Le socle commun aux 3 secteurs
Avant les spécificités, certaines obligations sont communes à tous les systèmes haut risque (article 8 à 17 du règlement) :
- Système de gestion des risques (art. 9) — continu sur tout le cycle de vie.
- Qualité des données (art. 10) — pertinence, représentativité, biais.
- Documentation technique annexe IV (art. 11) — voir notre modèle commenté.
- Journaux automatiques (art. 12) — capacité du système + tenue par le déployeur.
- Transparence et notice d'utilisation (art. 13) — communication claire au déployeur.
- Supervision humaine effective (art. 14) — capacité d'interrompre, contredire, comprendre.
- Exactitude, robustesse, cybersécurité (art. 15) — métriques quantifiables.
- FRIA déployeur (art. 27) — analyse droits fondamentaux.
Au-delà du socle commun, chaque secteur ajoute ses spécificités.
Secteur 1 — RH : annexe III §4
Périmètre
L'annexe III §4 vise quatre catégories : (a) recrutement et présélection, (b) prise de décisions affectant les relations de travail, promotion, résiliation, (c) allocation de tâches, (d) suivi et évaluation de la performance et du comportement.
Articulation avec le RGPD
L'article 22 RGPD interdit les décisions entièrement automatisées avec effet juridique sauf base légale renforcée, et impose : information préalable, droit d'obtenir une intervention humaine, droit d'exprimer son point de vue, droit de contester. Voir CNIL — Recrutement.
Articulation avec le code du travail
- Article L. 1222-4 : information préalable des salariés sur les dispositifs de surveillance.
- Article L. 2312-38 : consultation du CSE avant introduction.
- Article L. 1132-1 : interdiction de discrimination.
- Avis CNB du 26 juin 2024 pour les avocats spécialisés droit social.
Doctrine CNIL spécifique
La CNIL publie régulièrement des fiches sur le recrutement IA, la vidéosurveillance au travail, le télétravail. La page CNIL vie professionnelle consolide ces ressources. Position constante : minimisation des données, transparence, intervention humaine effective.
Cas concret IAPRO
Cabinet RH 22 salariés, scoring CV. AIPD + FRIA consolidées 42 pages, plan article 4 14h par recruteur + 35h pour DPO. Supervision humaine sur 100 % des décisions négatives. Coût : 18 500 € HT, OPCO 80 %. Voir RH tri CV sans tomber annexe III §4.
Sanctions cumulées RH
Pour une PME RH 4 M€ CA mondial : - RGPD art. 22 : jusqu'à 4 % CA. - AI Act art. 6+26 : jusqu'à 3 % CA. - Code du travail (discrimination) : indemnités prud'homales individuelles + civiles. - Total théorique : ~280 k€ + indemnités.
Secteur 2 — Santé
Périmètre
L'annexe III §5(d) vise l'accès aux services essentiels — la santé en fait partie. L'intersection avec le règlement (UE) 2017/745 (MDR — Medical Device Regulation) et (UE) 2017/746 (IVDR — In Vitro Diagnostic Regulation) ajoute une couche de qualification spécifique pour les systèmes d'IA intégrés à des dispositifs médicaux.
Articulation MDR / IVDR
Si le système d'IA est un dispositif médical au sens MDR (classe IIa, IIb, III), il fait l'objet : - D'un marquage CE par organisme notifié. - D'une déclaration de conformité MDR. - D'une déclaration de conformité AI Act (article 47). - D'une articulation des deux via l'ANSM.
Conformité HDS
Les données de santé doivent être hébergées chez un hébergeur certifié HDS (Hébergement de Données de Santé), référentiel piloté par l'Agence du Numérique en Santé. Le secret médical (article L. 1110-4 du code de la santé publique) impose des contraintes supplémentaires.
Doctrine HAS
La Haute Autorité de Santé publie des recommandations sur l'IA en santé : aide au diagnostic, télémédecine, prédiction de risque. Ces recommandations convergent avec l'AI Act mais en précisent les modalités cliniques.
Cas concret IAPRO
Cabinet médical 3 médecins libéraux + dictée médicale locale. Installation Mistral Small + Whisper on-premise, stockage chiffré local. Plan article 4 de 7h par praticien. Conformité HDS via hébergeur certifié. Aucun transfert hors UE. Coût installation : 9 800 € + 280 €/mois maintenance.
Sanctions cumulées santé
- RGPD art. 9 + 22 : jusqu'à 4 % CA.
- AI Act art. 6+26 : jusqu'à 3 % CA.
- MDR : sanctions ANSM (jusqu'à 1 M€ ou 1 % CA selon nature).
- Secret médical : sanctions pénales individuelles (article 226-13 code pénal).
Secteur 3 — Banque-finance
Périmètre
L'annexe III §5(b) vise explicitement le scoring de solvabilité par les établissements de crédit, sauf vérification basique de fraude. L'annexe III §5(c) vise l'assurance vie et santé. Au-delà, la supervision ACPR ajoute une couche prudentielle distincte.
Articulation avec DORA
Le règlement (UE) 2022/2554 (DORA — Digital Operational Resilience Act) impose à tous les établissements financiers une gouvernance opérationnelle numérique solide. L'AI Act se cumule à DORA — notamment sur la gestion des risques (art. 9 AI Act + DORA chapitre 2) et sur le signalement d'incidents (art. 73 AI Act + DORA chapitre 3). Voir notre future page AI Act DORA croisement.
Risque modèle ACPR
L'ACPR publie depuis 2020 un guide sur le risque modèle : tout modèle (statistique ou IA) doit faire l'objet d'une gouvernance, d'une documentation, d'une validation indépendante, d'un monitoring. Cette doctrine se cumule à l'AI Act sans s'y substituer.
Articulation avec Bâle III
Pour les banques systémiques, Bâle III intègre des exigences capitalistiques (Pilier 1) et opérationnelles (Pilier 2) qui touchent indirectement la gouvernance des modèles IA. Cette dimension ne concerne pas les PME bancaires mais les ETI à partir d'un certain seuil de bilan.
Cas concret IAPRO
Banque spécialisée 65 salariés CA 12 M€, scoring crédit IA sur 11 conseillers. Audit consolidé AI Act + RGPD + risque modèle ACPR + DORA. Annexe IV 132 pages, FRIA 28 pages, dossier ACPR 45 pages. Coût total 65 000 € HT, livré en 14 semaines. Voir notre article scoring crédit AI Act.
Sanctions cumulées banque
- RGPD art. 22 : jusqu'à 4 % CA.
- AI Act art. 6+26 : jusqu'à 3 % CA.
- ACPR (sanction prudentielle) : selon gravité, jusqu'à 100 M€ ou 10 % CA.
- DORA : sanctions distinctes.
- Cumul théorique : peut dépasser 20 % du CA mondial pour les manquements graves.
La matrice des obligations par secteur
| Obligation | RH | Santé | Banque |
|---|---|---|---|
| Annexe IV | Si fournisseur | Si dispositif médical | Si système haut risque |
| FRIA art. 27 | Oui | Oui | Oui |
| AIPD RGPD art. 35 | Oui | Oui (art. 9) | Oui |
| Plan article 4 | Renforcé | Différencié par profil | Renforcé conseillers |
| Supervision humaine art. 14 | Effective sur décisions négatives | Médecin obligatoire | Avis humain final |
| Certification sectorielle | N/A | HDS + CE MDR | ACPR + DORA |
| Consultation parties prenantes | CSE | Conseil d'éthique | RAF + risque |
| Conservation logs | 5-10 ans RH | 30 ans dossier médical | 10 ans bancaire |
| Régulateur principal | CNIL | ANSM + HAS + CNIL | ACPR + CNIL |
La méthode IAPRO sectorielle en 6 étapes
- Audit de qualification sectorielle : croisement AI Act + RGPD + cadre sectoriel.
- Cartographie des systèmes IA : registre AI Act consolidé.
- AIPD-FRIA combinée par système : 35-80 pages par système haut risque.
- Documentation annexe IV ou audit fournisseur : selon rôle.
- Plan article 4 différencié : par profil et par risque.
- Plan de surveillance post-marché : avec articulation régulateur sectoriel.
Durée typique : 6-10 semaines selon secteur et nombre de systèmes. Cofinancement Bpifrance Diag Data IA jusqu'à 80 %. Notre hub aides détaille les financements.
Le cas de l'ETI multi-secteurs
Une ETI peut combiner les trois dimensions : un assureur déploie un système RH interne (annexe III §4), un système anti-fraude santé (annexe III §5(d)), un scoring de risque (annexe III §5(c)). Conséquence : audit consolidé multi-secteurs, équipe projet avec DPO + référent IA + responsable conformité ACPR + RAF.
Sur les missions IAPRO, ce type d'audit dépasse 100 000 € HT pour une ETI 500-1000 salariés, mais provisionne un risque potentiel de plusieurs millions. Voir notre calculateur ROI IA.
L'AI Pact comme accélérateur sectoriel
Plusieurs grandes entreprises françaises des trois secteurs ont signé l'AI Pact de la Commission européenne. Cette adhésion volontaire (non contraignante juridiquement) envoie un signal au marché et à l'autorité, et peut moduler une sanction à la baisse en cas de contrôle. Pour une PME, signer l'AI Pact est aussi un atout commercial sur les appels d'offres publics et grands comptes.
FAQ — AI Act secteurs sensibles
Quel secteur est le plus exposé en sanctions AI Act ?
Le secteur bancaire est le plus exposé en montant absolu cumulé (AI Act + ACPR + DORA + RGPD = potentiellement >20 % CA). Le secteur santé est exposé en risque pénal individuel (secret médical, responsabilité du praticien). Le secteur RH est exposé en risque réputationnel (sanctions publiques, contentieux prud'homal individuel). Chaque secteur a son profil de risque dominant.
Faut-il un dossier conformité distinct par secteur ?
Oui, le niveau de détail et les pièces attendues divergent. Mais une trame commune (annexe IV générique + FRIA générique) peut être adaptée par secteur via des annexes spécifiques (HDS, ACPR, MDR). Sur les missions IAPRO, on utilise une trame socle + 3 modules sectoriels.
Comment articuler AI Act et règlement MDR ?
Pour un dispositif médical à composante IA, MDR et AI Act s'appliquent cumulativement. L'organisme notifié MDR évalue les deux référentiels simultanément. La déclaration UE de conformité combine MDR et AI Act. La Commission européenne publie des lignes directrices sur l'articulation.
Une PME de scoring crédit doit-elle DORA + AI Act + RGPD ?
Oui. Pour un établissement de crédit même petit, les trois régimes s'appliquent : DORA (résilience opérationnelle numérique), AI Act (système haut risque scoring), RGPD (décision automatisée art. 22). La gouvernance interne doit articuler ces trois dimensions sans double comptage. L'ACPR coordonne avec la CNIL pour les contrôles.
Le secret médical empêche-t-il l'IA cloud ?
Pas formellement, mais en pratique oui. Le secret médical (article L. 1110-4 du code de la santé publique) impose une protection technique forte des données patient. Un cloud public américain expose au transfert hors UE (article 44 RGPD) et au CLOUD Act US, donc n'offre pas une garantie suffisante. Solution recommandée : IA souveraine on-premise ou cloud certifié HDS avec garanties UE.
Comment former le DPO pour ces trois secteurs ?
Formation initiale 35h AI Act + formation sectorielle de 14-21h selon le secteur (CNIL fiches RH, ANSM dispositifs médicaux, ACPR risque modèle). Mise à jour annuelle de 14h. OPCO et CPF cofinancent. Voir notre article Rôle du DPO face à l'AI Act.
Quel régulateur contrôle en premier ?
Cela dépend du secteur et de la nature du grief. La CNIL contrôle principalement RGPD + AI Act droits fondamentaux. L'ACPR sur banque-assurance. L'ANSM sur dispositifs médicaux. La DGCCRF sur produits IA en général. En cas de contrôle multi-régulateurs, coordination via la commission interministérielle.
Le secteur public a-t-il les mêmes obligations ?
Oui en règle générale. Le règlement ne distingue pas selon la nature publique ou privée. Une collectivité ou un établissement public est traité comme une organisation privée pour les obligations AI Act. Spécificités : les organismes publics sont systématiquement soumis à l'inscription dans la base européenne (article 49) et à la transparence renforcée. Voir AI Act collectivités DSI.
Combien coûte un audit sectoriel complet IAPRO ?
Pour une PME 50-100 salariés mono-secteur, 18 000 à 35 000 € HT, livré en 6-10 semaines. Pour une ETI 250-500 salariés mono-secteur, 45 000 à 80 000 € HT, livré en 10-14 semaines. Pour une ETI multi-secteurs, 80 000 à 150 000 € HT. Cofinancement Bpifrance Diag Data IA jusqu'à 80 % sur le diagnostic préparatoire.
Quelle priorité 2026 pour ces trois secteurs ?
(1) Cartographier les systèmes IA déployés, (2) audit art. 5 (pratiques interdites), (3) qualification fournisseur/déployeur, (4) AIPD + FRIA consolidées sur haut risque, (5) plan article 4 différencié. Avec ces 5 actions sur 6-8 mois, vous couvrez 80 % du risque. La documentation annexe IV exhaustive peut s'étaler sur 12-18 mois.
Pour aller plus loin avec IAPRO
Vous opérez en RH, santé ou banque-finance et vous voulez un audit AI Act sectoriel couplé RGPD + régulateur sectoriel ? Notre formule Audit sectoriel + Dossier consolidé se livre en 6-10 semaines, cofinancement Bpifrance Diag Data IA, revue juridique Regulia.fr incluse. Cadrage 30 minutes via le formulaire IAPRO.
Liens utiles
- Hub AI Act IAPRO — analyses complètes
- Hub métiers réglementés — RH, santé, finance
- Hub aides publiques IA — financements Bpifrance, OPCO
- Calculateur ROI IA
- AI Act vs RGPD — grille 7 cas
- Scoring crédit conforme AI Act
- Contact IAPRO
- CNIL — Intelligence artificielle
- CNIL — Vie professionnelle
- ACPR — supervision bancaire
- ANSM — dispositifs médicaux
- HAS — Haute Autorité de Santé
- Agence du Numérique en Santé — HDS
- Regulia.fr — audit AI Act partenaire IAPRO