Annexe III

L'annexe III du EU AI Act définit huit catégories de systèmes d'IA automatiquement classés comme à haut risque en raison de leur impact potentiel sur la santé, la sécurité et les droits fondamentaux. Si un système d'IA relève d'une de ces catégories et prend, ou influence, des décisions significatives concernant des personnes, il déclenche l'ensemble des obligations de conformité prévues aux articles 8 à 15, notamment en matière de documentation technique, de gestion des risques, de supervision humaine et d'évaluation de la conformité.

Les huit catégories de l'annexe III sont : (1) Biométrie : systèmes d'identification biométrique à distance et de catégorisation biométrique des personnes physiques ; (2) Infrastructures critiques : systèmes d'IA utilisés comme composants de sécurité dans la gestion et l'exploitation d'infrastructures numériques critiques, du trafic routier et de l'approvisionnement en eau, gaz, chauffage et électricité ; (3) Éducation et formation professionnelle : systèmes d'IA qui déterminent l'accès à l'éducation, évaluent les résultats d'apprentissage ou déterminent le niveau d'éducation approprié ; (4) Emploi et gestion des travailleurs : systèmes d'IA utilisés pour le recrutement, les décisions de promotion, l'affectation des tâches et la surveillance ou l'évaluation des travailleurs ; (5) Accès aux services essentiels : systèmes d'IA qui évaluent la solvabilité, déterminent les prix pour l'assurance vie et santé, évaluent l'éligibilité à des prestations publiques ou la priorité de dispatch des services d'urgence ; (6) Application de la loi : systèmes d'IA utilisés pour des évaluations individuelles des risques, des polygraphes, l'évaluation de la fiabilité des preuves ou la prédiction de la criminalité ; (7) Migration, asile et contrôle aux frontières : systèmes d'IA pour des évaluations des risques, la vérification de l'authenticité des documents ou le traitement des demandes de visas et de permis de séjour ; (8) Administration de la justice : systèmes d'IA qui assistent les autorités judiciaires dans la recherche et l'interprétation des faits et du droit, ou dans l'application du droit aux faits.

Déterminer si votre système d'IA relève de l'annexe III est la première étape critique de la planification de la conformité à l'EU AI Act. La classification détermine l'intégralité du parcours de conformité. Les systèmes à haut risque de l'annexe III font face à des exigences étendues de documentation (annexe IV), à des systèmes de gestion des risques obligatoires, à des obligations de supervision humaine et à des procédures d'évaluation de la conformité avant de pouvoir être mis sur le marché de l'UE ou mis en service. Le seuil de « décision significative » est important : un système d'IA ne devient à haut risque au titre de l'annexe III que s'il prend, ou influence matériellement, des décisions ayant des effets significatifs sur les personnes, et non s'il fournit simplement des informations générales ou exécute des fonctions auxiliaires.

Les organisations devraient conduire un inventaire systématique de tous les systèmes d'IA utilisés ou en développement, et les cartographier par rapport aux catégories de l'annexe III. Pour les cas limites, examinez si la sortie du système influence directement des décisions relatives à l'accès à des services, à l'emploi, à l'éducation ou à des affaires juridiques. Documentez soigneusement votre justification de classification, car les autorités peuvent contester des classifications qui semblent minimiser les obligations de conformité. Pour les systèmes clairement à haut risque, commencez la planification immédiatement : l'échéance d'août 2026 pour les systèmes de l'annexe III exige une conformité opérationnelle, pas seulement une documentation en cours de rédaction.