Système d'IA à haut risque

Un système d'IA à haut risque est une application d'intelligence artificielle que le EU AI Act identifie comme présentant des risques significatifs pour la santé, la sécurité ou les droits fondamentaux, et qu'il soumet donc à des exigences réglementaires complètes. Cette classification déclenche des obligations étendues pour les fournisseurs et les déployeurs, notamment en matière de documentation technique, d'évaluation de la conformité, de mesures de supervision humaine et de surveillance après commercialisation.

La qualification « haut risque » est le concept central du règlement : elle détermine quels systèmes d'IA sont soumis aux obligations de conformité les plus strictes. Les systèmes classés à haut risque doivent respecter les articles 8 à 15, couvrant la gestion des risques, la gouvernance des données, la documentation technique, la tenue des registres, la transparence, la supervision humaine, la précision, la robustesse et la cybersécurité. Le non-respect peut entraîner des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Il existe deux voies de classification. Premièrement, l'annexe III liste huit catégories d'applications considérées intrinsèquement à haut risque : identification et catégorisation biométriques, gestion d'infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services et prestations essentiels, application de la loi, migration et contrôle aux frontières, et administration de la justice. Deuxièmement, les systèmes d'IA qui servent de composants de sécurité de produits couverts par la législation européenne de sécurité des produits (listée à l'annexe I) sont aussi classés à haut risque. À noter : l'article 6(3) prévoit une exception : même si un système relève de l'annexe III, il peut ne pas être considéré à haut risque s'il exécute une tâche procédurale étroite, améliore le résultat d'une activité humaine déjà réalisée, détecte des patterns de décision sans remplacer l'évaluation humaine, ou n'effectue que des tâches préparatoires à des évaluations.

Les organisations doivent d'abord déterminer si leurs systèmes relèvent du haut risque. Cela nécessite une analyse attentive de la finalité du système, pas seulement de ses capacités techniques. Un modèle de scoring de crédit qui influence des décisions de prêt est clairement à haut risque au titre de l'annexe III(5)(b), alors qu'un chatbot de service client fournissant des informations générales ne l'est généralement pas, sauf s'il affecte l'accès à des services essentiels. Une fois classé à haut risque, les obligations sont substantielles. Les fournisseurs doivent établir des systèmes de gestion des risques, mettre en place la gouvernance des données, produire la documentation technique de l'annexe IV, concevoir la supervision humaine, garantir précision et robustesse et conduire l'évaluation de la conformité avant mise sur le marché. Les déployeurs ont des obligations distinctes : supervision humaine, surveillance du fonctionnement et réalisation de FRIA dans certains contextes. La chronologie est critique : les systèmes à haut risque de l'annexe III doivent être conformes d'ici août 2026, tandis que les systèmes relevant de l'annexe I (composants de sécurité de produits) ont jusqu'à août 2027.