Systèmes d'IA à Haut Risque : Préparez-vous à la Conformité Annexe III de l'AI Act

Les systèmes d'IA à haut risque sont définis par l'Annexe III de l'AI Act de l'UE (Règlement 2024/1689) comme des systèmes d'IA déployés dans huit domaines critiques : la biométrie, la gestion des infrastructures critiques, l'éducation et la formation professionnelle, l'emploi et la gestion des travailleurs, l'accès aux services privés essentiels (y compris le scoring de crédit), le maintien de l'ordre public, la gestion des migrations et de l'asile, et l'administration de la justice et des processus démocratiques. Les fournisseurs de ces systèmes doivent réaliser une évaluation de conformité, maintenir une documentation technique détaillée, mettre en œuvre un système de gestion des risques au titre de l'art. 9, garantir une supervision humaine, et enregistrer le système dans la base de données européenne avant le déploiement. À partir d'août 2026, les systèmes d'IA à haut risque non conformes ne pourront pas être légalement mis sur le marché ou utilisés dans l'UE, avec des amendes atteignant 15 millions d'euros ou 3 % du chiffre d'affaires mondial.

Notre équipe de conformité AI Act combine une expertise juridique dans le Règlement avec une expérience technique dans les systèmes d’apprentissage automatique, l’évaluation algorithmique des risques et les processus de certification des produits réglementés.

Ce service s’inscrit dans notre conseil juridique.

La Vérification de Réalité de l’Annexe III

L’Annexe III de l’AI Act est la liste que la plupart des entreprises doivent connaître et que le moins grand nombre a lue attentivement. Huit catégories de systèmes d’IA — du scoring de crédit à la sélection des candidats à l’embauche, de la gestion des infrastructures critiques à l’identification biométrique — sont soumises à un régime d’obligations substantiellement plus exigeant que le reste du Règlement. La question n’est pas théorique : si votre organisation utilise l’IA pour prendre ou influencer des décisions concernant des personnes dans l’un de ces contextes, les obligations d’août 2026 vous s’appliquent directement.

La Classification n’est pas Évidente

La classification comme à haut risque dépend non seulement de la technologie, mais de l’usage spécifique qui en est fait. Un système de reconnaissance faciale utilisé en interne pour le contrôle d’accès à un établissement peut ne pas être à haut risque ; le même système utilisé pour identifier des personnes dans des espaces publics l’est probablement. La confirmation de la classification est le premier service que nous fournissons parce qu’il est le fondement de tout ce qui suit.

L’Exigence de Documentation Technique

La documentation technique requise par l’Annexe IV est étendue et spécifique. Ce n’est pas un document descriptif générique mais un ensemble de preuves techniques couvrant le fonctionnement du système, les données sur lesquelles il a été entraîné, la manière dont ses performances ont été évaluées, les biais détectés et la façon dont ils ont été atténués, et la manière dont la supervision humaine est garantie dans l’usage opérationnel.

Intégration des Obligations AI Act et RGPD

Pour les systèmes d’IA à haut risque qui traitent des données personnelles — ce qui inclut pratiquement tous les systèmes de sélection des candidats, de scoring financier et d’identification biométrique — la conformité AI Act doit être coordonnée avec les obligations RGPD. L’évaluation d’impact sur les droits fondamentaux de l’AI Act et l’analyse d’impact relative à la protection des données (AIPD) du RGPD ne sont pas redondantes mais se recoupent : un processus intégré évite les doublons et garantit la cohérence mutuelle des deux cadres de conformité.

Surveillance Post-Commercialisation comme Obligation Continue

La surveillance post-commercialisation est peut-être l’obligation AI Act la plus sous-estimée pour les systèmes à haut risque. La conformité au moment du déploiement n’est pas suffisante : le Règlement exige un système continu pour collecter et analyser des données sur le fonctionnement réel du système. Cela signifie définir des indicateurs de performance et d’équité, établir des seuils d’alerte déclenchant des révisions, et maintenir des registres démontrant que le système continue de fonctionner conformément à l’évaluation de conformité initiale.

Notre processus de conformité IA à haut risque

Nous gérons le cycle de vie complet de la conformité pour les systèmes d’IA à haut risque : de la confirmation de classification à la documentation technique, l’évaluation de conformité, le marquage CE lorsqu’il est requis, et les systèmes de surveillance post-commercialisation. Nous agissons comme conseiller juridique et technique intégré pour les fournisseurs et les déployeurs.

Notre processus se déroule en phases structurées :

Confirmation de classification et périmètre — Nous vérifions si le système relève des catégories de l’Annexe III, en analysant le cas d’usage réel, la population concernée et le degré d’autonomie du système. Une mauvaise classification est la source la plus fréquente de risque réglementaire. Conception du système de gestion des risques — Nous mettons en œuvre le système de gestion des risques requis par l’art. 9 de l’AI Act : identification et évaluation des risques prévisibles, mesures d’atténuation, tests de robustesse et plan de révision continue sur l’ensemble du cycle de vie du système. Documentation technique et évaluation de conformité — Nous préparons le dossier complet de documentation technique requis par l’Annexe IV : description du système, données d’entraînement, métriques de performance, mesures de supervision humaine et analyse des risques. Nous gérons le processus d’évaluation de conformité, y compris la coordination avec les organismes notifiés lorsque requis. Enregistrement européen, marquage CE et surveillance post-commercialisation — Nous gérons l’enregistrement du système dans la base de données européenne avant la commercialisation, coordonnons le processus de marquage CE pour les systèmes qui l’exigent, et concevons le système de surveillance post-commercialisation avec les indicateurs de performance et d’équité requis.

Chaque étape est documentée et produit des livrables concrets. Nous privilégions la clarté opérationnelle : à l’issue de chaque phase, vous savez exactement où vous en êtes, ce qui reste à faire et quel est votre niveau de conformité ou de protection réelle.

Ce qu’inclut notre service de conformité IA à haut risque

Notre service couvre l’ensemble du périmètre nécessaire à une protection réelle et durable :

Confirmation de Classification Annexe III : Analyse juridique et technique pour déterminer si un système spécifique relève des catégories de l’Annexe III, en tenant compte de l’usage réel, de la position dans la chaîne de valeur et de la population concernée.

Système de Gestion des Risques (Art. 9) : Mise en œuvre du système de gestion des risques requis par l’AI Act : identification des risques, évaluation de la probabilité et de l’impact, mesures d’atténuation et plan de révision continue sur le cycle de vie du système.

Documentation Technique Complète (Annexe IV) : Préparation du dossier complet de documentation technique : description du système, données d’entraînement, métriques de performance, analyse des biais, dispositions de supervision humaine et plan de mise à jour.

Évaluation de Conformité et Marquage CE : Gestion du processus d’évaluation de conformité : auto-évaluation par rapport aux normes harmonisées ou coordination avec les organismes notifiés, déclaration de conformité et processus de marquage CE.

Enregistrement Européen et Surveillance Post-Commercialisation : Gestion de l’enregistrement dans la base de données européenne et conception du système de surveillance post-commercialisation avec des indicateurs de performance, d’équité et d’incidents graves.

Accompagnement sur Mesure

Toute intervention dans ce domaine commence par une analyse de votre situation spécifique — taille de l’entreprise, secteur d’activité, exposition géographique et historique de conformité. Nous ne proposons pas de solutions génériques : chaque recommandation est calibrée sur votre réalité opérationnelle et votre tolérance au risque.

Pour les groupes internationaux opérant en Espagne, nous coordonnons avec les équipes locales de conformité et les cabinets partenaires dans les autres juridictions concernées. Pour les PME, nous calibrons l’effort de mise en conformité de manière proportionnelle — en distinguant les obligations légalement exigibles des bonnes pratiques recommandées, pour que le budget juridique soit alloué de façon optimale.

Notre équipe maintient une veille réglementaire continue sur l’évolution du cadre espagnol et européen. Les clients bénéficient d’alertes proactives sur les changements législatifs les concernant — avant que ces changements ne créent une exposition réglementaire non anticipée.

Cas Pratique : Éditeur Logiciel — Qualification et Conformité AI Act pour un Outil de Scoring RH

Un éditeur logiciel espagnol (52 salariés, CA 8 M€) avait développé un outil de scoring basé sur le machine learning utilisé par des DRH pour présélectionner des candidats à des postes. L’éditeur ne savait pas si son outil était qualifiable de “système d’IA à haut risque” au sens de l’AI Act (Annexe III, point 4 : systèmes d’IA destinés à être utilisés pour le recrutement). Plusieurs clients grands comptes avaient commencé à poser des questions sur la conformité AI Act dans leurs appels d’offres.

BMC a réalisé une analyse de qualification en 3 semaines. Conclusion : l’outil est effectivement qualifié de système d’IA à haut risque au titre de l’Annexe III, point 4.a de l’AI Act (systèmes d’IA destinés à être utilisés pour la présélection des candidatures à des postes de travail). Les obligations applicables à l’éditeur en tant que fournisseur incluent : système de gestion des risques (art. 9), qualité des données (art. 10), documentation technique complète (art. 11 et Annexe IV), transparence envers les déployeurs (art. 13), supervision humaine (art. 14), précision et robustesse (art. 15), et enregistrement dans la base de données UE (art. 51).

BMC a piloté le programme de conformité en 4 mois : rédaction de la documentation technique Annexe IV (42 pages couvrant l’architecture du modèle, les données d’entraînement et de test, les métriques de performance et d’équité, les analyses de biais par genre et origine, et les procédures de mise à jour), déploiement du système de gestion des risques, rédaction des instructions d’utilisation pour les déployeurs, et coordination du processus de marquage CE par auto-évaluation. L’outil est maintenant enregistré dans la base de données européenne des systèmes d’IA à haut risque et conforme aux exigences de l’AI Act applicables en 2025-2026.

Cadre Réglementaire Détaillé

Règlement UE 2024/1689 — AI Act : Règlement européen sur l’intelligence artificielle entré en vigueur le 1er août 2024. Application progressive : interdictions (art. 5) depuis le 2 février 2025 ; systèmes d’IA à haut risque (Annexe III) depuis le 2 août 2026 ; autres dispositions depuis le 2 août 2027. Les systèmes d’IA à haut risque sont listés à l’Annexe III en 8 catégories (infrastructures critiques, éducation, emploi, services essentiels, maintien de l’ordre, justice, migrations, biométrie).

Art. 9 AI Act — Système de Gestion des Risques : Le fournisseur d’un système d’IA à haut risque doit établir, mettre en œuvre, documenter et maintenir un système de gestion des risques sur l’ensemble du cycle de vie du système. Ce système comprend l’identification, l’estimation et l’évaluation des risques, les mesures d’atténuation, et les tests de résiduels de risque.

Art. 10 AI Act — Données et Gouvernance des Données : Les données d’entraînement, de validation et de test doivent satisfaire à des critères de qualité spécifiques : pertinence, représentativité, absence d’erreurs et de complétude. Les pratiques de gouvernance des données doivent être documentées. L’analyse des biais potentiels est obligatoire.

Art. 51 AI Act — Enregistrement dans la Base de Données Européenne : Les fournisseurs de systèmes d’IA à haut risque listés à l’Annexe III doivent les enregistrer dans la base de données accessible au public gérée par la Commission européenne (EU AI Act Database) avant de les mettre sur le marché.

RGPD et AI Act — Interaction : Les systèmes d’IA traitant des données personnelles sont soumis simultanément au RGPD et à l’AI Act. La DPIA (art. 35 RGPD) est complémentaire — mais distincte — de l’évaluation de conformité AI Act. L’art. 26 AI Act prévoit une coordination pour les traitements biométriques.

Secteurs à Forte Exposition à l’AI Act

Les secteurs où l’AI Act a l’impact le plus immédiat en Espagne. Dans les ressources humaines (recrutement, évaluation des performances, gestion RH) : Annexe III point 4 — systèmes de présélection, de notation et d’évaluation des candidats ou salariés. Dans les services financiers (scoring de crédit, détection de fraudes, assurance) : Annexe III point 5.b — systèmes évaluant la solvabilité des personnes physiques. Dans la santé (aide au diagnostic, dispositifs médicaux IA, imagerie médicale) : Annexe III point 2 — systèmes destinés à être utilisés comme dispositifs médicaux. Dans l’éducation (évaluation des étudiants, accès aux établissements) : Annexe III point 3 — systèmes destinés à l’évaluation dans les établissements d’enseignement.

Segmentation par Rôle dans la Chaîne de Valeur AI

Fournisseur (éditeur du système d’IA) : Obligation la plus lourde — système de gestion des risques, documentation technique, marquage CE, enregistrement EU. Les fournisseurs de systèmes à haut risque ont 24 mois à compter du 2 août 2024 pour se mettre en conformité (délai : 2 août 2026).

Déployeur (entreprise utilisant le système d’IA) : Obligations de supervision humaine, formation des utilisateurs, journalisation et notification des incidents graves. Les déployeurs d’Annexe III doivent réaliser une évaluation des droits fondamentaux avant déploiement dans certains cas.

Importateur/Distributeur : Obligations de vérification de la conformité du fournisseur, notamment le marquage CE et la documentation technique. Le distributeur engage sa responsabilité si le système n’est pas conforme et qu’il le met à disposition sur le marché UE.

Couverture Géographique

BMC accompagne la conformité AI Act depuis ses bureaux de Madrid, Málaga (startups IA du PTA) et Las Palmas de Gran Canaria. Pour les systèmes d’IA distribués dans plusieurs États membres, nous coordonnons avec les autorités nationales compétentes (AEPD en Espagne pour les traitements de données personnelles, autorité sectorielle pour les dispositifs médicaux ou financiers).

Cinq Erreurs Fréquentes des Entreprises face à l’AI Act

1. Ignorer la qualification “à haut risque” : Beaucoup d’entreprises présument que leur système n’est pas à haut risque sans avoir réalisé l’analyse de qualification formelle. L’Annexe III est plus large que ce que beaucoup anticipent — notamment pour les RH, le scoring financier et la santé.

2. Confondre l’auto-évaluation et l’organisme notifié : Pour la majorité des systèmes à haut risque de l’Annexe III, l’auto-évaluation est possible. Mais pour certains (biométrie, maintien de l’ordre, infrastructures critiques), un organisme notifié est obligatoire. Choisir le mauvais parcours de conformité invalide le marquage CE.

3. Négliger la gouvernance des données d’entraînement : L’art. 10 AI Act est le point de non-conformité le plus fréquent dans les premiers audits. Les éditeurs qui n’ont pas documenté leurs données d’entraînement, de validation et de test ont du travail à faire avant de se qualifier.

4. Ignorer les obligations des déployeurs : Les entreprises qui achètent et déploient des systèmes d’IA tiers ont leurs propres obligations. Beaucoup se croient protégées par les certifications du fournisseur — ce n’est pas le cas pour les obligations de supervision humaine et d’évaluation des droits fondamentaux.

5. Attendre la deadline de 2026 : Les entreprises qui attendent août 2026 pour commencer à se mettre en conformité découvriront que le délai est insuffisant pour des systèmes complexes. Les programmes de conformité AI Act sérieux prennent 4 à 12 mois selon la complexité du système.

Pourquoi BMC

BMC est l’un des premiers cabinets en Espagne à avoir développé une practice AI Act dédiée, combinant des juristes spécialisés en droit numérique et des consultants en gouvernance de l’IA capables de travailler avec les équipes data science et ingénierie. Notre approche couvre l’ensemble du cycle de conformité : qualification, analyse des écarts, déploiement des contrôles, documentation technique et support à la certification.

Contactez notre équipe pour une analyse de qualification gratuite de votre système d’IA par rapport aux catégories à haut risque de l’AI Act. Vous saurez en 5 jours ouvrables si votre système est soumis aux obligations de l’Annexe III et quelles sont les étapes de conformité applicables.