IA à risque limité : les systèmes autorisés mais encadrés par l'AI Act

Tous les systèmes d'IA ne sont pas interdits, ni soumis aux obligations lourdes du haut risque. Une large catégorie est autorisée — mais sous conditions. Ce sont les systèmes à risque limité, soumis à l'article 50 du règlement. Voici ce que cela implique concrètement.

Temps de lecture : 7 minutes

Sommaire

1. La catégorie risque limité : définition et périmètre
2. L'article 50 : les quatre obligations de transparence
3. Cas d'usage concrets soumis à l'article 50
4. Les sanctions en cas de non-respect
5. Risque limité vs haut risque : comment distinguer
6. FAQ

1. La catégorie risque limité : définition et périmètre

L'AI Act distingue quatre niveaux de risque. Entre les systèmes interdits (risque inacceptable, Art. 5) et les systèmes à obligations lourdes (haut risque, Art. 6 à 49), il existe une catégorie intermédiaire : les systèmes à risque limité, encadrés par l'article 50.

Ces systèmes ne présentent pas de risque grave pour les droits fondamentaux ou la sécurité. Mais ils peuvent créer des situations de tromperie ou de manipulation si les personnes qui interagissent avec eux ne savent pas qu'elles ont affaire à une IA. C'est précisément ce que l'article 50 cherche à prévenir : non pas interdire ces systèmes, mais imposer la transparence sur leur nature artificielle.

La logique est simple : vous avez le droit d'utiliser un chatbot IA pour votre service client, de générer des images de synthèse pour votre communication, ou de proposer un assistant vocal automatisé. Mais les personnes qui interagissent avec ces systèmes doivent savoir qu'elles ont affaire à une machine.

2. L'article 50 : les quatre obligations de transparence

L'article 50 définit quatre obligations distinctes selon le type de système concerné.

Obligation 1 — Identifier les chatbots et agents conversationnels (Art. 50(1))

Les fournisseurs de systèmes d'IA destinés à interagir directement avec des personnes — chatbots, agents conversationnels, assistants vocaux — doivent faire en sorte que les personnes soient informées qu'elles interagissent avec une IA, sauf si cela ressort clairement du contexte.

Cette obligation s'applique avant la première interaction ou au plus tard au moment où l'utilisateur comprend qu'il communique avec un système automatisé. Elle vise tous les canaux : texte, voix, interface graphique.

L'exception "contexte clairement établi" est importante mais limitée. Elle peut s'appliquer par exemple à un assistant vocal de contrôle domotique dans un contexte où l'utilisateur sait manifestement interagir avec un appareil. Elle ne saurait couvrir un chatbot de service client conçu pour imiter un conseiller humain.

Obligation 2 — Marquer les deepfakes et contenus synthétiques (Art. 50(2) et 50(3))

Les fournisseurs et déployeurs de systèmes d'IA qui génèrent ou manipulent du contenu image, audio, vidéo ou texte ressemblant à des personnes, des lieux ou des événements réels — les deepfakes — doivent marquer ce contenu de façon à ce que son origine artificielle soit détectable.

Cette obligation couvre aussi bien les images générées par IA que les vidéos synthétiques, les voix clonées ou les textes présentés comme rédigés par une personne identifiée. Le marquage doit être réalisé dans un format lisible par machine, permettant une détection automatique.

Exception notable : le contenu généré dans un cadre clairement artistique, créatif ou satirique est exempté, à condition qu'il ne puisse pas induire en erreur une personne raisonnable sur son origine.

Obligation 3 — Identifier les contenus générés par IA dans certains contextes (Art. 50(4))

Les déployeurs de systèmes d'IA qui génèrent ou manipulent des textes publiés dans le but d'informer le public sur des sujets d'intérêt général — médias en ligne, actualités, communications institutionnelles — doivent déclarer que le contenu a été généré ou substantiellement modifié par IA.

Cette obligation vise à préserver l'intégrité de l'information publique et à lutter contre la désinformation algorithmique. Elle ne s'applique pas aux contenus clairement présentés comme fictionnels.

Obligation 4 — Informer sur la reconnaissance des émotions et la catégorisation biométrique (Art. 50(3))

Les fournisseurs de systèmes d'IA qui procèdent à une reconnaissance des émotions ou à une catégorisation biométrique des personnes doivent informer les personnes concernées de l'exposition à de tels systèmes, ainsi que des finalités poursuivies.

Attention : cette obligation de transparence est distincte de la classification haut risque. Certains systèmes de reconnaissance des émotions sont à la fois soumis à l'article 50 (obligation d'information) et à l'article 6 (haut risque) — avec les deux ensembles d'obligations cumulés.

3. Cas d'usage concrets soumis à l'article 50

Chatbot de service client

Un distributeur qui déploie un chatbot IA pour gérer les demandes de ses clients doit clairement identifier l'outil comme un système automatisé dès le début de l'interaction. Un message d'accueil du type "Bonjour, je suis un assistant virtuel..." suffit généralement, à condition qu'il soit explicite sur la nature non humaine du système.

Générateur d'images pour la communication

Une agence de communication qui utilise Midjourney ou DALL-E pour produire des visuels destinés à des campagnes publicitaires doit marquer ces images comme générées par IA, dans un format lisible par machine (métadonnées, watermark détectable). L'obligation s'applique dès lors que les images représentent des personnes, des lieux ou des événements de façon réaliste.

Assistant vocal dans une application mobile

Une application de santé qui propose un assistant vocal IA pour guider les utilisateurs doit informer clairement que les réponses sont générées par un système automatisé, et non formulées par un professionnel de santé humain.

Articles générés par IA dans des médias en ligne

Un éditeur qui utilise un LLM pour produire des articles d'actualité ou des résumés d'informations financières doit indiquer que le contenu a été généré par IA, de façon visible pour le lecteur.

Outil de clonage vocal pour le service après-vente

Une entreprise qui utilise une voix synthétique clonée à partir de la voix d'un acteur humain pour ses appels sortants automatisés doit informer les personnes appelées de la nature artificielle de la voix.

4. Les sanctions en cas de non-respect

Le non-respect des obligations de transparence de l'article 50 est sanctionnable. L'article 99 du règlement prévoit des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour les violations aux obligations autres que celles concernant les pratiques interdites.

En France, la CNIL est l'autorité désignée pour superviser l'application de l'AI Act, en coordination avec le futur Bureau de l'IA (AI Office) européen. Les premiers contrôles sont attendus à partir de l'été 2026.

5. Risque limité vs haut risque : comment distinguer

La frontière entre risque limité et haut risque n'est pas toujours évidente, notamment pour les chatbots déployés dans des contextes sensibles.

Un chatbot de service client dans le retail est typiquement à risque limité : il répond à des questions, oriente vers des produits, gère des retours. Les obligations se limitent à l'identification comme IA.

En revanche, un chatbot déployé par une collectivité pour guider les usagers dans leurs démarches d'accès à des prestations sociales peut basculer en haut risque : il influence des décisions ayant un impact significatif sur des droits fondamentaux (accès aux services essentiels, Annexe III point 5).

La distinction repose sur trois critères : l'impact sur des droits fondamentaux, le caractère déterminant des décisions influencées, et l'existence d'une supervision humaine effective.

Vous n'êtes pas certain de votre niveau de risque ? C'est exactement la question à laquelle répond Conformit.AI — en 20 minutes, gratuitement. L'audit qualifie votre système, identifie vos obligations réelles, et vous indique si vous êtes à risque limité, haut risque, ou en dehors du périmètre.

6. FAQ

Mon chatbot répond parfois à des questions médicales. Est-il à risque limité ou haut risque ? Cela dépend du contexte et du rôle joué par ses réponses. S'il oriente vers un professionnel de santé sans prendre de décision médicale, risque limité est probable. S'il aide à établir un diagnostic ou recommande un traitement, haut risque est quasi-certain. L'audit Conformit.AI vous aide à trancher.

L'obligation de marquage des deepfakes s'applique-t-elle aux photos de profil générées par IA sur LinkedIn ? Oui, si ces photos représentent des personnes de façon réaliste et qu'elles sont utilisées dans un contexte professionnel ou public. La nature du support (réseau social professionnel) ne crée pas d'exemption.

Un générateur de texte marketing est-il soumis à l'article 50 ? Si le texte est présenté au public comme rédigé par un humain identifié, oui. Si le fait qu'il soit généré par IA est évident ou déclaré, les obligations sont remplies.

L'obligation d'identification comme IA s'applique-t-elle aux emails automatisés ? Pas directement au titre de l'article 50, qui vise les interactions directes. Mais d'autres textes (notamment le RGPD) peuvent imposer des obligations d'information similaires dans ce contexte.

Conclusion

Les systèmes à risque limité sont autorisés — mais leur déploiement impose une transparence non négociable sur leur nature artificielle. L'article 50 est souvent sous-estimé : ses obligations s'appliquent à un nombre considérable d'outils déjà en production dans les entreprises françaises.

Conformit.AI identifie vos obligations au titre de l'article 50 comme au titre du haut risque — en une seule session d'audit, gratuitement. Pas besoin de lire 144 articles de règlement pour savoir où vous en êtes.

Démarrer l'audit gratuit →

Cet article est fourni à titre informatif. Il ne constitue pas un conseil juridique. Sources : Règlement (UE) 2024/1689, Article 50 ; Guidelines de l'AI Office sur les obligations de transparence.

Dernière mise à jour : mars 2026