← Back to blog
🇫🇷This article is not yet available in English. Displaying the French version.

Systèmes d'IA à haut risque : définition, liste des domaines et obligations selon l'AI Act

Avant de savoir si votre outil IA est interdit, haut risque ou simplement soumis à des obligations de transparence, une question préalable s'impose : est-ce seulement un "système d'IA" au sens du règlement ? La réponse conditionne tout. Et elle est plus subtile qu'il n'y paraît.

16 March 2026Baptiste de DILAIG

Systèmes d'IA à haut risque : définition, liste des domaines et obligations selon l'AI Act

L'AI Act classe la grande majorité des systèmes IA à risque minimal ou limité. Mais une catégorie concentre l'essentiel des obligations : les systèmes à haut risque. Êtes-vous concerné ? La réponse engage votre responsabilité juridique à partir d'août 2026.

Temps de lecture : 9 minutes

Sommaire

  1. La logique de classification par risque
  2. Les deux voies vers la qualification haut risque (article 6)
  3. L'Annexe III : les 8 domaines détaillés
  4. L'exception de l'article 6(3) : comment en sortir
  5. Les obligations concrètes pour les systèmes haut risque
  6. Comment vérifier votre situation
  7. FAQ

1. La logique de classification par risque

L'AI Act adopte une approche proportionnelle : plus un système d'IA peut affecter des droits fondamentaux ou la sécurité des personnes, plus les obligations sont strictes. Cette logique produit quatre niveaux :

  • Risque inacceptable — interdit sans exception (Art. 5)
  • Haut risque — obligations lourdes avant mise en service (Art. 6 à 49)
  • Risque limité — obligations de transparence ciblées (Art. 50)
  • Risque minimal — aucune obligation spécifique

Les systèmes à haut risque représentent environ 18 % des systèmes IA en entreprise, mais concentrent la quasi-totalité des exigences documentaires, d'évaluation et de gouvernance. C'est la catégorie qui mobilise le plus les équipes juridiques et techniques des organisations.

2. Les deux voies vers la qualification haut risque (article 6)

L'article 6 définit deux situations dans lesquelles un système d'IA est classé à haut risque.

Voie A — Composante de sécurité d'un produit réglementé (Annexe I)

Si votre système d'IA est intégré dans un produit déjà soumis à une législation européenne d'harmonisation listée à l'Annexe I, et que ce produit requiert une évaluation de conformité par un organisme tiers, le système d'IA est automatiquement haut risque.

Les secteurs de l'Annexe I incluent notamment : dispositifs médicaux (Règlement 2017/745), machines industrielles (Directive 2006/42/CE), véhicules à moteur (Règlement 2019/2144), équipements radio (Directive 2014/53/UE), ascenseurs, jouets, équipements de protection individuelle.

Un algorithme de diagnostic intégré dans un dispositif médical de classe IIb, ou un système d'aide à la conduite dans un véhicule autonome, entre automatiquement dans cette catégorie.

Voie B — Usage dans un des 8 domaines de l'Annexe III

La voie la plus fréquente pour les entreprises est la deuxième : utiliser un système d'IA dans l'un des 8 domaines listés à l'Annexe III. Cette voie concerne des organisations de tous secteurs, indépendamment de leur activité principale.

3. L'Annexe III : les 8 domaines détaillés

Domaine 1 — Biométrie

Sont classés haut risque les systèmes d'identification biométrique à distance utilisés dans des espaces accessibles au public (avec des exceptions très strictes pour les forces de l'ordre), les systèmes de catégorisation biométrique inférant des caractéristiques sensibles (race, opinions politiques, appartenance syndicale, orientation sexuelle, croyances religieuses), et les systèmes de reconnaissance des émotions dans des contextes professionnels ou éducatifs.

Domaine 2 — Infrastructures critiques

Les systèmes utilisés comme composantes de sécurité dans la gestion d'infrastructures critiques : réseaux électriques, eau, gaz, transport ferroviaire, routier ou aérien. Un algorithme qui optimise la distribution d'énergie ou détecte des anomalies sur un réseau de transport entre dans cette catégorie.

Domaine 3 — Éducation et formation professionnelle

Les systèmes qui déterminent l'accès à l'éducation ou attribuent des places dans des établissements, qui évaluent les apprentissages de manière déterminante, ou qui orientent les parcours de formation professionnelle. Cela couvre les outils d'admission automatisée, les systèmes de notation algorithmique, et les outils d'orientation scolaire.

Domaine 4 — Emploi et gestion des travailleurs

C'est l'un des domaines les plus sensibles pour les entreprises. Sont classés haut risque les systèmes utilisés pour recruter ou sélectionner des personnes (tri de CV, scoring de candidats), pour prendre des décisions affectant les conditions de travail (promotion, licenciement, évaluation de performance), et pour surveiller et évaluer les travailleurs. Nous y revenons en détail dans notre article dédié aux cas d'usage RH.

Domaine 5 — Accès aux services essentiels privés et publics

Les systèmes qui évaluent la solvabilité des personnes physiques ou établissent leur score de crédit (sauf pour la détection de fraude), ceux qui déterminent l'éligibilité aux prestations sociales publiques, à l'assurance maladie ou à l'assurance vie, et les systèmes d'évaluation du risque et de tarification dans l'assurance vie et santé.

Domaine 6 — Application des lois

Réservé aux autorités compétentes : systèmes d'évaluation du risque de récidive, outils de profilage d'individus, systèmes d'analyse de preuves numériques, polygraphes et outils similaires. Ce domaine fait l'objet d'un encadrement particulièrement strict en raison de son impact direct sur les libertés individuelles.

Domaine 7 — Migration, asile et contrôle aux frontières

Les systèmes utilisés pour évaluer le risque posé par des personnes aux frontières, pour examiner les demandes d'asile ou de visa, et pour détecter des comportements suspects dans les zones frontalières. Domaine à forte sensibilité politique et juridique.

Domaine 8 — Administration de la justice et processus démocratiques

Les systèmes qui assistent les tribunaux dans la recherche et l'interprétation de faits et de la loi, et les systèmes utilisés pour influencer les élections ou le comportement électoral des personnes. Ce domaine couvre notamment les outils d'aide à la décision judiciaire et les systèmes de ciblage politique.

4. L'exception de l'article 6(3) : comment en sortir

L'article 6(3) introduit une soupape importante : même si un système entre dans un des domaines de l'Annexe III, il peut ne pas être classé haut risque si le fournisseur démonente qu'il ne présente pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux.

Pour bénéficier de cette exception, trois conditions cumulatives doivent être remplies : le système ne doit pas prendre de décisions déterminantes affectant des personnes physiques ; il doit être conçu pour des tâches préparatoires ou auxiliaires sans impact direct sur les individus ; et son déploiement doit comporter une supervision humaine effective capable de neutraliser ses sorties.

Cette exception n'est pas automatique. Le fournisseur doit documenter son analyse et l'enregistrer dans la base de données EU avant mise sur le marché. En cas de contrôle, c'est à lui d'en apporter la preuve.

5. Les obligations concrètes pour les systèmes haut risque

Un système classé haut risque déclenche un ensemble d'obligations substantielles, tant pour le fournisseur que pour le déployeur.

Pour le fournisseur, les principales obligations sont : mettre en place un système de gestion des risques (Art. 9), assurer une gouvernance des données rigoureuse (Art. 10), produire une documentation technique complète selon l'Annexe IV (Art. 11), maintenir des journaux d'événements automatiques (Art. 12), assurer la transparence envers les déployeurs (Art. 13), intégrer des mécanismes de supervision humaine (Art. 14), garantir précision, robustesse et cybersécurité (Art. 15), procéder à une évaluation de conformité avant mise sur le marché (Art. 43), établir une déclaration de conformité UE (Art. 47), apposer le marquage CE (Art. 48), et enregistrer le système dans la base de données EU (Art. 49).

Pour le déployeur, les principales obligations sont : mettre en œuvre le système conformément aux instructions du fournisseur (Art. 26), désigner un responsable humain de la supervision (Art. 26), conserver les journaux de logs (Art. 26), informer les personnes affectées par des décisions individuelles automatisées (Art. 26), et réaliser une FRIA (évaluation de l'impact sur les droits fondamentaux, Art. 27) pour les déployeurs publics et privés dans les domaines concernés.

6. Comment vérifier votre situation

La qualification haut risque n'est pas toujours évidente, surtout pour les systèmes polyvalents ou les outils achetés à des tiers. Plusieurs questions méritent d'être posées systématiquement.

Votre système est-il intégré dans un produit soumis à l'Annexe I ? Est-il utilisé dans l'un des 8 domaines de l'Annexe III ? Prend-il ou influence-t-il des décisions ayant un impact significatif sur des personnes ? Existe-t-il une supervision humaine effective capable de remettre en cause ses sorties ?

Conformit.AI cartographie automatiquement votre niveau de risque à partir de vos réponses — gratuitement, en 20 minutes. Si votre système est haut risque, l'audit identifie précisément quelles obligations s'appliquent à vous et dans quel délai. Si ce n'est pas le cas, vous avez la documentation pour le justifier en cas de contrôle.

7. FAQ

Mon système entre dans l'Annexe III mais son impact est très limité. Est-il quand même haut risque ? Pas nécessairement. L'exception de l'article 6(3) peut s'appliquer si vous pouvez démontrer l'absence de risque significatif. Mais cette démonstration doit être documentée et enregistrée.

En tant que déployeur d'un système haut risque acheté à un tiers, quelles sont mes obligations ? Vous avez des obligations propres indépendantes de celles du fournisseur : FRIA, supervision humaine, conservation des logs, information des personnes affectées. Le fait que le fournisseur soit conforme ne vous exonère pas.

Les PME ont-elles les mêmes obligations que les grandes entreprises ? L'AI Act prévoit des mesures de soutien pour les PME (Art. 62) et encourage les autorités nationales à les accompagner. Mais les obligations de fond sont identiques — seules les modalités pratiques peuvent être adaptées.

À quelle date les obligations haut risque s'appliquent-elles ? Pour la plupart des systèmes haut risque de l'Annexe III : 2 août 2026. Pour les systèmes relevant de l'Annexe I (produits réglementés) : à l'échéance de renouvellement de leur certification existante, au plus tard le 2 août 2027.

Conclusion

La catégorie haut risque est celle qui mobilise le plus de ressources pour se mettre en conformité. Mais elle est aussi celle dont le périmètre est le plus précisément défini par le règlement — ce qui rend la qualification possible dès aujourd'hui.

Conformit.AI vous dit en 20 minutes si votre système est haut risque, quelles obligations s'appliquent, et vous génère les documents nécessaires pour y répondre. Audit gratuit, résultats immédiats.

Démarrer l'audit gratuit →

Cet article est fourni à titre informatif. Il ne constitue pas un conseil juridique. Sources : Règlement (UE) 2024/1689, Articles 6 et 7, Annexes I et III.

Dernière mise à jour : mars 2026

Is your AI system compliant?

Free audit in 20 minutes.

Start the audit
Systèmes d'IA à haut risque : définition, liste des domaines et obligations selon l'AI Act — DILAIG