Service · Haut risque

Systèmes IA à haut risque (annexe III) : qualification documentée et mise en conformité

Une qualification erronée coûte cher dans les deux sens : un faux positif déclenche 3 à 6 mois de conformité inutile, un faux négatif vous expose aux sanctions maximales. IAPRO qualifie chacun de vos usages IA avec un raisonnement opposable, puis pilote la mise en conformité de ceux qui relèvent réellement du haut risque.

Pourquoi la qualification est l'étape décisive

Un système classé haut risque déclenche un régime complet : système qualité (art. 17), documentation technique annexe IV, évaluation de conformité, surveillance humaine, journalisation, FRIA. Un système hors catégorie ne supporte que les obligations générales (formation art. 4, transparence art. 50).

L'écart de charge réglementaire entre les deux catégories va facilement de 1 à 30. C'est pourquoi la qualification doit être réalisée par une personne compétente et documentée : sans trace écrite du raisonnement, ni la classification ni l'exception de l'article 6 §3 ne sont opposables en cas de contrôle. C'est exactement ce que produit notre prestation.

L'annexe III en bref — les 8 domaines à risque

Vous entrez dans la catégorie haut risque si votre système relève de l'un de ces domaines (sauf exception documentée). En entreprise française, les domaines 4 et 5 concentrent l'essentiel des cas.

  • 1. Biométrie · 2. Infrastructures critiques · 3. Éducation et formation — évaluation d'apprenants, sélection à l'entrée.
  • 4. Emploi et RH — tri de CV, présélection, évaluation de la performance. Le domaine le plus fréquent en entreprise.
  • 5. Services essentiels — scoring crédit, tarification assurance vie/santé, éligibilité aux prestations publiques.
  • 6. Maintien de l'ordre · 7. Migration et asile · 8. Justice et démocratie — rares en entreprise privée.
  • L'exception de l'article 6 §3 peut faire sortir un usage de la catégorie (tâche procédurale étroite, préparation d'une évaluation humaine…) — mais jamais en cas de profilage, et uniquement si l'analyse est documentée au préalable.

Le détail réglementaire complet — les 8 catégories commentées, les 4 conditions d'exception, la FRIA et la classification de l'article 6 — est maintenu sur le guide des systèmes IA haut-risque de Regulia, le référentiel que nous utilisons nous-mêmes en mission. Ici, l'essentiel : déterminer ce qui s'applique réellement à vous, et le prendre en charge.

Notre méthode de qualification en 6 questions

Chaque usage IA passe par la même grille, dans l'ordre. La première réponse positive détermine la catégorie — et tout le raisonnement est consigné dans votre dossier.

01

Pratique interdite (art. 5) ?

Si oui → arrêt immédiat. Pas de mise en conformité possible.

02

Annexe I (composant produit harmonisé) ?

Si oui → haut risque automatique. Évaluation par organisme notifié.

03

Annexe III (un des 8 domaines) ?

Si non → risque limité ou minimal. Stop là.
Si oui → continuer à Q4.

04

Profilage de personnes ?

Si oui → haut risque, exception non applicable.
Si non → continuer à Q5.

05

Exception art. 6 §3 applicable ?

Si une des 4 conditions est remplie ET documentée → risque limité.
Sinon → haut risque.

06

Documentation

Quel que soit le résultat : le raisonnement est consigné, daté et opposable en cas de contrôle.

Cas typiques tranchés en audit

Quatre situations représentatives de ce que nous qualifions chez nos interlocuteurs.

Cabinet de recrutement avec ATS IA

Haut risque (domaine 4). L'outil pré-trie les CV et présélectionne les profils. La décision finale humaine ne suffit pas à sortir de la catégorie : la pré-sélection algorithmique influence l'issue.

Banque mutualiste avec scoring crédit IA

Haut risque (domaine 5), sauf si l'IA est uniquement utilisée pour détecter des fraudes financières (exclusion expresse art. 6 §3).

Établissement de formation Qualiopi

Potentiellement haut risque (domaine 3) si l'IA évalue les apprenants. Hors catégorie si l'IA sert uniquement à générer des supports pédagogiques.

Collectivité avec IA d'aide à l'instruction

Haut risque (domaine 5) et FRIA obligatoire au titre du secteur public. Voir aussi notre offre IA secteur public.

Si vous êtes haut risque : ce que nous pilotons pour vous

L'échéance de décembre 2027 laisse peu de marge : la mise en conformité d'un système haut risque représente 6 à 12 mois de travail. Notre accompagnement couvre la totalité du chantier.

  • Système de gestion de la qualité (art. 17) — politique, procédures, responsabilités, rédigés avec vos équipes.
  • Documentation technique (annexe IV) — le dossier de 50 à 200 pages : description du système, données, performances, gestion des risques, cybersécurité.
  • Surveillance humaine effective (art. 14) — qui supervise, comment, à quelle fréquence, avec quel niveau de compétence.
  • FRIA (analyse d'impact sur les droits fondamentaux) — obligatoire pour le secteur public, le crédit et l'assurance.
  • Obligations déployeur (art. 26) — usage conforme aux instructions du fournisseur, qualité des données d'entrée, conservation des journaux 6 mois, information des personnes concernées.
  • Audit blanc final — simulation de contrôle avant l'échéance, ajustements, et préparation du marquage CE si vous êtes fournisseur.

Qualifiez vos systèmes — sans erreur

Devis sous 48 h après un premier échange gratuit. Vous obtenez une qualification documentée et opposable pour chaque usage IA, la liste des obligations qui s'appliquent réellement à vous, et le chiffrage des aides publiques mobilisables.

Demander mon devis

Pour aller plus loin