Systemes d IA a haut risque : etes-vous dans l Annexe III ?

Les systemes d IA a haut risque concentrent les obligations les plus lourdes de l AI Act. L Annexe III liste 8 domaines critiques pour lesquels la conformite devient obligatoire le 2 aout 2026. Voici le detail.

Les 8 domaines de l Annexe III

1. Biometrie

Systemes d identification biometrique a distance (hors interdiction temps reel), categorisation biometrique non interdite, reconnaissance des emotions hors haut risque. Inclut les systemes de reconnaissance faciale a posteriori.

2. Gestion d infrastructures critiques

IA utilisee pour la gestion et l exploitation d infrastructures numeriques critiques, du trafic routier, de l eau, du gaz, du chauffage, de l electricite. La defaillance peut avoir un impact systemique.

3. Education et formation professionnelle

Determination de l acces ou de l affectation a un etablissement, evaluation des resultats d apprentissage, evaluation du niveau d enseignement requis, surveillance et detection de comportements non autorises pendant les examens.

4. Emploi et gestion des travailleurs

Recrutement et selection (CV scoring, ATS, analyse comportementale, video d entretien), promotion, licenciement, attribution de taches, evaluation des performances, surveillance des collaborateurs. Tres large : la majorite des outils RH IA tombent dans cette categorie. Voir AI Act et RH.

5. Acces aux services prives essentiels et services publics

Evaluation de l eligibilite aux prestations sociales, scoring de credit (sauf prevention de la fraude), evaluation des risques en assurance vie et sante, classification des appels d urgence.

6. Application de la loi

Evaluation du risque de recidive ou de victimisation, polygraphe et detecteurs d emotions, evaluation de la fiabilite des preuves, profilage dans le cadre des enquetes.

7. Migration, asile et controle aux frontieres

Polygraphes, evaluation des risques poses par une personne, evaluation des demandes d asile, verification de l authenticite des documents.

8. Administration de la justice et processus democratiques

Aide a la decision judiciaire, recherche et interpretation des faits et du droit, influence des resultats d elections.

Obligations pour les systemes haut risque

• Systeme de gestion des risques documente et iteratif (Article 9).
• Gouvernance des donnees : qualite, representativite, absence de biais (Article 10).
• Documentation technique complete avant mise sur le marche (Article 11, Annexe IV).
• Journalisation automatique des evenements (logs) tout au long du cycle de vie (Article 12).
• Transparence et information des utilisateurs (Article 13).
• Supervision humaine effective (Article 14).
• Precision, robustesse et cybersecurite (Article 15).
• Systeme de gestion de la qualite chez le fournisseur (Article 17).
• Marquage CE et declaration UE de conformite (Articles 47-48).
• Enregistrement dans la base de donnees europeenne (Article 49).

Procedure d evaluation de conformite

Avant la mise sur le marche, le fournisseur doit conduire une evaluation de conformite. Selon le type de systeme, cette evaluation peut etre realisee en interne (auto-evaluation pour la plupart des systemes Annexe III) ou par un organisme notifie tiers (pour certains systemes biometriques).

Responsabilite des deployeurs

Meme si le fournisseur porte les obligations principales, les deployeurs d un systeme haut risque ont aussi des obligations specifiques :

• Utiliser le systeme conformement aux instructions du fournisseur.
• Garantir une supervision humaine effective.
• Surveiller le fonctionnement et signaler les incidents graves.
• Conserver les journaux generes automatiquement (au moins 6 mois).
• Realiser une analyse d impact sur les droits fondamentaux pour certains usages.
• Informer les personnes concernees lorsqu une decision les concernant est prise avec l aide du systeme.

Pour comprendre les autres niveaux de risque, voir les 4 niveaux de risque. Pour piloter votre conformite, decouvrez nos formations AI Act et le guide complet.