gestion des frontières, et administration de la justice. Le critère déterminant est de savoir si votre système prend ou influence de manière substantielle une décision concernant une personne physique dans l'un de ces secteurs. Un outil de tri de CV dans un service des ressources humaines relève clairement de la catégorie emploi. Un modèle de détection de fraude utilisé dans le crédit à la consommation relève des services essentiels. En cas de doute, la Commission européenne a publié des orientations sur l'interprétation des catégories de l'annexe III.

Quelle est la différence entre un système d'IA à haut risque et un système à risque limité ?

Les systèmes d'IA à haut risque relevant de l'annexe III sont soumis au régime de conformité complet — gestion des risques, gouvernance des données, documentation technique, journalisation, supervision humaine, évaluation de conformité et enregistrement. Les systèmes à risque limité relevant de l'article 50 n'ont que des obligations de transparence : les utilisateurs doivent être informés lorsqu'ils interagissent avec une IA, les contenus générés par IA doivent être étiquetés, et les systèmes de reconnaissance des émotions doivent notifier la personne concernée. La différence de charge de conformité est substantielle. Un chatbot de service client est généralement à risque limité et ne requiert que des divulgations de transparence, tandis qu'un outil d'IA utilisé pour sélectionner des candidats à un emploi est à haut risque et nécessite l'intégralité du processus de documentation et d'évaluation.

Un système d'IA peut-il changer de niveau de risque dans le temps ?

Oui. Le niveau de risque s'applique au cas d'usage et au contexte de déploiement du système, et pas seulement à son architecture technique. Si un outil déployé initialement à des fins à risque minimal — comme un moteur de recommandation de contenu — est ultérieurement adapté pour influencer des décisions relatives à l'accès à des services essentiels, sa classification de risque évolue. Les fournisseurs et déployeurs doivent réévaluer la classification chaque fois que la finalité prévue, le contexte de déploiement ou les données d'entrée changent de manière significative. C'est pourquoi la tenue d'un inventaire des systèmes d'IA avec des cas d'usage documentés est essentielle : elle constitue la référence à partir de laquelle les changements peuvent être évalués et les décisions de reclassification consignées.

Sources

  • EUR-Lex, Règlement (UE) 2024/1689 (règlement IA UE), annexe III (systèmes d'IA à haut risque) : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • Commission européenne, orientations sur la classification des risques dans le règlement IA : https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  • ENISA, méthodologie et outils d'évaluation des risques liés à l'IA : https://www.enisa.europa.eu/topics/artificial-intelligence

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Key takeaways: Comment classer votre système d'IA sous le règlement IA UE : guide étape par étape

This article covers: Étape 1 : Vérifier les pratiques interdites (article 5), Étape 2 : Consulter la liste des systèmes à haut risque (annexe III), Étape 3 : Vérifier les obligations de transparence (article 50).

  • Étape 1 : Vérifier les pratiques interdites (article 5)
  • Étape 2 : Consulter la liste des systèmes à haut risque (annexe III)
  • Étape 3 : Vérifier les obligations de transparence (article 50)
  • Étape 4 : Risque minimal
  • Exemples pratiques
Source: EuroComply Editorial (2025-02-15)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Comment classer votre système d'IA sous le règlement IA UE : guide étape par étape