Guide de référence sur le règlement européen sur l'IA

Liste des systèmes d'IA à haut risque du règlement européen sur l'IA : la référence complète pour les équipes conformité

Mis à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les équipes conformité à cartographier, évaluer et surveiller l'ensemble des 8 catégories de systèmes d'IA à haut risque de l'Annexe III du règlement européen sur l'IA.

Le règlement européen sur l'IA instaure un cadre de risque à plusieurs niveaux , et c'est dans la catégorie « haut risque » que se concentre la véritable charge de conformité. Cette page détaille chaque catégorie de l'Annexe III, recense les obligations applicables et donne à votre équipe un point de départ clair pour évaluer votre portefeuille d'IA.

Si votre organisation développe, déploie ou se procure des systèmes d'IA qui touchent à l'un des huit domaines à haut risque, vous êtes soumis à des évaluations de la conformité impératives, à une documentation de gestion des risques, à des exigences de surveillance humaine et à des obligations de monitoring continu. La plupart des équipes sous-estiment l'ampleur de la tâche. Ce guide vous évite cet écueil.

8

Catégories à haut risque de l'Annexe III

Règlement européen sur l'IA, Annexe III (2024/1689)

12+

Obligations impératives par système

Articles 9 à 17, règlement européen sur l'IA

<30%

Des organisations ont réalisé un inventaire de leur IA

Enquête IAPP sur la gouvernance de l'IA, 2024

Téléchargez gratuitement la checklist de conformité IA à haut risque

Une checklist imprimable, prête à l'emploi pour votre équipe, couvrant toutes les catégories de l'Annexe III et associée aux articles précis du règlement européen sur l'IA. Sans superflu. Sans argumentaire commercial.

Sans carte de crédit. Sans prise de rendez-vous pour une démo. Juste la checklist. Priverion est conçu et hébergé en Suisse , vos données restent protégées par le droit suisse.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Principales fonctionnalités du produit

De l'inventaire des systèmes d'IA au monitoring continu , sans le chaos des tableurs

Les obligations relatives à l'IA à haut risque du règlement européen couvrent la gestion des risques, la documentation, la surveillance humaine et le monitoring post-commercialisation. Voici comment Priverion transforme cette charge réglementaire en un flux de travail structuré et maîtrisable au sein de chaque entité de votre groupe.

Registre IA pour la conformité au règlement européen sur l'IA

Cataloguez chaque système d'IA de toutes vos filiales dans un registre unique et structuré. Associez chaque système aux catégories de l'Annexe III, attribuez des niveaux de risque et tenez à jour l'inventaire vivant qu'exige l'article 49 , sans courir après les unités opérationnelles pour mettre à jour des tableurs.

AXA a atteint un taux de recertification de 100 % de ses registres des traitements grâce à des flux de travail automatisés à l'échelle de tout son groupe.

Résultat client AXA , 6 premiers mois sur Priverion

Analyses d'impact assistées par l'IA

Générez des projets d'analyses d'impact sur les droits fondamentaux et d'AIPD grâce à une analyse assistée par l'IA qui pré-remplit les facteurs de risque, associe les articles réglementaires pertinents et suggère des mesures d'atténuation. Chaque résultat est revu par votre équipe avant de devenir un enregistrement de conformité. L'IA assiste , les humains décident.

Medtec a économisé plus de 200 heures dans sa préparation à l'ISO 27001 grâce aux flux de documentation de Priverion.

Résultat client Medtec , phase de préparation à l'ISO 27001

Gestion du risque IA fournisseurs

Le règlement européen sur l'IA tient les déployeurs responsables des systèmes d'IA qu'ils se procurent, et pas seulement de ceux qu'ils développent. Les flux d'évaluation du risque fournisseurs de Priverion vous permettent d'évaluer les fournisseurs d'IA tiers au regard des exigences de l'Annexe III, de suivre la documentation de conformité et de conserver des preuves prêtes pour l'audit pour chaque relation fournisseur.

Zurzach Care a atteint une couverture de 100 % de l'évaluation du risque fournisseurs sur l'ensemble de son réseau de prestataires.

Résultat client Zurzach Care , programme d'évaluation des fournisseurs

Tableaux de bord de conformité à l'échelle du groupe

Visualisez la posture de conformité de chaque filiale depuis un seul tableau de bord. Suivez les entités ayant réalisé leur inventaire IA, les évaluations à haut risque en attente et les lacunes existantes , afin de rendre compte au conseil d'administration en toute confiance, plutôt que d'assembler des données issues de 47 tableurs.

Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité au cours de ses 6 premiers mois.

Résultat client constructeur aéronautique , 6 premiers mois sur Priverion

Gestion des incidents et signalement des événements graves

L'article 62 exige des fournisseurs de systèmes d'IA à haut risque qu'ils signalent les incidents graves aux autorités de surveillance du marché. Le flux de gestion des incidents de Priverion enregistre les événements, documente les causes profondes, déclenche les échéances de notification et génère le dossier de preuves attendu par les régulateurs , avant que la pression des délais ne se fasse sentir.

Souveraineté des données suisse . Par conception, pas par simple case à cocher

Chaque analyse assistée par l'IA, chaque enregistrement de conformité et chaque élément de documentation créé par votre équipe réside au sein de l'infrastructure suisse. Aucune donnée client n'est utilisée pour l'entraînement de modèles d'IA. Dans un environnement réglementaire où la localisation des données et la conformité des transferts transfrontaliers font l'objet d'une surveillance constante, ce n'est pas une fonctionnalité , c'est un fondement.

Tout le traitement des données au sein d'une infrastructure suisse , résidence des données européenne garantie.

Engagement d'infrastructure Priverion , hébergement suisse vérifié

200+

Heures économisées sur la gestion des registres des traitements

Medtec a économisé plus de 200 heures dans sa préparation à la certification ISO 27001 , du temps auparavant consacré à la documentation manuelle et à la collecte de preuves à travers toute son organisation.

60%

De coût en moins par rapport aux plateformes traditionnelles

Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité au cours de ses 6 premiers mois , avec une tarification prévisible fondée sur les entités, sans les pièges d'une facturation par utilisateur.

3 mois

D'avance sur l'échéancier ISO 27001

Medtec a achevé sa préparation à l'ISO 27001 trois mois avant le calendrier prévu, grâce aux dossiers de preuves prêts pour l'audit et à la documentation automatisée de Priverion.

Priverion vs. OneTrust

Une conformité de niveau entreprise sans la complexité d'une entreprise

Les organisations du mid-market ont besoin d'une gestion puissante de la protection des données , pas d'une plateforme conçue pour les budgets du Fortune 100 et des déploiements de 18 mois. Voici pourquoi les équipes conformité font le pas.

L'expérience OneTrust

Tarification par utilisateur, par module

Les coûts grimpent de façon imprévisible à mesure que vous ajoutez des utilisateurs, des filiales ou des modules. Les directeurs financiers redoutent les renouvellements lorsque la facture double d'une année sur l'autre.

Infrastructure hébergée aux États-Unis

Dans un contexte post-Schrems II, des données de conformité hébergées aux États-Unis créent précisément les risques de transfert transfrontalier que vous cherchez à maîtriser. Des CCT supplémentaires sont nécessaires rien que pour utiliser votre outil de protection des données.

Conçu pour la complexité du Fortune 100

Riche en fonctionnalités au point d'en être submergeant. Les équipes du mid-market déclarent utiliser moins de 30 % des fonctionnalités disponibles tout en payant pour 100 % d'entre elles.

Mise en œuvre de plusieurs mois

Les déploiements en entreprise s'étalent couramment sur 6 à 12 mois. Le temps que vous soyez opérationnel, les exigences réglementaires peuvent déjà avoir évolué.

Plus de 200 intégrations superficielles

Un catalogue de connecteurs impressionnant sur le papier, mais qui génère une charge de maintenance. La plupart des équipes ont besoin d'une intégration approfondie avec une poignée de systèmes centraux . RH, achats, actifs informatiques , pas d'un catalogue.

L'expérience Priverion

Une tarification prévisible et tout-en-un

Fondée sur le nombre d'entreprises et la taille de l'organisation , et non par utilisateur ou par module. Toutes les fonctionnalités incluses dès le premier jour. Aucun piège d'expansion, aucune facture surprise.

Souveraineté des données suisse garantie

Conçu et hébergé en Suisse. Tout le traitement des données au sein d'une infrastructure suisse. La résidence des données européenne n'est pas une simple case à cocher marketing . c'est notre architecture. Votre outil de conformité ne devrait jamais être un risque de conformité.

Conçu spécifiquement pour la gestion multi-entités

Chaque fonctionnalité est pensée autour de la réalité de la gestion de la protection des données à travers filiales et juridictions. Un constructeur aéronautique a réduit de 60 % son temps administratif de conformité au cours de ses six premiers mois , parce que la plateforme épouse la façon dont les DPD au niveau du groupe travaillent réellement.

Étude de cas constructeur aéronautique , 6 premiers mois après la mise en œuvre

Opérationnel en quelques semaines, pas en quelques mois

Une UX épurée, conçue pour les professionnels de la protection des données, pas pour les services informatiques. Un délai de rentabilisation qui se compte en semaines. Votre équipe est productive avant la première revue trimestrielle, pas après la deuxième.

Des intégrations approfondies là où ça compte

Des intégrations ciblées avec les systèmes RH, d'achats et de gestion des actifs informatiques , les flux de travail qui font réellement avancer la conformité en matière de protection des données. Une connectivité approfondie avec moins de soucis de maintenance.

En toute honnêteté : nous ne couvrons ni l'ESG, ni les lignes d'alerte éthique, ni le consentement aux cookies. Nous ne sommes pas conçus pour les entreprises mono-entité. Notre force, c'est la gestion d'un programme de protection des données à l'échelle du groupe , et nous le faisons exceptionnellement bien.

Réserver une présentation de 30 min
Analyse approfondie de l'Annexe III

Les huit catégories d'IA à haut risque que votre équipe doit évaluer

L'Annexe III du règlement européen sur l'IA définit huit domaines dans lesquels les systèmes d'IA sont classés à haut risque. Chacun emporte des obligations impératives au titre des articles 9 à 17. Voici ce que les équipes conformité doivent savoir sur chaque catégorie.

1. Identification biométrique et catégorisation

Systèmes d'identification biométrique à distance utilisés dans les espaces accessibles au public. Comprend les systèmes d'identification en temps réel et a posteriori, la reconnaissance des émotions sur le lieu de travail et dans l'éducation, ainsi que la catégorisation biométrique fondée sur des attributs sensibles.

Obligation clé : analyse d'impact sur les droits fondamentaux requise avant le déploiement (article 27).

2. Gestion des infrastructures critiques

Systèmes d'IA utilisés comme composants de sécurité dans la gestion et l'exploitation des infrastructures numériques critiques, du trafic routier et de l'approvisionnement en eau, gaz, chauffage et électricité.

Obligation clé : monitoring post-commercialisation continu et signalement des incidents graves (articles 61 et 62).

3. Éducation et formation professionnelle

Systèmes qui déterminent l'accès aux établissements d'enseignement ou l'affectation en leur sein, évaluent les acquis de l'apprentissage, surveillent les comportements interdits pendant les examens ou évaluent les niveaux d'enseignement appropriés pour les personnes.

Obligation clé : transparence envers les personnes concernées et mécanismes de surveillance humaine (articles 13 et 14).

4. Emploi et gestion des travailleurs

IA utilisée dans le recrutement, le tri des CV, l'évaluation des entretiens, les décisions de promotion, l'attribution des tâches, le suivi des performances et la rupture des relations de travail.

Obligation clé : exigences de gouvernance des données et documentation des tests de biais (articles 10 et 11).

5. Accès aux services essentiels

Systèmes évaluant l'éligibilité aux prestations d'aide publique, la notation de crédit, l'évaluation des risques pour les assurances vie et santé, et la priorisation de l'envoi des services d'urgence.

Obligation clé : système de gestion des risques couvrant l'ensemble du cycle de vie de l'IA (article 9).

6. Maintien de l'ordre

IA utilisée pour les évaluations individuelles des risques, les polygraphes, l'évaluation de la fiabilité des preuves, la prédiction de la criminalité par profilage, l'analyse des infractions pénales et les recherches dans les bases de données de reconnaissance faciale.

Obligation clé : journalisation et traçabilité de chaque résultat de décision (article 12).

7. Migration, asile et contrôle aux frontières

Systèmes utilisés pour les évaluations par polygraphe, l'évaluation des risques liés aux demandes, la vérification de l'authenticité des documents et le traitement des demandes d'asile, de visa et de titre de séjour.

Obligation clé : surveillance humaine avec le pouvoir d'outrepasser les décisions automatisées (article 14).

8. Administration de la justice et processus démocratiques

IA assistant les autorités judiciaires dans la recherche, l'interprétation des faits et du droit, l'application du droit aux faits, ainsi que les systèmes utilisés pour influencer le résultat d'élections ou le comportement de vote.

Obligation clé : système de gestion de la qualité et documentation technique (articles 11 et 17).

Questions fréquentes

Ce que les équipes conformité demandent à propos des systèmes d'IA à haut risque

Qu'est-ce qui rend un système d'IA « à haut risque » au titre du règlement européen sur l'IA ?

Un système d'IA est classé à haut risque s'il relève de l'une des huit catégories énumérées à l'Annexe III du règlement européen sur l'IA (règlement 2024/1689), ou s'il est utilisé comme composant de sécurité d'un produit déjà couvert par la législation d'harmonisation de l'UE énumérée à l'Annexe I. La classification à haut risque déclenche des obligations impératives, notamment la gestion des risques, la gouvernance des données, la documentation technique, la surveillance humaine, les exigences d'exactitude et le monitoring post-commercialisation au titre des articles 9 à 17.

Quand les obligations relatives à l'IA à haut risque entrent-elles en vigueur ?

Le règlement européen sur l'IA est entré en vigueur le 01.08.2024. Les pratiques d'IA interdites s'appliquent depuis le 02.02.2025. La plupart des obligations relatives à l'IA à haut risque, dont les évaluations de la conformité et les exigences des articles 9 à 17, s'appliquent à partir du 02.08.2026. Toutefois, les systèmes d'IA à haut risque déjà sur le marché avant cette date devront se conformer lorsqu'ils feront l'objet de modifications substantielles. Les organisations devraient entamer dès maintenant leur inventaire IA et leur analyse des écarts afin d'éviter une course à la conformité.

Les déployeurs (et pas seulement les fournisseurs) ont-ils des obligations pour l'IA à haut risque ?

Oui. Le règlement européen sur l'IA impose des obligations explicites aux déployeurs , les organisations qui utilisent les systèmes d'IA à haut risque, et pas seulement à celles qui les développent. Les déployeurs doivent assurer la surveillance humaine, surveiller le fonctionnement du système d'IA, conserver les journaux, réaliser des analyses d'impact sur les droits fondamentaux pour certains cas d'usage (article 27) et signaler les incidents graves. Si votre organisation se procure de l'IA auprès de fournisseurs tiers, vous êtes un déployeur et assumez une responsabilité réglementaire.

Comment Priverion aide-t-il concrètement à la conformité au règlement européen sur l'IA ?

Le Registre IA de Priverion vous permet de cataloguer chaque système d'IA de toutes vos filiales, d'associer chacun aux catégories de l'Annexe III et d'attribuer des classifications de risque au sein d'une seule plateforme structurée. Les analyses d'impact assistées par l'IA pré-remplissent les facteurs de risque et suggèrent des mesures d'atténuation , chaque résultat étant revu par votre équipe avant de devenir un enregistrement de conformité. Les flux d'évaluation du risque fournisseurs garantissent que vous évaluez les fournisseurs d'IA tiers selon les mêmes standards. Et parce que tout fonctionne sur une infrastructure suisse sans qu'aucune donnée client ne soit utilisée pour l'entraînement de modèles, vous évitez de créer de nouveaux risques de conformité avec votre outil de conformité.

Priverion peut-il gérer la conformité au règlement européen sur l'IA en parallèle du RGPD ?

Oui , c'est le principe de conception central. La gestion d'un programme de protection des données et la gouvernance de l'IA présentent un recoupement important : cartographie des données, analyses d'impact, gestion des fournisseurs, réponse aux incidents et documentation des transferts transfrontaliers. Priverion gère les deux au sein d'une seule plateforme, de sorte que votre équipe ne duplique pas ses efforts entre des outils distincts. La gestion des registres des traitements, les AIPD et le Registre IA résident tous au même endroit, avec des flux de travail partagés.

Et si nous ne savons pas avec certitude lesquels de nos systèmes d'IA sont à haut risque ?

C'est précisément là que commencent la plupart des organisations. Moins de 30 % des organisations ont réalisé un inventaire de leur IA (Enquête IAPP sur la gouvernance de l'IA, 2024). Le Registre IA de Priverion vous aide à commencer par un inventaire structuré , en cataloguant les systèmes d'IA de votre groupe, en les associant aux catégories de l'Annexe III et en identifiant ceux qui nécessitent des évaluations de la conformité. La plateforme guide les décisions de classification au lieu de supposer que votre équipe détient déjà les réponses.

Arrêtez de gérer la protection des données dans des tableurs

Votre programme de protection des données à l'échelle du groupe mérite 30 minutes de clarté

Découvrez comment des organisations comme un constructeur aéronautique ont réduit de 60 % leur temps administratif de conformité au cours de leurs six premiers mois , avec une recertification automatisée des registres des traitements, des AIPD assistées par l'IA et une visibilité inter-entités, le tout hébergé sur une infrastructure suisse.

Opérationnel en quelques semaines, pas en quelques mois
Tarification prévisible , sans piège par utilisateur
Conçu et hébergé en Suisse
Réserver une présentation de 30 minutes

Pas d'argumentaire commercial , une présentation en direct adaptée à la structure de votre groupe et à vos besoins de conformité.

The Privacy Compliance Briefing

Des analyses mensuelles sur l'application du RGPD, les mises à jour de la nLPD et les stratégies d'automatisation pour les DPD et les équipes conformité.

Pas de spam. Désabonnement à tout moment.

À propos de cette page — références, définitions et FAQ

Points clés — Systèmes d'IA à haut risque du règlement européen sur l'IA

Le règlement européen sur l'IA (règlement 2024/1689) établit le premier cadre juridique complet au monde pour l'intelligence artificielle. Les systèmes d'IA à haut risque, définis à l'Annexe III à travers huit domaines, portent la charge de conformité la plus lourde : évaluations de la conformité impératives, systèmes de gestion des risques, documentation technique, surveillance humaine et monitoring post-commercialisation. Les obligations relatives à l'IA à haut risque devenant applicables le 02.08.2026, les équipes conformité doivent dès maintenant inventorier leurs systèmes d'IA, classer les niveaux de risque et mettre en place des structures de gouvernance. Selon le rapport IAPP-EY 2024 sur la gouvernance de la protection des données, moins de 30 % des organisations ont réalisé un inventaire de leurs systèmes d'IA — laissant la majorité d'entre elles non préparées à l'échéance réglementaire.

Définitions

Qu'est-ce qu'un système d'IA à haut risque ?

Un système d'IA à haut risque désigne un système d'IA répertorié à l'Annexe III du règlement européen sur l'IA ou utilisé comme composant de sécurité d'un produit couvert par la législation d'harmonisation de l'UE énumérée à l'Annexe I. Ces systèmes sont soumis à des exigences impératives au titre des articles 9 à 17 avant de pouvoir être mis sur le marché de l'UE. Source : règlement européen sur l'IA, règlement 2024/1689

Qu'est-ce que l'Annexe III du règlement européen sur l'IA ?

L'Annexe III énumère huit domaines de cas d'usage de l'IA à haut risque : (1) l'identification biométrique, (2) les infrastructures critiques, (3) l'éducation et la formation professionnelle, (4) l'emploi et la gestion des travailleurs, (5) les services privés et publics essentiels, (6) le maintien de l'ordre, (7) la migration et le contrôle aux frontières, et (8) l'administration de la justice et les processus démocratiques. Source : règlement européen sur l'IA, Annexe III

Qu'est-ce qu'une évaluation de la conformité ?

Une évaluation de la conformité est le processus par lequel un fournisseur démontre qu'un système d'IA à haut risque répond aux exigences du règlement européen sur l'IA avant de le mettre sur le marché. Pour la plupart des systèmes de l'Annexe III, les fournisseurs peuvent recourir à des procédures de contrôle interne (Annexe VI), tandis que les systèmes d'identification biométrique utilisés par les services répressifs nécessitent une évaluation par un organisme notifié tiers (Annexe VII). Source : règlement européen sur l'IA, articles 43 à 46

Qu'est-ce qu'une analyse d'impact sur les droits fondamentaux (AIDF) ?

Une analyse d'impact sur les droits fondamentaux est exigée au titre de l'article 27 du règlement européen sur l'IA pour les déployeurs qui sont des organismes publics ou des entités privées fournissant des services essentiels. Elle évalue l'incidence potentielle d'un système d'IA à haut risque sur les droits fondamentaux avant le déploiement. Source : règlement européen sur l'IA, article 27

Échéancier de conformité pour l'IA à haut risque du règlement européen sur l'IA

DateÉtapeSource
01.08.2024Entrée en vigueur du règlement européen sur l'IARèglement 2024/1689, art. 113
02.02.2025Prise d'effet des pratiques d'IA interditesApplication des obligations de l'art. 5
02.08.2025Application des obligations relatives aux modèles d'IA à usage généralApplication des art. 51 à 56
02.08.2026Les obligations relatives aux systèmes d'IA à haut risque (Annexe III) deviennent applicablesApplication de l'art. 6, Annexe III
02.08.2027Pleine application de l'IA à haut risque dans les produits de l'Annexe I (législation existante)Art. 113(3)(a)

Statistiques clés sur la préparation à la gouvernance de l'IA

Selon le rapport IAPP-EY 2024 sur la gouvernance de la protection des données, moins de 30 % des organisations ont réalisé un inventaire complet de leurs systèmes d'IA. Une enquête mondiale McKinsey 2024 sur l'IA a révélé que 72 % des organisations utilisent désormais l'IA dans au moins une fonction métier, contre 55 % en 2023 — pourtant, seules 42 % déclarent disposer de politiques formelles de gouvernance de l'IA. L'analyse d'impact de la Commission européenne a estimé que les coûts de conformité pour les fournisseurs d'IA à haut risque se situent entre 6'000 et 7'000 euros par système pour les évaluations de la conformité. Selon le rapport de l'ENISA sur les défis de cybersécurité de l'IA, les attaques adverses contre les systèmes d'IA ont augmenté de plus de 50 % entre 2022 et 2024, ce qui souligne l'importance des exigences de robustesse de l'article 15.

Catégories à haut risque de l'Annexe III — Tableau comparatif

CatégorieDomaineExemples de systèmes d'IAVoie de conformité
1Identification biométrique & catégorisationReconnaissance faciale en temps réel, reconnaissance des émotions sur le lieu de travailTiers (services répressifs) ou interne
2Infrastructures critiquesIA gérant les réseaux électriques, l'approvisionnement en eau, le trafic routierContrôle interne (Annexe VI)
3Éducation & formation professionnelleIA déterminant l'accès à l'éducation, notation automatiséeContrôle interne (Annexe VI)
4Emploi & gestion des travailleursTri des CV, analyse automatisée des entretiens, attribution des tâchesContrôle interne (Annexe VI)
5Services essentielsNotation de crédit, évaluation du risque assurantiel, envoi des secoursContrôle interne (Annexe VI)
6Maintien de l'ordrePolice prédictive, analyse des preuves, détection de mensongeTiers pour la biométrie ; interne pour les autres
7Migration & contrôle aux frontièresTraitement automatisé des visas, surveillance des frontièresContrôle interne (Annexe VI)
8Justice & processus démocratiquesIA assistant les décisions judiciaires, analyse d'influence électoraleContrôle interne (Annexe VI)

Questions fréquentes

Que sont les systèmes d'IA à haut risque au titre du règlement européen sur l'IA ?

Les systèmes d'IA à haut risque sont des applications d'IA répertoriées à l'Annexe III du règlement européen sur l'IA (règlement 2024/1689) qui présentent des risques importants pour la santé, la sécurité ou les droits fondamentaux. Ils couvrent huit domaines — de l'identification biométrique à l'administration de la justice — et nécessitent des évaluations de la conformité, une gestion des risques et une surveillance humaine impératives au titre des articles 9 à 17.

Quelles sont les 8 catégories d'IA à haut risque de l'Annexe III ?

Les huit catégories sont : (1) l'identification biométrique et la catégorisation, (2) la gestion des infrastructures critiques, (3) l'éducation et la formation professionnelle, (4) l'emploi et la gestion des travailleurs, (5) les services privés et publics essentiels, (6) le maintien de l'ordre, (7) la migration, l'asile et le contrôle aux frontières, et (8) l'administration de la justice et les processus démocratiques. Chaque catégorie énumère des cas d'usage précis qui déclenchent la classification à haut risque. Source : règlement européen sur l'IA, Annexe III

Quand les obligations relatives à l'IA à haut risque entrent-elles en vigueur ?

Les obligations relatives aux systèmes d'IA à haut risque au titre de l'Annexe III deviennent applicables le 02.08.2026, deux ans après l'entrée en vigueur du règlement. Les pratiques interdites s'appliquent déjà depuis le 02.02.2025, et les règles relatives aux modèles d'IA à usage général s'appliquent depuis le 02.08.2025. Source : règlement européen sur l'IA, article 113

Les déployeurs ont-ils des obligations au titre du règlement européen sur l'IA ?

Oui. L'article 26 exige des déployeurs qu'ils utilisent les systèmes d'IA à haut risque conformément aux instructions, assurent la surveillance humaine, surveillent les opérations, tiennent des journaux et signalent les incidents graves. Les déployeurs du secteur public et certaines entités privées doivent également réaliser des analyses d'impact sur les droits fondamentaux au titre de l'article 27. Source : règlement européen sur l'IA, articles 26 et 27

Quelles sanctions s'appliquent en cas de non-conformité ?

Au titre de l'article 99, la non-conformité aux obligations relatives à l'IA à haut risque peut entraîner des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les violations des pratiques d'IA interdites entraînent des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires. Les PME et les start-up bénéficient de plafonds proportionnés. Source : règlement européen sur l'IA, article 99

Comment le règlement européen sur l'IA s'articule-t-il avec le RGPD ?

Le règlement européen sur l'IA complète le RGPD. Les systèmes d'IA à haut risque traitant des données à caractère personnel doivent se conformer aux deux cadres. L'article 10 exige une gouvernance des données alignée sur les principes du RGPD, et l'article 26(9) impose une utilisation des résultats de l'IA conforme au RGPD. Les organisations peuvent s'appuyer sur leurs AIPD et leurs registres des traitements existants comme socle de la conformité au règlement sur l'IA. Source : règlement européen sur l'IA, considérant 10 et article 10

Qu'est-ce que la base de données de l'UE pour les systèmes à haut risque ?

L'article 71 du règlement européen sur l'IA établit une base de données à l'échelle de l'UE pour les systèmes d'IA à haut risque. Les fournisseurs doivent enregistrer leurs systèmes avant de les mettre sur le marché, et les déployeurs qui sont des organismes publics doivent également s'enregistrer. La base de données est gérée par la Commission européenne et est accessible au public afin de renforcer la transparence. Source : règlement européen sur l'IA, article 71

Comment les organisations peuvent-elles se préparer à la conformité de l'IA à haut risque ?

Les organisations devraient : (1) réaliser un inventaire complet de leurs systèmes d'IA dans toutes les unités opérationnelles, (2) classer chaque système au regard des catégories de l'Annexe III, (3) réaliser des analyses des écarts par rapport aux exigences des articles 9 à 17, (4) mettre en place des systèmes de gestion des risques et une documentation technique, (5) établir des protocoles de surveillance humaine et (6) mettre en place des flux de monitoring post-commercialisation et de signalement des incidents. Selon le rapport IAPP-EY 2024, les organisations qui commencent par un inventaire de leur IA ont 2,5 fois plus de chances d'atteindre la préparation à la conformité dans les délais.