Cabinet de stratégie IA · 100 % remote · France & Europe
CHAPITRE 2 / 8 13 min de lecture Pyramide des risques

Les 4 classes de risque,
simplement.

Le règlement européen ne traite pas un filtre anti-spam comme un système de notation de candidats à un emploi.

Plus le risque pour les droits fondamentaux est élevé, plus les obligations sont strictes. Ce chapitre vous explique la logique en 4 niveaux, avec des exemples qui parlent à votre quotidien de TPE ou PME.

1. Le principe : risque proportionnel aux obligations

L'IA Act repose sur une idée centrale : plus un système d'IA peut nuire, plus il doit être encadré. Cette logique est inscrite dans la structure même du règlement, qui définit 4 niveaux dans une pyramide.

Au sommet : ce qui est si dangereux que c'est purement interdit. En dessous : les systèmes à haut risque, autorisés mais lourdement encadrés. Plus bas : les systèmes à risque limité, soumis surtout à de la transparence. Et tout en bas : le risque minimal, sans obligations particulières.

Pour vous situer, posez-vous une question simple : qu'est-ce qui peut mal tourner si mon système d'IA se trompe ou est manipulé ? Si la réponse est "rien de grave" (un texte un peu maladroit, un email à reformuler), vous êtes en bas de la pyramide. Si la réponse est "ça peut faire perdre un emploi à un candidat" ou "ça peut refuser un crédit injustement", vous êtes plus haut.

2. Risque inacceptable (interdit)

Le niveau le plus haut : les usages purement interdits. L'article 5 du règlement liste ces pratiques. Si vous tombez dedans, ce n'est pas une question d'obligations à respecter, c'est une question de tout arrêter immédiatement.

Ce qui est interdit

  • Manipulation comportementale avec techniques subliminales ou exploitation de vulnérabilités (âge, handicap, situation sociale)
  • Notation sociale par les autorités publiques ou les entreprises (style "crédit social" chinois)
  • Identification biométrique en temps réel dans les espaces publics par les forces de l'ordre (sauf exceptions strictes)
  • Catégorisation biométrique pour déduire l'origine ethnique, la religion, l'orientation sexuelle ou les opinions politiques
  • Scraping massif d'images faciales sur internet ou vidéosurveillance pour constituer des bases de reconnaissance faciale
  • Reconnaissance des émotions sur le lieu de travail ou dans les écoles (sauf usages médicaux ou de sécurité)
  • Police prédictive basée uniquement sur le profilage d'individus

Pour les TPE/PME : aucune chance d'être concerné, sauf exception rare

Soyons honnête : aucune TPE ou PME française "normale" ne se retrouve dans cette catégorie. Ces interdictions visent essentiellement des usages étatiques, des Big Tech ou des secteurs très spécifiques (sécurité, surveillance massive). Si vous lisez ce cours, ce n'est pas votre cas.

Une exception possible : les outils de "détection de fraude par analyse comportementale" agressive en e-commerce ou en banque. Si vous utilisez un tel outil tiers, vérifiez qu'il ne fait pas de "manipulation". En pratique, les éditeurs sérieux (Stripe Radar, par exemple) sont conformes.

Date d'application : ces interdictions sont déjà en vigueur depuis le 2 février 2025.

3. Risque élevé (haut risque)

Le deuxième niveau, le plus complexe : les systèmes à haut risque. Ils sont autorisés, mais soumis à de nombreuses obligations (registre, audit de biais, supervision humaine effective, gestion des risques, etc.).

Les 8 domaines de l'Annexe III

L'Annexe III du règlement liste 8 domaines où l'IA est considérée à haut risque par défaut :

  1. Biométrie (identification, catégorisation, reconnaissance d'émotions)
  2. Infrastructures critiques (gestion réseau électrique, gaz, eau, transport)
  3. Éducation et formation professionnelle (admission, évaluation, surveillance d'examens)
  4. Emploi, gestion des travailleurs, accès à l'emploi indépendant (tri de CV, scoring de candidats, attribution de tâches, évaluation, licenciement)
  5. Accès aux services privés essentiels (scoring crédit, assurance, services publics, urgences)
  6. Application de la loi (police, justice)
  7. Gestion des migrations, asile, contrôle des frontières
  8. Justice et processus démocratiques (aide à la décision judiciaire, élections)

Pour les TPE/PME : la zone à surveiller, c'est le RH

Pour 99 % des PME concernées par le haut risque, la cause vient du point 4 (emploi). Si votre cabinet de recrutement utilise un outil de scoring automatique, si votre RH utilise ChatGPT pour évaluer des candidats, si votre logiciel SIRH trie automatiquement les CV : vous êtes en haut risque.

Une exception importante

L'article 6, paragraphe 3 ouvre une porte de sortie : un système qui figure dans l'Annexe III peut NE PAS être considéré à haut risque s'il ne présente pas de risque significatif pour les droits fondamentaux. Quatre cas sont prévus :

  • Le système réalise une tâche procédurale étroite (ex : pré-remplissage automatique de formulaire)
  • Le système améliore le résultat d'une activité humaine déjà réalisée
  • Le système détecte des anomalies sans remplacer ou influencer l'évaluation humaine sans relecture
  • Le système réalise une tâche préparatoire (ex : rédiger un brouillon que l'humain valide)

Mais attention : cette exception ne s'applique JAMAIS au profilage de personnes physiques (RH inclus). Donc si vous utilisez l'IA pour évaluer des humains, vous restez en haut risque, sans porte de sortie.

4. Risque limité (transparence)

Le niveau le plus pertinent pour la majorité des TPE et PME : le risque limité. C'est là que tombent ChatGPT et compagnie quand vous les utilisez de manière "standard" (rédaction d'emails, génération de contenu, chatbots clients).

Les obligations sont concentrées dans l'Article 50 du règlement : c'est essentiellement de la transparence. Le chapitre 3 du cours est entièrement consacré à cet article. Voici l'essentiel pour vous situer.

4 cas typiques de risque limité

  1. Interaction avec un système IA (chatbots) : l'utilisateur doit savoir qu'il discute avec une IA, pas un humain.
  2. Contenus synthétiques (texte, audio, image, vidéo générés ou manipulés) : ils doivent être identifiables comme tels (techniquement, par marquage numérique côté fournisseur).
  3. Reconnaissance d'émotions ou catégorisation biométrique (en dehors des cas interdits) : la personne doit être informée.
  4. Deepfakes : doivent être étiquetés comme contenus manipulés, sauf usage artistique manifeste.

Pour les TPE/PME : vous êtes probablement ici

Si votre activité ressemble à ça, vous êtes en risque limité :

  • Vous utilisez ChatGPT, Claude ou Gemini pour rédiger des emails, des contenus marketing, des comptes-rendus
  • Vous avez un chatbot sur votre site web pour répondre aux questions courantes
  • Vous générez des images IA pour vos visuels marketing
  • Vous utilisez un outil de transcription/résumé de réunions automatique
  • Vous publiez des contenus retouchés ou en partie générés par IA (articles, posts LinkedIn)

Les obligations sont raisonnables : mention claire que c'est de l'IA, information aux personnes concernées, et c'est à peu près tout. Pas de registre lourd, pas d'audit de biais, pas de supervision humaine "qualifiée". Compter quelques heures de mise en conformité, pas plusieurs mois.

5. Risque minimal ou nul (libre)

Le bas de la pyramide : les systèmes IA sans obligations spécifiques au-delà du droit commun (RGPD, droit du travail, etc.). L'écrasante majorité des systèmes IA mis sur le marché tombent ici.

Exemples typiques

  • Filtres anti-spam de votre messagerie
  • Recommandations produits sur un site e-commerce (sans manipulation comportementale)
  • IA dans les jeux vidéo
  • Outils de correction grammaticale (Antidote, Grammarly)
  • Optimisation logistique (calcul d'itinéraire, gestion de stock prédictive)
  • Détection automatique d'anomalies dans des données techniques (production industrielle, monitoring serveur)

Attention au piège : "risque minimal" ne veut pas dire "aucune règle". Le RGPD continue à s'appliquer si vous traitez des données personnelles. Le droit du travail s'applique si vous évaluez vos salariés, même indirectement. Le droit de la consommation s'applique pour les recommandations en ligne. Mais l'IA Act spécifiquement ne crée pas d'obligation supplémentaire.

6. Tableau comparatif des obligations

Pour visualiser d'un coup d'œil ce qui s'applique à chaque classe :

Niveau Statut Obligations principales Effort PME
🔴 Inacceptable Interdit Cesser l'usage N/A
🟠 Élevé Autorisé sous conditions Registre, audit biais, supervision humaine, gestion risques, info personnes Plusieurs mois + avocat conseillé
🟡 Limité Autorisé avec transparence Mention claire de l'IA, info utilisateur 1 à 2 jours sur 2-4 semaines
🟢 Minimal Libre Droit commun (RGPD, etc.) seulement Aucune action spécifique IA Act

La bonne nouvelle pour vous : l'écrasante majorité des PME tombent en risque limité ou minimal. Le passage en haut risque est rare et essentiellement lié au RH.

7. Comment vous situer en 5 questions

Pour vous donner un cadrage rapide avant le questionnaire complet du chapitre 5, posez-vous ces 5 questions sur chacun de vos usages IA :

8. Trois erreurs fréquentes de classification

Erreur 1 : "Mon outil n'est pas IA, c'est juste de la machine learning"

Faux. La définition d'IA dans le règlement (article 3, paragraphe 1) couvre explicitement le machine learning, les approches symboliques et les approches statistiques. Si votre outil "apprend" ou "infère" à partir de données, c'est de l'IA au sens du règlement.

Erreur 2 : "C'est juste de l'aide à la décision, pas une décision automatisée"

Pas suffisant. Si l'IA influence significativement la décision humaine (par un score, un classement, une recommandation forte), vous restez dans le périmètre du haut risque pour les domaines de l'Annexe III. La supervision humaine doit être réelle et effective, pas un tampon validant un score sans regarder.

Erreur 3 : "Le fournisseur me dit que c'est conforme, donc je suis tranquille"

Insuffisant. La conformité du fournisseur ne vous exonère pas de vos obligations en tant que déployeur. Vous restez responsable de l'usage que vous faites de l'IA, de l'information aux personnes concernées, et du respect des règles spécifiques à votre cas. Demandez systématiquement la documentation de conformité au fournisseur (c'est de plus en plus standard), mais ne vous arrêtez pas là.

9. À retenir avant le chapitre suivant

  • Le règlement classe l'IA en 4 niveaux selon le risque pour les droits fondamentaux
  • 95 % des TPE/PME sont en risque limité ou minimal, donc en faible effort de conformité
  • Le haut risque concerne essentiellement le RH (tri de CV, scoring, évaluation)
  • Le risque inacceptable est rarissime hors usages étatiques
  • Le profilage de personnes ne bénéficie jamais de l'exception article 6.3

Au chapitre 3, on rentre dans le détail de l'Article 50 (la transparence), qui couvre 80 % des obligations applicables aux TPE et PME. Vous découvrirez exactement comment et quand mentionner l'IA dans vos emails, sur votre site, dans vos communications.

QUESTIONS FRÉQUENTES

Sur les classes de risque.

Si j'utilise ChatGPT pour rédiger des emails à des candidats, suis-je en haut risque ?

Tout dépend de l'usage. Si vous utilisez ChatGPT uniquement pour rédiger des emails (réponse, convocation à entretien, refus poli) sans qu'il évalue le candidat, vous êtes en risque limité (transparence). Mais si vous lui demandez "ce candidat est-il bon ?" et que vous suivez son avis, vous tombez en haut risque (Annexe III, point 4). La frontière est dans la décision : si l'IA influence l'évaluation du candidat, c'est haut risque.

Mon chatbot client utilise GPT-4. Quelle classe ?

Risque limité dans la grande majorité des cas. Vous devez juste informer clairement l'utilisateur qu'il discute avec une IA (Article 50). Sauf si votre chatbot prend des décisions à fort impact (refuser un crédit, accorder un service essentiel) : dans ce cas, vous remontez en haut risque selon le contexte précis.

Et si je génère des images IA pour ma communication ?

Risque limité. Les images générées par IA entrent dans la catégorie des "contenus synthétiques" de l'Article 50. Le fournisseur (Midjourney, DALL-E) doit techniquement les marquer comme tels (watermark numérique). Vous, en tant que déployeur, devez idéalement mentionner que l'image est générée par IA quand le contexte n'est pas évident, surtout en B2B ou dans des publications éditoriales.

L'exception article 6.3 me sauve-t-elle si j'utilise l'IA en RH ?

Non. L'exception qui permet de sortir du haut risque (tâche procédurale, amélioration d'un travail humain, détection d'anomalie, tâche préparatoire) ne s'applique jamais au profilage de personnes physiques. Et l'évaluation de candidats ou salariés est par définition du profilage. C'est explicite dans l'article 6, paragraphe 3, dernière phrase. Si vous évaluez des humains, vous êtes en haut risque, point.

Comment vérifier la conformité de mon fournisseur IA ?

Demandez par email leur "documentation de conformité IA Act" ou "fiche système d'information". Les fournisseurs sérieux (OpenAI, Anthropic, Microsoft, Mistral) commencent à publier ces documents. Pour un SaaS métier (logiciel RH, comptabilité), c'est souvent dans leurs conditions générales ou un document dédié. Si le fournisseur ne sait pas répondre, c'est un signal négatif et vous devriez chercher une alternative.

← CHAPITRE 1

Pourquoi l'IA Act vous concerne

CHAPITRE 3 →

Article 50 : la transparence obligatoire

Bientôt en ligne.

DOUTE SUR VOTRE CLASSIFICATION ?

Audit conformité IA Act en 45 minutes.

45 minutes pour cartographier vos usages IA, identifier votre classe de risque réelle et repartir avec un plan d'action.

Réserver l'audit