Les 4 niveaux de risque de l AI Act : dans quelle categorie tombe votre IA ?
L AI Act repose sur une approche graduee : plus un systeme d IA presente de risques pour les droits fondamentaux, plus les obligations sont strictes. Comprendre la classification est essentiel pour identifier vos obligations.
Niveau 1 - Risque inacceptable - INTERDIT
Pratiques contraires aux valeurs de l UE et aux droits fondamentaux. Interdites depuis le 2 fevrier 2025. Sanctions jusqu a 35 millions d euros ou 7 pourcent du CA mondial.
Exemples : scoring social a la chinoise, manipulation subliminale, exploitation des vulnerabilites, identification biometrique de masse en temps reel dans l espace public, reconnaissance des emotions au travail ou a l ecole, categorisation biometrique fondee sur des attributs sensibles (race, religion, opinion politique).
Niveau 2 - Haut risque - Annexe III
8 domaines critiques listes a l Annexe III du reglement. Obligations completes : gestion des risques, qualite des donnees, documentation, supervision humaine, marquage CE.
Domaines : 1) biometrie ; 2) infrastructures critiques ; 3) education et formation ; 4) emploi et gestion des travailleurs ; 5) acces aux services essentiels ; 6) application de la loi ; 7) migration et controle aux frontieres ; 8) administration de la justice et processus democratiques.
Niveau 3 - Risque limite - Transparence
Systemes qui interagissent avec des humains (chatbots), generent du contenu (IA generative), produisent des deepfakes. Obligation principale : informer l utilisateur. Article 50 du reglement.
Exemples : chatbot service client, image generee par DALL-E, video deepfake, texte genere par ChatGPT, reconnaissance d emotions hors haut risque.
Niveau 4 - Risque minimal
Tous les autres systemes d IA. Pas d obligations specifiques au titre de l AI Act, mais les bonnes pratiques et l Article 4 (AI Literacy) restent applicables.
Exemples : filtres anti-spam, moteurs de recommandation, IA dans les jeux video, maintenance predictive industrielle, traduction automatique standard.
Comment classifier votre systeme d IA
- Verifiez s il figure dans les pratiques interdites (Article 5). Si oui, vous devez immediatement cesser son utilisation.
- Verifiez s il releve de l Annexe III (haut risque). Si oui, obligations completes a respecter avant le 2 aout 2026. Voir notre page IA a haut risque.
- Verifiez s il interagit avec des humains ou genere du contenu. Si oui, risque limite, obligations de transparence applicables le 2 aout 2026. Voir Article 50.
- Sinon, risque minimal. Pas d obligations specifiques mais l Article 4 (AI Literacy) reste applicable pour vos collaborateurs.
Beaucoup de systemes peuvent basculer entre deux categories selon le contexte d usage. Un meme outil de scoring peut etre risque minimal pour de la fidelisation client et haut risque pour de l attribution de credit. La classification depend de la finalite reelle d utilisation, pas seulement de la nature technique du systeme.
Et les modeles GPAI ?
Les modeles d IA a usage general (GPAI : ChatGPT, Claude, Mistral, Llama) ont un regime particulier. Ils ne sont pas classes par niveau de risque mais soumis a des obligations specifiques pour leurs fournisseurs (documentation, droits d auteur, transparence sur les donnees d entrainement). Les GPAI a risque systemique (modeles tres puissants, plus de 10^25 FLOPs) ont des obligations renforcees. Voir notre page GPAI et AI Act.
Pour comprendre l ensemble du dispositif, consultez notre guide complet AI Act, ou pour engager votre conformite voir mise en conformite et nos formations AI Act.