Soéthik← IA responsable

Article · IA Act

Mon système IA est-il à haut risque ? La méthode pour qualifier

C'est la question centrale de l'IA Act : le régime applicable à votre système d'intelligence artificielle dépend presque entièrement de sa qualification. Un outil de recrutement, un scoring de crédit ou un dispositif biométrique n'obéissent pas aux mêmes règles qu'un chatbot d'accueil. Voici la méthode pour qualifier vos systèmes, avec les questions à se poser dans l'ordre.

Publié le 6 juillet 2026 · Jérôme Lesaffre · Références : règlement (UE) 2024/1689, articles 6 et 26, annexe III

Pourquoi la qualification est la première étape

L'IA Act ne s'applique pas à une organisation dans son ensemble mais à chaque système d'IA selon son usage. Le même modèle sous-jacent peut être à risque minimal dans un cas d'usage et à haut risque dans un autre. Avant toute démarche de conformité, il faut donc inventorier les systèmes utilisés puis les qualifier un par un. C'est exactement la logique du registre des traitements en matière de RGPD.

Étape 1 : votre rôle, fournisseur ou déployeur

Le règlement distingue principalement deux rôles. Le fournisseur développe un système d'IA ou le fait développer et le met sur le marché sous son propre nom. Le déployeur utilise un système d'IA sous sa propre autorité dans le cadre de son activité professionnelle. La grande majorité des PME et des collectivités sont déployeurs : elles utilisent des solutions du marché (SIRH avec tri de candidatures, outil de scoring, solution de vidéosurveillance augmentée) sans les développer.

La distinction compte parce que les obligations diffèrent fortement : l'essentiel de la charge documentaire pèse sur le fournisseur, tandis que le déployeur porte des obligations d'usage.

Étape 2 : votre usage figure-t-il à l'annexe III ?

L'annexe III liste les domaines dans lesquels un système d'IA est présumé à haut risque. Huit familles la structurent :

Pour les organisations privées, les cas les plus fréquents en pratique sont les ressources humaines (tout outil de tri ou de classement de candidatures) et le crédit et l'assurance. Pour les collectivités, l'accès aux prestations et services publics essentiels est le point de vigilance principal.

Étape 3 : vérifier l'exemption de l'article 6

Figurer dans un domaine de l'annexe III ne suffit pas toujours. Le règlement prévoit une dérogation lorsque le système ne présente pas de risque important pour la santé, la sécurité ou les droits fondamentaux, notamment quand il :

Le recours à cette dérogation doit être documenté : l'organisation qui l'invoque doit être en mesure de justifier son analyse. Un outil RH qui se contente de convertir des CV en données structurées peut relever de l'exemption ; un outil qui classe ou note les candidats n'en relève pas.

Ce qui découle de la qualification haut risque

Si vous êtes fournisseurSi vous êtes déployeur
Documentation technique complète (article 11 et annexe IV), système de gestion des risques (article 9), gouvernance des données d'entraînement, marquage CE, enregistrement dans la base de données européenne. Utilisation conforme à la notice du fournisseur, supervision humaine effective, conservation des journaux, information des personnes concernées, analyse d'impact sur les droits fondamentaux pour les organismes publics (article 27).

Côté calendrier : ces obligations devaient s'appliquer le 2 août 2026 pour l'annexe III. Un accord politique de mai 2026 (Digital Omnibus) prévoit leur report au 2 décembre 2027, sous réserve d'adoption formelle. Notre article dédié fait le point complet : IA Act, ce qui s'applique vraiment le 2 août 2026.

Le réflexe à retenir. Le report éventuel ne change rien à la démarche : la qualification de vos systèmes est le prérequis de toute la suite. Elle prend du temps (inventaire, entretiens, analyse des contrats fournisseurs) et conditionne aussi vos obligations RGPD, notamment l'article 22 sur les décisions individuelles automatisées. Qualifier maintenant, c'est transformer une échéance subie en calendrier maîtrisé.

Comment nous pouvons vous aider

Nous réalisons la cartographie et la qualification de vos systèmes d'IA : inventaire des outils (y compris le shadow AI), analyse au regard de l'annexe III et des exemptions, revue des contrats fournisseurs, plan d'action priorisé. Cette prestation s'articule avec notre formation pour sécuriser vos projets IA et l'élaboration d'une charte IA pour encadrer les usages internes.

Besoin d'y voir clair pour votre organisation ?

Premier échange sans engagement, sur site ou à distance.

À lire aussi : Calendrier IA Act 2026 · Charte IA · CNIL et IA · Notre accompagnement IA responsable