Retour aux articles

Systèmes IA à haut risque : comment les identifier et s’y préparer

Les systèmes d’IA à haut risque sont au cœur de l’IA Act et concentrent les obligations les plus lourdes. Identifier correctement ces systèmes et structurer la réponse de l’entreprise est devenu un enjeu stratégique.

Publié le 17 avril 2026

Pourquoi le haut risque est le cœur de l’IA Act

L’IA Act repose sur une logique de proportionnalité : plus le risque est élevé, plus les exigences sont fortes. Les systèmes à haut risque sont ceux qui peuvent affecter de manière significative les droits fondamentaux, la santé, la sécurité, la situation financière ou l’accès à des services essentiels.

Ils sont principalement définis par :

  • l’article 6, qui encadre les critères de classification ;
  • l’annexe III, qui liste des cas d’usage typiques (recrutement, notation de crédit, dispositifs médicaux, gestion d’infrastructures critiques, éducation, services publics, etc.).

D’ici février 2026, la Commission et le Comité IA doivent publier des lignes directrices et des exemples pratiques pour clarifier la frontière entre haut risque et non-haut risque. En attendant, les entreprises doivent anticiper et documenter leur analyse.

Étape 1 : cartographier vos cas d’usage sensibles

Pour identifier les systèmes potentiellement à haut risque, commencez par une cartographie centrée sur les impacts :

  • l’IA intervient-elle dans des décisions ayant un effet juridique ou équivalent (accès à un emploi, à un crédit, à un service public) ?
  • l’IA est-elle utilisée dans des produits ou services critiques pour la santé ou la sécurité ?
  • l’IA contribue-t-elle à la gestion d’infrastructures (énergie, transport, eau, télécoms) ?
  • l’IA influence-t-elle de manière significative l’orientation scolaire, professionnelle ou médicale ?

Pour chaque cas d’usage, décrivez :

  • le rôle exact de l’IA (assistance, recommandation, décision automatisée) ;
  • les populations concernées (salariés, clients, usagers, publics vulnérables) ;
  • les conséquences possibles en cas d’erreur, de biais ou de défaillance.

Étape 2 : appliquer les critères de classification

Une fois la cartographie réalisée, confrontez chaque système aux catégories de l’annexe III et aux critères de l’article 6 :

  • le système correspond-il à un cas d’usage explicitement listé ?
  • s’inscrit-il dans un produit déjà soumis à une réglementation sectorielle (dispositifs médicaux, sécurité des produits, etc.) ?
  • l’IA est-elle un composant de sécurité d’un produit réglementé ?

Lorsque la qualification est incertaine, il est recommandé :

  • de documenter l’analyse (arguments pour et contre la qualification en haut risque) ;
  • de prévoir une revue périodique à mesure que les lignes directrices européennes seront publiées ;
  • d’adopter par prudence certains principes de gestion des risques et de transparence, même si le système n’est pas formellement classé haut risque.

Étape 3 : obligations clés pour les systèmes à haut risque

Une fois un système classé haut risque, un ensemble d’obligations s’applique, principalement au fournisseur mais aussi au déployeur (utilisateur professionnel) :

Pour le fournisseur :

  • système de gestion des risques couvrant tout le cycle de vie ;
  • gouvernance des données (qualité, représentativité, biais, sécurité) ;
  • documentation technique détaillée et instructions d’utilisation ;
  • transparence sur les capacités, limites et performances ;
  • supervision humaine prévue par la conception ;
  • exigences de robustesse, de cybersécurité et de qualité ;
  • évaluation de conformité et marquage CE.

Pour le déployeur :

  • paramétrage responsable du système (configuration, seuils, intégration dans les processus métiers) ;
  • formation des opérateurs et consignes claires de supervision ;
  • tenue de logs d’utilisation et de décisions ;
  • gestion des incidents et remontée des anomalies au fournisseur ;
  • information claire des personnes concernées et voies de recours.

Étape 4 : articuler IA Act, RGPD et autres réglementations

Les systèmes à haut risque se situent souvent à la croisée de plusieurs cadres réglementaires :

  • RGPD pour les traitements de données personnelles (bases légales, minimisation, DPIA, droits des personnes) ;
  • NIS2 et cybersécurité pour les opérateurs de services essentiels et infrastructures critiques ;
  • DORA pour les services financiers ;
  • CRA et autres textes sur la sécurité des produits numériques.

Une approche efficace consiste à :

  • mutualiser les analyses de risques (IA, données, cybersécurité) ;
  • réutiliser les mécanismes existants de contrôle interne, d’audit et de gestion des incidents ;
  • harmoniser les registres (traitements, systèmes IA, actifs critiques) pour éviter les doublons.

Étape 5 : préparer les audits et contrôles

Les autorités nationales et européennes disposeront de pouvoirs de contrôle et de sanction. Pour être prêt, il est essentiel de :

  • constituer un dossier de conformité par système à haut risque (description, classification, analyses de risques, tests, documentation technique, procédures de supervision, logs) ;
  • mettre en place des revues périodiques de conformité et des tests de robustesse ;
  • conserver les preuves de formation des opérateurs et des décisions de gouvernance ;
  • prévoir un processus de réponse aux demandes des autorités (accès à la documentation, explications techniques, mesures correctives).

S’appuyer sur un accompagnement spécialisé

Identifier correctement les systèmes à haut risque et structurer l’ensemble des preuves de conformité demande du temps et une expertise pluridisciplinaire. Un accompagnement dédié, comme un programme pas à pas pour comprendre les obligations, cartographier les impacts et lancer les premières actions (gouvernance, risques, documentation, transparence), peut accélérer la démarche ; c’est précisément l’objectif du dispositif d’accompagnement IA Act pour les entreprises.

Sources

  1. « Naviguer dans la législation sur l’IA » – FAQ officielle sur l’AI Act (calendrier, gouvernance, PME) — digital-strategy.ec.europa.eu — 2026-02-15
  2. « Législation sur l’IA » – Présentation officielle du cadre, du calendrier et des niveaux de risque — digital-strategy.ec.europa.eu — 2026-02-15
  3. Article 6 – Règles relatives à la classification de systèmes d’IA comme systèmes à haut risque — ai-act-service-desk.ec.europa.eu — 2024-08-01
  4. « AI Act : obligations, calendrier et conformité (Règlement UE 2024/1689) » — mdp-data.com
  5. « AI Act août 2026 : obligations pour les systèmes IA » — aiacto.eu — 2026-02-01
  6. « AI Act : obligations déployeur » – rôle et responsabilités des utilisateurs professionnels — isek.fr — 2025-08-01
  7. « Mise en Conformité IA Act : Plan d’Action en 7 Étapes » — formation-ia-act.fr — 2026-01-15
  8. « Data Governance and the EU AI Act: Mastering Data Requirements for Compliant AI Systems » — euairisk.com — 2026-03-01

Découvrir le Spark lié : Conformité IA Act : Les bases à connaitre et à mettre en oeuvre dans votre entreprise