Retour à l'accueil
    Analyse approfondie8 min de lecture

    La classification du risque selon l'Annexe III expliquée

    Le règlement IA UE adopte une approche fondée sur les risques. L'Article 6(2) définit les systèmes d'IA à haut risque comme ceux relevant des huit catégories énumérées à l'Annexe III. Si votre système d'IA correspond à l'une de ces catégories, il est soumis à l'ensemble des obligations du Chapitre III, Section 2 (Articles 8-15).

    Ce guide passe en revue chaque catégorie avec des explications en langage clair pour vous aider à déterminer si vos systèmes d'IA se qualifient comme à haut risque.

    Comment la classification fonctionne

    Il existe deux voies pour être classé à haut risque au titre du règlement IA UE :

    1. Article 6(1) — Voie du composant de sécurité : le système d'IA est un composant de sécurité d'un produit couvert par la législation d'harmonisation UE existante (ex. dispositifs médicaux, machines, jouets, véhicules) et nécessite une évaluation de la conformité par un tiers au titre de cette législation.
    2. Article 6(2) — Voie de l'Annexe III : le système d'IA relève de l'une des huit catégories de cas d'usage énumérées à l'Annexe III. C'est la voie que la plupart des organisations doivent évaluer.

    Exception importante : un système d'IA listé à l'Annexe III n'est pas considéré comme à haut risque s'il ne présente pas de risque significatif de préjudice pour la santé, la sécurité ou les droits fondamentaux — y compris parce qu'il n'influence pas de manière significative le résultat de la prise de décision. Cette exception ne s'applique toutefois pas si le système effectue un profilage de personnes physiques.

    Catégorie 1 : Biométrie

    Systèmes d'IA utilisés pour l'identification biométrique, la catégorisation ou la reconnaissance des émotions — lorsque cela est autorisé par le droit de l'UE ou national.

    • Identification biométrique à distance — Systèmes qui identifient à distance des personnes physiques en comparant des données biométriques à des bases de données de référence. Exclut la simple vérification biométrique (confirmer que quelqu'un est bien celui qu'il prétend être).
    • Catégorisation biométrique — Systèmes qui déduisent des attributs sensibles ou protégés tels que la race, les opinions politiques, l'appartenance syndicale, les convictions religieuses, la vie sexuelle ou l'orientation sexuelle à partir de données biométriques.
    • Reconnaissance des émotions — Systèmes destinés à reconnaître les émotions de personnes physiques.

    Catégorie 2 : Infrastructures critiques

    Systèmes d'IA destinés à être utilisés comme composants de sécurité dans la gestion et l'exploitation de :

    • Infrastructure numérique critique
    • Gestion du trafic routier
    • Fourniture d'eau, de gaz, de chauffage ou d'électricité

    Exemple : un système d'IA qui gère le minutage des feux de signalisation aux intersections, ou qui prédit et gère la répartition de la charge sur le réseau électrique.

    Catégorie 3 : Éducation et formation professionnelle

    • Déterminer l'accès ou l'admission aux établissements d'enseignement ou de formation professionnelle
    • Évaluer les résultats d'apprentissage, y compris en orientant le processus d'apprentissage
    • Évaluer le niveau d'éducation approprié qu'une personne recevra ou auquel elle pourra accéder
    • Surveillance et détection des comportements interdits des étudiants pendant les examens

    Exemple : un système d'IA utilisé par une université pour filtrer et classer les candidats, ou un système de notation automatique des dissertations lors d'examens finaux.

    Catégorie 4 : Emploi et gestion des travailleurs

    • Recrutement et sélection — Diffusion d'annonces ciblées, filtrage des candidatures et évaluation des candidats lors d'entretiens ou de tests
    • Décisions liées au travail — Affectant la promotion, le licenciement, l'allocation de tâches en fonction du comportement individuel ou des traits personnels, ou la surveillance et l'évaluation des performances et du comportement

    Exemple : un outil IA de tri qui classe les CV et présélectionne les candidats, ou un système de suivi des performances qui signale des employés à examiner en fonction de schémas comportementaux.

    Catégorie 5 : Services essentiels

    Systèmes d'IA utilisés dans l'accès et la jouissance de services et prestations essentiels privés et publics :

    • Éligibilité aux prestations publiques — Évaluation de l'éligibilité à l'aide publique, aux services de santé ou octroi/réduction/retrait de ces prestations
    • Scoring de crédit — Évaluation de la solvabilité ou établissement de scores de crédit (hors détection de fraude)
    • Évaluation du risque assurance — Évaluation du risque et tarification pour les assurances vie et santé
    • Services d'urgence — Évaluer ou classer les appels d'urgence, dépêcher les premiers intervenants ou effectuer le tri des patients en urgence sanitaire

    Catégorie 6 : Application de la loi

    Lorsque cela est autorisé par le droit de l'UE ou national :

    • Évaluer le risque qu'une personne devienne victime d'infractions pénales
    • Systèmes fonctionnant comme des polygraphes ou outils similaires de détection de mensonges
    • Évaluer la fiabilité des preuves dans les enquêtes pénales
    • Évaluer le risque qu'une personne commette ou récidive (non basé uniquement sur le profilage)
    • Profilage de personnes lors de la détection, de l'enquête ou de la poursuite d'infractions pénales

    Catégorie 7 : Migration et contrôle aux frontières

    Lorsque cela est autorisé par le droit de l'UE ou national :

    • Polygraphes ou outils similaires utilisés dans des contextes migratoires
    • Évaluer les risques (sécurité, migration irrégulière, santé) posés par les personnes aux frontières
    • Aider à l'examen des demandes d'asile, de visas ou de titres de séjour
    • Détecter, reconnaître ou identifier les personnes dans les contextes de migration et de contrôle aux frontières (à l'exclusion de la vérification des documents de voyage)

    Catégorie 8 : Justice et processus démocratiques

    • Aider les autorités judiciaires à rechercher et interpréter les faits et le droit, à appliquer le droit à des faits concrets ou dans le règlement extrajudiciaire des litiges
    • Influer sur des élections ou référendums — Systèmes d'IA destinés à influencer le comportement électoral (à l'exclusion des outils de logistique de campagne n'exposant pas directement les utilisateurs aux sorties IA)

    Que se passe-t-il si votre système est à haut risque ?

    Si votre système d'IA relève de l'une des catégories ci-dessus, vous devez vous conformer à :

    • Système de gestion des risques (Article 9)
    • Exigences relatives aux données et à la gouvernance des données (Article 10)
    • Documentation technique conformément à l'Annexe IV (Article 11)
    • Journalisation automatique et tenue des registres (Article 12)
    • Transparence et instructions d'utilisation (Article 13)
    • Mesures de surveillance humaine (Article 14)
    • Normes d'exactitude, de robustesse et de cybersécurité (Article 15)
    • Évaluation de la conformité avant la mise sur le marché (Article 43)
    • Déclaration UE de conformité et marquage CE (Articles 47-48)
    • Enregistrement dans la base de données UE (Article 49)

    Vous ne savez pas où se situe votre système ? Le moteur de classification du risque de LandingRed vous guide à travers un questionnaire mappé à chaque catégorie de l'Annexe III et détermine automatiquement votre niveau de risque avec une traçabilité complète des preuves.

    LandingRed automatise tout cela

    Arrêtez de gérer la conformité dans des feuilles de calcul. Classifiez, documentez, évaluez et surveillez vos systèmes d'IA depuis une seule plateforme.