Qualification · Spoke 3/3

Système IA « haut risque » : comment qualifier votre usage selon l'annexe III

La catégorie « haut risque » concentre 80 % du poids réglementaire de l'AI Act. Comprendre si votre système y entre — ou non — détermine 3 à 6 mois de travail de conformité. Voici la méthode IAPRO pour trancher, avec exemples concrets et exceptions.

Auditer mes usages IA Retour au guide AI Act

Pourquoi cette qualification est critique

Un système classé haut risque déclenche une avalanche d'obligations : système qualité, documentation technique annexe IV (50-200 pages), évaluation de conformité par organisme notifié, marquage CE, surveillance post-déploiement, journalisation 6 mois minimum, FRIA. À l'inverse, un système qui n'entre pas en catégorie haut risque ne supporte que les obligations générales (art. 4 formation + art. 50 transparence).

L'écart de charge réglementaire entre les deux catégories est facilement de 1 à 30. D'où l'importance de la qualification, qui doit être réalisée par une personne compétente et documentée — un audit IAPRO produit cette documentation opposable.

Les deux portes d'entrée vers « haut risque »

L'article 6 du Règlement définit deux voies d'entrée dans la catégorie. Vous êtes haut risque si au moins l'une des deux s'applique.

Porte 1 — Annexe I

Le système IA est un composant de sécurité d'un produit, ou est lui-même un produit, couvert par la législation d'harmonisation de l'UE listée en annexe I (machines, jouets, ascenseurs, équipements radio, dispositifs médicaux, véhicules, aviation civile, équipements maritimes, etc.) ET ce produit nécessite une évaluation par tierce partie pour sa mise sur le marché.

Porte 2 — Annexe III

Le système IA relève d'un des 8 domaines listés en annexe III. C'est la voie d'entrée la plus fréquente pour les entreprises non-industrielles.

Les 8 domaines de l'annexe III

Voici la liste exhaustive avec exemples concrets et niveau de fréquence en entreprise française.

1. Biométrie

Rare

Identification biométrique à distance, catégorisation biométrique selon attributs sensibles, reconnaissance des émotions (hors usage médical/sécurité).

2. Infrastructures critiques

Rare

Composants de sécurité dans la gestion du trafic routier, de l'eau, du gaz, du chauffage, de l'électricité.

3. Éducation et formation

Fréquent

Évaluation des résultats d'apprentissage, sélection à l'entrée d'établissements, détection de comportements interdits en examen.

4. Emploi et RH

Très fréquent

Recrutement (tri CV, présélection), promotion, licenciement, allocation des tâches sur la base de comportements ou caractéristiques personnels, monitoring et évaluation de la performance.

5. Services essentiels

Très fréquent

Évaluation d'éligibilité aux prestations publiques, scoring crédit (sauf détection de fraudes financières), tarification assurance vie/santé, services d'urgence (triage 911-15).

6. Maintien de l'ordre

Rare

Évaluation du risque qu'une personne soit victime d'infraction, polygraphe, détection de deepfakes, évaluation de la fiabilité des preuves, profilage criminel.

7. Migration et asile

Rare

Polygraphe en entretien d'immigration, évaluation des risques de migration irrégulière, examen des demandes d'asile, de visa, de permis de séjour.

8. Justice et démocratie

Rare

Aide à l'interprétation et à l'application de la loi, influence sur les processus électoraux et les comportements de vote.

Exemples concrets — entreprises françaises typiques

Cas réels rencontrés dans nos audits.

Cabinet de recrutement avec ATS IA

Haut risque (domaine 4). L'outil pré-trie les CV et présélectionne les profils. La décision finale humaine ne suffit pas à sortir de la catégorie : la pré-sélection algorithmique influence l'issue.

Banque mutualiste avec scoring crédit IA

Haut risque (domaine 5), sauf si l'IA est uniquement utilisée pour détecter des fraudes financières (exclusion expresse art. 6 §3).

Cabinet comptable avec chatbot RGPD

Risque limité. Le chatbot ne prend pas de décision affectant les droits. Obligation transparence art. 50, pas plus.

Établissement de formation Qualiopi

Potentiellement haut risque (domaine 3) si l'IA évalue les apprenants. Pas haut risque si l'IA sert uniquement à générer des supports pédagogiques.

Mutuelle santé avec assistance souscription IA

Haut risque (domaine 5). L'évaluation IA influence la tarification ou l'éligibilité.

PME industrielle avec IA prédictive de maintenance

Risque minimal. Aucun lien avec les domaines de l'annexe III. Bonnes pratiques recommandées, pas d'obligations spécifiques.

Collectivité avec IA d'aide à l'instruction de demandes

Haut risque (domaine 5) et FRIA obligatoire au titre du secteur public.

Cabinet d'avocats avec recherche jurisprudentielle IA

Risque limité. Pas d'application de la loi par l'IA (qui reste sous décision humaine de l'avocat). Obligation transparence si génératif.

L'exception article 6 §3 — quand le « haut risque » saute

Le règlement prévoit une exception importante : un système qui relève à première vue de l'annexe III peut ne pas être qualifié haut risque s'il ne présente pas de risque significatif d'atteinte aux droits ou à la santé. Cette exception n'est applicable que dans quatre cas précis.

Tâche procédurale étroite — l'IA exécute une tâche limitée et bien définie (ex : tri préliminaire de documents avant analyse humaine complète).
Amélioration d'un résultat humain antérieur — l'IA améliore le résultat d'une activité préalablement réalisée par un humain (ex : suggestion d'amélioration de style sur un texte humain).
Détection d'écarts dans des schémas de décision — l'IA détecte des écarts sans remplacer ou influencer l'évaluation humaine antérieure.
Tâche préparatoire — l'IA prépare une évaluation à finalité prévue par l'annexe III, sans la réaliser elle-même (ex : classement préalable de cas avant un examen humain de fond).

Attention : si le système IA pratique un profilage de personnes physiques au sens du RGPD, l'exception ne s'applique pas. Le profilage maintient automatiquement la classification haut risque.

L'application de l'exception nécessite une documentation préalable obligatoire (registre de l'analyse menée). Sans cette documentation, l'exception n'est pas opposable en cas de contrôle.

La méthode IAPRO en 6 questions

Suivez les questions dans l'ordre. La première réponse positive détermine la catégorie.

Pratique interdite (art. 5) ?

Si oui → arrêt immédiat. Pas de mise en conformité possible.

Annexe I (composant produit harmonisé) ?

Si oui → haut risque automatique. Évaluation par organisme notifié.

Annexe III (un des 8 domaines) ?

Si non → risque limité ou minimal. Stop là.
Si oui → continuer à Q4.

Profilage de personnes ?

Si oui → haut risque, exception non applicable.
Si non → continuer à Q5.

Exception art. 6 §3 applicable ?

Si une des 4 conditions est remplie ET documentée → risque limité.
Sinon → haut risque.

Documentation

Quel que soit le résultat : documenter le raisonnement pour preuve en cas de contrôle.

Si vous êtes haut risque — la séquence à engager

Compte tenu de l'échéance d'août 2027, voici le séquençage minimum.

T-12 mois : démarrage du système de gestion de la qualité, désignation des responsables, écriture des procédures.
T-9 mois : production de la documentation technique annexe IV. Compter 50 à 200 pages selon complexité.
T-6 mois (si fournisseur) : entrée dans le processus d'évaluation de conformité avec organisme notifié. Marquage CE en fin de processus.
T-3 mois : audit blanc interne. Test de la surveillance humaine effective et des processus d'incident.
T-0 (mise sur le marché) : enregistrement dans la base européenne (fournisseur) ; opération du plan de surveillance post-déploiement (fournisseur + déployeur).

Obligations spécifiques côté déployeur (art. 26)

Si vous utilisez un système IA haut risque fourni par un tiers, vous portez aussi des obligations propres.

Utiliser le système conformément aux instructions du fournisseur (notice technique, conditions prévues, limites documentées).
Désigner un superviseur humain disposant de la compétence, formation et autorité nécessaires.
S'assurer de la qualité des données d'entrée si vous fournissez les données vous-même.
Conserver les journaux automatiques au moins 6 mois (sauf disposition légale plus protectrice).
Réaliser une FRIA (Fundamental Rights Impact Assessment) si vous êtes une autorité publique, un organisme privé fournissant un service public, un acteur du crédit ou de l'assurance.
Informer chaque personne concernée par une décision IA significative qu'elle a été prise par ou avec un système haut risque (sauf cas spécifiques d'enquête).
Notifier le fournisseur et les autorités en cas d'incident grave ou de risque sérieux identifié.

Qualifier vos systèmes — sans erreur

L'audit IAPRO produit une qualification documentée et opposable pour chaque usage IA, avec le raisonnement complet, les sources juridiques et la liste des obligations qui s'appliquent réellement à vous. Aides publiques chiffrées en sortie d'audit.

Demander un audit AI Act

Pour aller plus loin

Guide complet AI Act 2026 — le hub principal.
Checklist conformité en 30 points — outil d'auto-évaluation.
Calendrier d'application 2026-2027 — toutes les dates clés.
Notre formule conformité AI Act & RGPD-IA