Niveaux de risque AI Act : comment classifier vos systèmes d'IA et ce que ça change concrètement

La première question que pose l'AI Act à chaque organisation n'est pas "avons-nous de l'IA ?" mais "dans quelle catégorie se trouve notre IA ?". La réponse conditionne tout : les obligations de documentation, la supervision humaine, les sanctions encourues, les délais de mise en conformité. Mal classifier un outil, c'est potentiellement s'exposer à 15 millions d'euros d'amende pour une fausse bonne nouvelle.

Ce guide explique les 4 niveaux avec des exemples d'outils réels, la logique de classification de l'Annexe III, et l'impact du report voté en mars 2026 sur votre calendrier de conformité.

Les 4 niveaux de risque : la logique du règlement

L'AI Act ne réglemente pas l'intelligence artificielle en général. Il réglemente les risques que les systèmes d'IA font peser sur les droits fondamentaux et la sécurité des personnes. C'est cette logique qui explique la pyramide à 4 niveaux.

Un chiffre à retenir : selon les estimations de la Commission européenne, 5 à 15% des systèmes IA déployés en Europe relèvent du haut risque. L'immense majorité des outils utilisés en entreprise se situe en risque limité ou minimal. Mais ce petit 5-15% regroupe exactement les outils RH, financiers et médicaux les plus répandus dans les grandes organisations.

Risque inacceptable : ce qui est interdit depuis le 2 février 2025

Le Règlement UE 2024/1689 interdit certaines pratiques IA jugées incompatibles avec les valeurs fondamentales de l'Union européenne. Ces interdictions sont en vigueur depuis le 2 février 2025 - aucun délai, aucun report possible.

Sont interdits :

• Les systèmes de scoring social généralisé - noter les individus sur leur comportement pour leur accorder ou refuser des droits
• La manipulation subliminale - influencer les comportements en-dessous du seuil de conscience, en exploitant des biais psychologiques
• L'exploitation des vulnérabilités liées à l'âge, au handicap ou à la situation sociale
• La reconnaissance biométrique en temps réel dans l'espace public à des fins répressives (sauf exceptions très encadrées)
• La constitution de bases de données faciales par scraping massif d'images sur internet
• La prédiction du risque de récidive par des systèmes IA sans intervention humaine substantielle

Haut risque (Annexe III) : les 8 domaines et leurs obligations

C'est ici que se joue l'essentiel pour la majorité des entreprises. Le Règlement UE 2024/1689 liste à l'Annexe III 8 domaines dans lesquels les systèmes IA sont présumés à haut risque - sauf si une exception de minimalité s'applique selon l'Article 6.

Les 8 domaines de l'Annexe III :

1. Biométrie - identification, authentification, catégorisation des individus
2. Infrastructures critiques - réseaux électriques, eau, transport, banques
3. Éducation et formation - notation des étudiants, sélection à l'entrée, évaluation des établissements
4. Emploi et gestion RH - recrutement, tri de CV, évaluation des performances, décisions de promotion ou de licenciement
5. Services essentiels - scoring de crédit, assurance, services publics essentiels
6. Maintien de l'ordre - évaluation de dangerosité, preuves, profilage individuel
7. Justice et démocratie - aide à la décision judiciaire, campagnes électorales ciblées
8. Gestion migratoire - évaluation des risques aux frontières, traitement des dossiers d'asile

Les 6 obligations du haut risque

Si votre système relève de l'Annexe III, 6 obligations s'imposent :

• Système de gestion des risques continu, documenté, mis à jour tout au long du cycle de vie
• Gouvernance des données d'entraînement - traçabilité des jeux de données, absence de biais discriminatoires
• Documentation technique complète selon l'Annexe IV du règlement - conservée 10 ans minimum
• Journalisation automatique (logs) de toutes les décisions du système sur la durée du déploiement
• Transparence et information des utilisateurs sur les capacités et limites du système
• Supervision humaine effective - un humain compétent doit pouvoir comprendre, surveiller et si besoin contredire le système

L'enregistrement dans la base de données EU AI Office est obligatoire avant tout déploiement. Cette base est publique pour les systèmes déployés envers le grand public. Pour comprendre l'articulation avec vos obligations RGPD existantes, notre guide AI Act et RGPD pour les DPO détaille les synergies possibles.

Risque limité : l'Article 50 et les obligations de transparence

Le risque limité concerne principalement les chatbots, les IA génératives et les contenus synthétiques (deepfakes, images générées). Ce niveau ne déclenche pas les obligations lourdes du haut risque - mais la transparence est non négociable.

L'Article 50 du Règlement UE 2024/1689 impose :

• Informer les utilisateurs qu'ils interagissent avec un système IA (mention claire, pas en petits caractères)
• Indiquer clairement que les contenus audio, vidéo ou texte sont générés par une IA
• Pour les IA génératives (GPAI) : marquage technique du contenu synthétique (watermarking)

En pratique : tout chatbot sur un site web, tout assistant IA interne, tout outil de génération de texte ou d'image utilisé pour communiquer vers l'extérieur relève de l'Article 50. ChatGPT utilisé en interne pour des documents internes uniquement ? L'obligation de transparence externe ne s'applique pas, mais l'Article 4 (formation des utilisateurs) oui.

Risque minimal : la majorité des usages du quotidien

La bonne nouvelle : la très grande majorité des outils IA utilisés en entreprise se situe dans cette catégorie. Filtres anti-spam, outils de recommandation de contenu, traduction automatique interne, assistants de planification, détection d'anomalies dans des processus industriels non critiques.

Aucune obligation spécifique ne s'applique. Le règlement encourage les bonnes pratiques volontaires et la participation aux codes de conduite sectoriels.

L'erreur fréquente : s'arrêter là et conclure "on n'a pas de problème AI Act". Le risque minimal concerne le niveau du système IA en tant que tel. Mais l'Article 4 sur la formation s'applique dès que des collaborateurs utilisent l'IA, quelle qu'en soit la catégorie. Même un filtre anti-spam dont l'équipe ignore le fonctionnement crée une obligation de sensibilisation minimale.

Comment classifier vos outils en pratique : la méthode en 4 questions

On voit souvent des organisations réaliser cette classification en 45 minutes de réunion sur un fichier Excel, puis être prises de court lors d'un audit. La classification n'est pas un exercice bureaucratique - c'est une analyse juridique et fonctionnelle qui demande de comprendre ce que fait réellement le système, pas seulement son intitulé commercial.

Les 4 questions à se poser pour chaque outil IA :

1. Le système prend-il ou influence-t-il une décision qui affecte directement un individu ? (embauche, crédit, accès à un service, note...)
2. Le domaine figure-t-il à l'Annexe III ? (recrutement, crédit, éducation, santé, infrastructures critiques, ordre public, justice, migration)
3. L'IA est-elle dans la chaîne de décision ou simplement un outil d'assistance périphérique ? (différence entre un ATS qui classe les CV et un correcteur orthographique utilisé dans un service RH)
4. Le système présente-t-il des mécanismes d'influence subliminale ou exploite-t-il des vulnérabilités ? (critère pour le risque inacceptable)

Si les questions 1 et 2 répondent oui : présomption de haut risque. Si la question 3 révèle un rôle purement accessoire : exception de minimalité possible, mais à documenter et justifier. Si la question 4 répond oui : risque inacceptable, interdiction immédiate.

Pour les secteurs RH, notre guide AI Act et recrutement détaille les obligations spécifiques aux ATS et outils d'évaluation. Pour les PME, voir notre guide AI Act PME avec une approche proportionnée.

Le report Omnibus 2027 : ce que ça change (et ce que ça ne change pas)

C'est l'actualité réglementaire majeure de ce début 2026. Le 26 mars 2026, le Parlement européen a voté massivement en faveur d'un report des obligations haut risque dans le cadre du "Digital Omnibus" - un paquet législatif de simplification porté par la Commission Ursula von der Leyen.

Ce qui change : l'échéance pour la conformité complète des systèmes à haut risque (Annexe III) passerait du 2 août 2026 au 2 décembre 2027. Raison officielle : les organismes de normalisation n'ont pas livré les normes techniques essentielles à temps (attendues fin 2025, toujours pas disponibles au printemps 2026), ce qui rend une mise en conformité complète techniquement impossible pour de nombreuses organisations.

Ce qui ne change pas :

• L'Article 4 (AI Literacy) est en vigueur depuis le 2 février 2025 - aucun report
• Les interdictions de risque inacceptable sont en vigueur depuis le 2 février 2025 - aucun report
• Les obligations GPAI s'appliquent depuis le 2 août 2025 - aucun report
• La sanction pour mauvaise classification reste applicable

La bonne lecture du report : la Commission reconnaît la complexité technique de la mise en conformité. Ce n'est pas une invitation à l'inaction. Les organisations qui engagent dès maintenant leur cartographie des risques et leur documentation seront en position de force, pas en retard sur les concurrents qui attendent.

Pour l'ensemble des obligations applicables selon votre profil (fournisseur, déployeur, importateur), notre guide complet des obligations AI Act détaille le calendrier par type d'acteur.

Questions fréquentes sur la classification des risques

Pour aller plus loin, consultez notre page dédiée aux niveaux de risque avec la pyramide interactive, notre guide complet sur le haut risque Annexe III, et notre guide général AI Act qui contextualise l'ensemble de la réglementation.