Cabinet stratégie IA · France
CONFORMITÉ 11 min de lecture

Système IA haut risque
(Annex III) : êtes-vous concerné ?

L'Annex III de l'AI Act liste 8 domaines où l'usage de l'IA est classé haut risque. Pour ces systèmes, les obligations sont lourdes (DPIA, supervision humaine documentée, journalisation, registre détaillé). Voici comment savoir si votre PME est concernée, avec exemples concrets.

Pourquoi cet article

Si vous utilisez l'IA dans votre PME, la première question stratégique est : est-ce que mes systèmes tombent en haut risque ? Si oui, le coût de mise en conformité change drastiquement (de quelques milliers d'euros à plusieurs dizaines de milliers). Si non, vous restez sur le régime art. 50 (transparence) qui est beaucoup plus léger.

Le problème : la réponse n'est pas évidente. L'Annex III de l'AI Act liste 8 domaines où l'IA est par défaut haut risque, mais avec des nuances et des exceptions qui demandent une analyse au cas par cas. Voici la grille pratique.

Les 8 domaines de l'Annex III

Voici la liste officielle, avec exemples concrets pour PME françaises :

1. Biométrie

Identification ou catégorisation biométrique : reconnaissance faciale, vocale, empreinte, iris, scan veineux. Exemples PME concernés : contrôle d'accès aux locaux par reconnaissance faciale (PME industrielle), authentification biométrique sur smartphone pro (consultant), vérification d'identité automatisée (banque en ligne, fintech).

Note importante : la simple authentification biométrique pour déverrouiller un téléphone n'est pas couverte. Mais dès qu'il y a identification (qui est cette personne parmi N) ou catégorisation (cette personne appartient à tel groupe), c'est haut risque.

2. Infrastructure critique

Composants de sécurité dans la gestion d'infrastructure critique : énergie, eau, transport, télécoms, infrastructures numériques, marchés financiers. Exemples PME concernés : peu pour la majorité des PME (concerne plutôt grandes entreprises et services publics). Mais peut concerner une PME B2B fournissant un composant IA à un opérateur d'infra critique.

3. Éducation et formation professionnelle

Sélection à un programme éducatif, évaluation des résultats d'apprentissage, détection de fraude académique. Exemples PME concernés : organisme de formation utilisant IA pour sélectionner des candidats, EdTech avec scoring automatisé, université privée avec correction d'examens IA, plateforme e-learning avec évaluation IA.

4. Emploi, gestion des travailleurs, accès au travail

C'est le domaine le plus impactant pour les PME. Sont couverts : recrutement (tri CV, présélection, entretiens automatisés), promotion ou licenciement (évaluation performance par IA), allocation de tâches selon profil, supervision automatique des employés. Exemples PME concernés : cabinet de recrutement avec scoring automatique, SIRH avec module évaluation IA, plateforme freelance avec matching IA, ATS avec présélection automatique.

5. Accès aux services essentiels privés et publics

Évaluation d'éligibilité à : prestations sociales, services publics essentiels, soins de santé d'urgence, services d'urgence (police, pompiers), assurance maladie/vie/accident, score de crédit. Exemples PME concernés : courtage assurance avec scoring auto (calcul éligibilité), fintech credit scoring, SaaS RH calcul prestations, mutuelle avec acceptation automatisée.

6. Forces de l'ordre

Évaluation du risque de récidive, prédiction de criminalité, identification d'individus suspects. Pas pertinent pour PME sauf prestataires de services aux forces de l'ordre.

7. Migration, asile, contrôle aux frontières

Évaluation des demandes d'asile, vérification authenticité documents migration. Pas pertinent pour PME standard.

8. Administration de la justice et processus démocratiques

IA d'aide à la décision judiciaire, IA influençant le résultat d'élections. Pas pertinent pour PME standard sauf LegalTech ou prestataires institutionnels.

Les exceptions importantes

L'AI Act prévoit des exceptions pour certains systèmes qui pourraient sembler tomber en haut risque mais ne le sont pas, si :

  • Le système n'est qu'une aide à la décision sans influence significative sur le résultat (ex : un outil de pré-tri qui ne fait que suggérer un classement, mais l'humain refait tout). Difficile à démontrer en pratique.
  • Le système traite des tâches strictement préparatoires (ex : OCR pour numériser des CV, sans aucune analyse).
  • Le système est utilisé pour améliorer le résultat d'une activité humaine antérieure (ex : assistant IA qui aide un recruteur à rédiger un retour candidat, sans intervenir dans la décision).
  • Le système détecte des schémas de décision ou anomalies sans prendre la décision lui-même.

Ces exceptions sont étroites et le providers/déployeurs doivent documenter formellement pourquoi leur système n'est pas haut risque. Ce n'est pas un "opt-out" automatique.

Les 7 obligations renforcées si haut risque

Si votre système est classé haut risque, voici ce que l'AI Act impose au déployeur (vous) :

  1. Système de gestion des risques documenté (art. 9). Identification, analyse, mesures de mitigation, révision périodique.
  2. Gouvernance des données (art. 10). Qualité, représentativité, gestion des biais, traçabilité.
  3. Documentation technique détaillée (art. 11). Plus lourd que la fiche RGPD : architecture, modèle, métriques, limitations.
  4. Journalisation automatique (art. 12). Tous les événements significatifs des systèmes haut risque doivent être loggés.
  5. Transparence et information utilisateurs (art. 13). Notice d'utilisation détaillée fournie aux utilisateurs.
  6. Supervision humaine effective (art. 14). Pas un humain qui clique "OK" en série, une vraie capacité d'intervention.
  7. Précision, robustesse, cybersécurité (art. 15). Tests, métriques, mesures contre les attaques adversariales.

S'ajoutent les obligations RGPD croisées : DPIA obligatoire (art. 35 RGPD), information personnes concernées renforcée (art. 13-14 RGPD), droit de revue 100% humaine si décision automatisée (art. 22 RGPD).

Cas pratique : tri CV par IA dans un cabinet recrutement

Système type : un cabinet de recrutement reçoit 200 CV par poste, utilise un outil IA pour pré-classer en top 20%. Question : est-ce haut risque ?

Analyse : oui, sans ambiguïté. Annex III point 4 (emploi, accès au travail) couvre explicitement "systèmes destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres d'emploi ciblées, analyser et filtrer les candidatures, évaluer les candidats". Le tri par IA tombe directement dedans.

Obligations concrètes :

  • DPIA documentée avant déploiement (RGPD art. 35).
  • Information explicite aux candidats sur l'usage IA dans le tri (RGPD art. 13).
  • Possibilité pour le candidat de demander une revue 100% humaine (RGPD art. 22).
  • Supervision humaine effective : un recruteur valide chaque classement, peut le modifier, justifie sa décision finale (AI Act art. 14).
  • Journalisation des classements et décisions (AI Act art. 12).
  • Documentation technique du système IA fournie par le fournisseur (AI Act art. 13).
  • Information CSE en amont du déploiement (Code du travail).
  • Critères de tri explicités et non-discriminatoires (pas d'âge, genre, origine, handicap, religion, orientation).

Coût typique de mise en conformité pour un cabinet 5-15 personnes : 8 000 à 15 000 € HT (audit + DPIA + ajustements processus + formation + documentation).

Comment classifier vos systèmes en pratique

Méthode pragmatique en 4 étapes :

  1. Inventaire : lister tous vos systèmes IA (chatbots, n8n, agents, SaaS avec IA intégrée).
  2. Test rapide : pour chacun, est-il listé directement à l'Annex III ? Test simple : tri CV, scoring assurance, biométrie, infra critique → haut risque clair. Chatbot, contenu généré, automatisation simple → pas haut risque.
  3. Cas limites : si vous avez un doute (analyse de profil client par exemple), documenter les raisons pour ou contre. En cas de doute persistant, traiter comme haut risque (plus prudent).
  4. Validation externe : passez l'inventaire à un expert (juriste IA ou consultant technique). C'est l'étape qu'on couvre dans nos audits.

Notre calculateur de risque AI Act vous donne un premier filtre en 5 minutes. Si vous tombez en haut risque, l'Audit Standard ou Complet est nécessaire pour structurer la mise en conformité.

QUESTIONS FRÉQUENTES

Questions fréquentes.

L'usage de ChatGPT en interne pour rédiger des emails ou résumer des documents tombe-t-il en haut risque ?

Non, ce sont des usages 'à risque limité' (art. 50, transparence). Vous devez juste mentionner l'usage IA quand le contenu généré est partagé à un tiers (par exemple en signature 'rédigé avec assistance IA'). Pas de DPIA, pas de documentation lourde, pas de supervision documentée. C'est le cas de la majorité des PME qui utilisent l'IA générative pour la productivité bureautique.

Si mon système est haut risque, dois-je arrêter de l'utiliser ?

Non. Haut risque ne veut pas dire interdit. C'est le risque inacceptable (Annex IIa) qui est interdit (social scoring, manipulation cognitive, etc.). Le haut risque est autorisé sous conditions : si vous mettez en place les 7 obligations renforcées (gestion risques, documentation, supervision humaine, etc.), vous pouvez parfaitement utiliser un système haut risque. Beaucoup d'entreprises le font (banques, RH, assurance).

Quelle est la principale différence entre 'risque limité' (art. 50) et 'haut risque' (Annex III) en termes de coût ?

Pour une PME : 5 000-10 000 € HT pour la conformité art. 50 (mentions IA, registre, charte usage), 15 000-50 000 € HT pour la conformité haut risque (DPIA + documentation technique + supervision documentée + audits réguliers). Soit un facteur 5x à 10x. C'est pour ça que l'identification précoce des systèmes haut risque est cruciale : si vous pouvez éviter de tomber dedans (en gardant l'humain dans la boucle de décision), vous économisez beaucoup.

Le SIRH ou ATS que j'utilise déclare ne pas être un système haut risque. Suffisant pour moi ?

Non. Vous êtes le déployeur, le fournisseur (le SaaS) est le provider. Vos obligations existent indépendamment de ce que dit le fournisseur. Un fournisseur peut déclarer que son outil n'est pas haut risque parce qu'il vise à être utilisé largement avec ou sans IA, mais l'usage que vous en faites peut le rendre haut risque. Exemple : un ATS qui propose un score de matching peut être 'limité' chez le fournisseur et 'haut risque' chez vous si vous l'utilisez pour décider de la présélection.

Combien de temps pour se mettre en conformité haut risque à partir de zéro ?

Pour une PME 15-50 personnes avec 1 ou 2 systèmes haut risque : 3 à 6 mois en parallèle de l'activité courante. Avec un audit Standard ou Complet AzenFlow : 4-7 jours d'audit + 2-4 semaines de mise en œuvre interne + ajustements (formation, mentions, processus). Le plus long en pratique est la formalisation de la supervision humaine effective (changer les processus internes, former l'équipe).

Quelle sanction pour un système haut risque non conforme ?

Jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires mondial annuel. Pour une PME, c'est en pratique le 3% du CA qui s'applique (très rarement le maximum absolu). Pour un CA de 5 M€, sanction max théorique : 150 000 €. Sanction réelle probable au premier manquement de bonne foi : 5 000 à 30 000 €, plus élevée en cas de récidive ou de manquement délibéré. La CNIL et la future autorité IA privilégient la mise en demeure puis sanction si pas de correction.

🛠️ Outils gratuits pour passer à l'action

Avant d'attaquer un audit payant, évaluez-vous gratuitement avec ces outils interactifs sans email-gate.

AI ACT · 5 MIN

Calculateur risque AI Act

10 questions, score sur 100 + classification (minimal / limité / haut risque). Sans email.

 CHECKLIST · 15 MIN

Checklist IA Act 35 points

Cases à cocher persistantes : auto-évaluation, registre, transparence, sous-traitants. Imprimable.

 TEMPLATE

Template registre AI Act

Mini-éditeur interactif, 13 champs par système. Export JSON, Markdown, PDF.

📚 POUR APPROFONDIR · COURS GRATUIT · 8 chapitres

IA Act 2026 pour TPE-PME

4 classes de risque, calendrier, registre, sanctions, bonnes pratiques. Conformité opérationnelle.

Suivre le cours →
POUR ALLER PLUS LOIN

Conformité IA Act + RGPD : nos ressources dédiées

HUB COMPLET

Hub conformité IA Act + RGPD

Articles, méthodologie, ressources gratuites (registre, calculateur, checklist), forfaits.

AUDIT PROFESSIONNEL

Audit conformité IA Act

3 forfaits publics : 1 500 € (1j), 6 000 € (4j), 10 500 € (7j). Inventaire + classification + plan d'action.

FORMATION 1 JOUR

Formation IA Act 2026

1 jour pour comprendre le cadre, classifier vos systèmes, monter votre conformité en interne.
PROJET CONCRET ?

Cadrons votre projet en 45 minutes.

Audit gratuit pour identifier vos priorités IA Act et RGPD pour votre PME.

Réserver l'audit