Systèmes d'IA à Haut Risque : Préparez-vous à la Conformité Annexe III de l'AI Act

Les systèmes d'IA à haut risque sont définis par l'Annexe III de l'AI Act de l'UE (Règlement 2024/1689) comme des systèmes d'IA déployés dans huit domaines critiques : la biométrie, la gestion des infrastructures critiques, l'éducation et la formation professionnelle, l'emploi et la gestion des travailleurs, l'accès aux services privés essentiels (y compris le scoring de crédit), le maintien de l'ordre public, la gestion des migrations et de l'asile, et l'administration de la justice et des processus démocratiques. Les fournisseurs de ces systèmes doivent réaliser une évaluation de conformité, maintenir une documentation technique détaillée, mettre en œuvre un système de gestion des risques au titre de l'art. 9, garantir une supervision humaine, et enregistrer le système dans la base de données européenne avant le déploiement. À partir d'août 2026, les systèmes d'IA à haut risque non conformes ne pourront pas être légalement mis sur le marché ou utilisés dans l'UE, avec des amendes atteignant 15 millions d'euros ou 3 % du chiffre d'affaires mondial.

Notre équipe de conformité AI Act combine une expertise juridique dans le Règlement avec une expérience technique dans les systèmes d’apprentissage automatique, l’évaluation algorithmique des risques et les processus de certification des produits réglementés.

La Vérification de Réalité de l’Annexe III

L’Annexe III de l’AI Act est la liste que la plupart des entreprises doivent connaître et que le moins grand nombre a lue attentivement. Huit catégories de systèmes d’IA — du scoring de crédit à la sélection des candidats à l’embauche, de la gestion des infrastructures critiques à l’identification biométrique — sont soumises à un régime d’obligations substantiellement plus exigeant que le reste du Règlement. La question n’est pas théorique : si votre organisation utilise l’IA pour prendre ou influencer des décisions concernant des personnes dans l’un de ces contextes, les obligations d’août 2026 vous s’appliquent directement.

La Classification n’est pas Évidente

La classification comme à haut risque dépend non seulement de la technologie, mais de l’usage spécifique qui en est fait. Un système de reconnaissance faciale utilisé en interne pour le contrôle d’accès à un établissement peut ne pas être à haut risque ; le même système utilisé pour identifier des personnes dans des espaces publics l’est probablement. La confirmation de la classification est le premier service que nous fournissons parce qu’il est le fondement de tout ce qui suit.

L’Exigence de Documentation Technique

La documentation technique requise par l’Annexe IV est étendue et spécifique. Ce n’est pas un document descriptif générique mais un ensemble de preuves techniques couvrant le fonctionnement du système, les données sur lesquelles il a été entraîné, la manière dont ses performances ont été évaluées, les biais détectés et la façon dont ils ont été atténués, et la manière dont la supervision humaine est garantie dans l’usage opérationnel.

Intégration des Obligations AI Act et RGPD

Pour les systèmes d’IA à haut risque qui traitent des données personnelles — ce qui inclut pratiquement tous les systèmes de sélection des candidats, de scoring financier et d’identification biométrique — la conformité AI Act doit être coordonnée avec les obligations RGPD. L’évaluation d’impact sur les droits fondamentaux de l’AI Act et l’analyse d’impact relative à la protection des données (AIPD) du RGPD ne sont pas redondantes mais se recoupent : un processus intégré évite les doublons et garantit la cohérence mutuelle des deux cadres de conformité.

Surveillance Post-Commercialisation comme Obligation Continue

La surveillance post-commercialisation est peut-être l’obligation AI Act la plus sous-estimée pour les systèmes à haut risque. La conformité au moment du déploiement n’est pas suffisante : le Règlement exige un système continu pour collecter et analyser des données sur le fonctionnement réel du système. Cela signifie définir des indicateurs de performance et d’équité, établir des seuils d’alerte déclenchant des révisions, et maintenir des registres démontrant que le système continue de fonctionner conformément à l’évaluation de conformité initiale.