Offre de lancement : -20% sur l'abonnement Starter en plus du premier audit gratuit avec le code NEW20

← Retour au blog

AI Act & Énergie : les infrastructures critiques face à l'Annexe III

Les systèmes d'IA gérant les réseaux électriques, les réseaux d'eau et les infrastructures gazières sont explicitement classés à haut risque dans l'Annexe III §2 de l'AI Act. Ce guide explique qui est concerné, quelles obligations s'appliquent et comment le règlement interagit avec NIS2.

28 mai 2026DILAIG

Les systèmes d'IA qui gèrent les réseaux électriques, les stations de traitement d'eau et les gazoducs figurent parmi les cas les plus évidents d'IA à haut risque dans le règlement (UE) 2024/1689. Contrairement à certaines catégories où la classification exige une analyse au cas par cas, l'Annexe III §2 nomme explicitement la gestion des infrastructures critiques. Si votre organisation exploite, déploie ou fournit des solutions d'IA pour ces secteurs, vous êtes déjà dans le champ d'application — et le délai de mise en conformité court.

Ce que dit réellement l'Annexe III §2

L'Annexe III liste huit catégories d'IA à haut risque. La section 2 couvre :

« Les systèmes d'IA destinés à être utilisés en tant que composants de sécurité dans la gestion et l'exploitation d'infrastructures numériques critiques, du trafic routier et de la fourniture d'eau, de gaz, de chauffage et d'électricité. »

Trois points sont essentiels. Premièrement, le système n'a pas besoin d'avoir causé un incident — il suffit qu'il soit destiné à être un composant de sécurité. Deuxièmement, la définition s'aligne sur l'acception de la directive NIS2 concernant les infrastructures critiques, qui inclut l'énergie (électricité, gaz, pétrole), l'eau et les opérateurs d'infrastructures numériques. Troisièmement, le critère est fonctionnel : un système qui surveille, contrôle, prédit ou optimise les opérations dans ces réseaux est concerné, qu'il soit déployé en salle de contrôle ou intégré dans des équipements de terrain.

Qui est concerné ?

Le règlement crée des obligations pour deux acteurs distincts.

Les fournisseurs (Article 3, §3) sont les organisations qui développent ou commanditent des systèmes d'IA et les mettent sur le marché ou les mettent en service. Pour l'énergie, il s'agit typiquement de :

  • Éditeurs de logiciels construisant des plateformes de gestion de réseau, d'IA intégrée aux SCADA ou de prévision de la demande
  • Fournisseurs de plateformes OT/IoT intégrant de la maintenance prédictive ou de la détection d'anomalies
  • Startups vendant des outils de détection de défauts par IA aux gestionnaires de réseau

Les déployeurs (Article 3, §4) sont les organisations qui utilisent ces systèmes dans un contexte professionnel. Dans l'énergie, cela inclut :

  • Les gestionnaires de réseau de transport (GRT) et de distribution (GRD)
  • Les services des eaux et autorités municipales
  • Les entreprises de transport et de distribution de gaz
  • Les opérateurs nucléaires (lorsque l'IA supporte des fonctions relatives à la sûreté)

Les deux acteurs portent des obligations distinctes. Les fournisseurs supportent la charge la plus lourde ; les déployeurs ont des obligations secondaires mais opposables en vertu de l'Article 26.

Obligations complètes pour les systèmes à haut risque

Système de gestion des risques — Article 9

L'Article 9 impose aux fournisseurs d'établir, mettre en œuvre, documenter et maintenir un système de gestion des risques tout au long du cycle de vie du système d'IA. Pour l'IA d'infrastructure énergétique, ce n'est pas un exercice ponctuel. Le système doit :

  • Identifier et analyser les risques connus et raisonnablement prévisibles pour la santé, la sécurité et les droits fondamentaux
  • Évaluer les risques qui émergent lors des tests et après déploiement
  • Mettre en œuvre des mesures d'atténuation, en privilégiant l'élimination au contrôle
  • Tester le système d'IA face aux risques identifiés avant sa mise sur le marché

En pratique, les fournisseurs du secteur énergétique doivent considérer les modes de défaillance propres aux technologies opérationnelles : cascades de pannes réseau déclenchées par des décisions d'IA erronées, entrées adversariales visant à déstabiliser les systèmes de contrôle, et cas limites dans des conditions météorologiques extrêmes.

Documentation technique — Article 11 et Annexe IV

Avant de mettre sur le marché un système d'IA à haut risque, les fournisseurs doivent préparer une documentation technique couvrant la finalité du système, son architecture, les données d'entraînement, les métriques de performance et les mesures de gestion des risques. L'Annexe IV liste les 15 éléments requis.

Pour l'IA énergétique, cette documentation doit inclure le domaine opérationnel (par exemple, la régulation de fréquence sur un réseau 220 kV), les sources de données utilisées pour l'entraînement et la validation, les performances mesurées par rapport aux KPI pertinents, et une description des mécanismes de supervision humaine intégrés au système.

Supervision humaine — Article 14

L'Article 14 est l'une des exigences les plus contraignantes sur le plan opérationnel. Les systèmes d'IA à haut risque doivent être conçus et déployés de sorte que des personnes physiques puissent :

  • Comprendre pleinement les capacités et les limites du système
  • Surveiller le fonctionnement du système en temps réel
  • Intervenir, interrompre ou désactiver le système lorsque nécessaire

Pour l'IA de gestion de réseau, cela signifie qu'un opérateur doit pouvoir intervenir à tout point de décision où le système influence une action liée à la sécurité — une commande de régulation de tension, un déclenchement de délestage, une séquence de commutation automatisée. Le mécanisme de supervision ne peut pas être nominal ; il doit être techniquement réalisable compte tenu de la vitesse des actions du système.

Exactitude, robustesse et cybersécurité — Article 15

L'Article 15 exige que les systèmes d'IA à haut risque atteignent des niveaux appropriés d'exactitude, soient résilients face aux erreurs et aux défaillances, et résistent aux manipulations adversariales. Pour l'IA d'infrastructure critique, la dimension cybersécurité est particulièrement significative : le système doit être conçu pour minimiser le risque d'attaques adversariales susceptibles de déformer les résultats ou de provoquer des comportements dangereux.

Cela s'aligne directement avec les exigences IEC 62443 déjà familières à de nombreuses équipes OT du secteur énergétique, mais l'AI Act en fait une obligation légale avec des exigences de preuve documentée.

Interaction avec NIS2

La directive NIS2 (UE 2022/2555) et l'AI Act s'appliquent en parallèle pour les infrastructures critiques énergétiques. NIS2 impose des mesures de gestion des risques de cybersécurité aux entités essentielles du secteur énergétique ; l'AI Act y ajoute une gouvernance spécifique à l'IA.

Principales intersections :

  • Déclaration d'incidents : NIS2 impose la notification des incidents de cybersécurité significatifs sous 24 heures (notification initiale) et 72 heures (rapport complet). Si un système d'IA est impliqué dans ou cause un incident de sécurité, l'Article 73 de l'AI Act ajoute une obligation de signalement distincte auprès de l'autorité nationale de surveillance du marché.
  • Sécurité de la chaîne d'approvisionnement : L'Article 21 de NIS2 impose aux entités essentielles de traiter la sécurité dans les chaînes d'approvisionnement, y compris les logiciels. Les exigences d'évaluation de conformité et de documentation technique de l'AI Act pour les fournisseurs renforcent cette obligation.
  • Chevauchement de gouvernance : Les deux règlements imposent des processus documentés de gestion des risques. Les organisations devraient concevoir un cadre unifié plutôt que de gérer des processus parallèles.

Il n'existe pas de mécanisme formel de coordination entre les autorités compétentes NIS2 et les autorités de surveillance du marché AI Act, donc les opérateurs doivent actuellement gérer les deux voies de conformité de manière indépendante.

Systèmes d'IA dans le secteur énergétique : exemples de classification

Système d'IA Classification Obligation principale
Prévision de fréquence réseau et contrôle automatique de charge Haut risque (Annexe III §2) Conformité complète Art. 9, 11, 14, 15 ; évaluation de conformité
Maintenance prédictive pour défaillance de transformateur Haut risque si composant de sécurité ; sinon risque limité Documentation de gestion des risques ; clarifier la finalité prévue
Prévision de la demande assistée par IA (usage commercial uniquement) Probablement pas haut risque Obligations de transparence (Art. 50) peuvent s'appliquer
Détection d'anomalies dans les réseaux SCADA (cybersécurité) Haut risque (Annexe III §2 + potentiel chevauchement Annexe III §1) Obligations haut risque complètes ; alignement NIS2
Analyse des données compteurs intelligents pour la facturation Pas haut risque Le RGPD s'applique ; obligations AI Act minimales
Isolation autonome de défauts dans les réseaux de distribution Haut risque (Annexe III §2) Mécanisme de remplacement humain requis (Art. 14)
Gestion de la pression des gazoducs par IA Haut risque (Annexe III §2) Tests de robustesse obligatoires (Art. 15)

Délais de conformité

Les obligations de l'AI Act pour les systèmes à haut risque listés à l'Annexe III s'appliquent à compter du 2 août 2026. Pour les systèmes déjà sur le marché avant cette date, une période transitoire s'étend jusqu'au 2 août 2027 en vertu de l'Article 111(2), à condition qu'aucune modification significative n'ait été apportée au système.

Cela signifie que les fournisseurs d'IA pour les infrastructures énergétiques déjà présents sur le marché UE avant août 2026 disposent jusqu'en août 2027 pour atteindre la pleine conformité — mais uniquement si le système reste inchangé. Toute mise à jour modifiant la finalité prévue du système, altérant substantiellement ses performances ou changeant son architecture remet le compteur à zéro.

Les déployeurs (GRT, GRD, opérateurs énergétiques) doivent mettre en œuvre leurs obligations au titre de l'Article 26 — documentation de cas d'usage, procédures de supervision humaine et journalisation des incidents — dès le 2 août 2026, indépendamment de la période transitoire du fournisseur.

Prochaines étapes concrètes

  1. Cartographier l'inventaire d'IA : Identifier chaque système d'IA impliqué dans les opérations d'infrastructure énergétique et déterminer s'il se qualifie comme composant de sécurité au titre de l'Annexe III §2.
  2. Déterminer votre rôle : Êtes-vous fournisseur, déployeur ou les deux ? La réponse détermine vos obligations.
  3. Évaluation des écarts sur les Articles 9, 11, 14, 15 : Pour chaque système à haut risque, évaluer la documentation existante, les mécanismes de supervision et les tests de robustesse par rapport aux exigences réglementaires.
  4. S'aligner sur NIS2 : Intégrer les obligations AI Act dans vos processus existants de gestion des risques et de déclaration d'incidents NIS2 pour éviter les doublons.
  5. Fixer des jalons internes : Août 2026 est l'échéance principale. Planifiez dès maintenant les jalons de conformité en remontant à partir de cette date.

L'outil d'audit de conformité DILAIG cartographie automatiquement vos systèmes d'IA par rapport à l'Annexe III, génère des rapports d'écarts alignés sur les Articles 9, 11, 14 et 15, et produit le squelette de documentation technique requis avant la mise sur le marché. Commencez votre audit sur dilaig.com.

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit