Regulationrisk-classificationhigh-riskcompliance

Classification des risques du Reglement sur l'IA de l'UE : Les quatre niveaux expliques

Analyse approfondie du systeme de classification des risques a quatre niveaux du Reglement sur l'IA de l'UE -- risque inacceptable, eleve, limite et minimal. Decouvrez dans quelle categorie se situe votre systeme d'IA et ce qui est requis.

January 25, 202516 min read

Le systeme de classification des risques du Reglement sur l'IA de l'UE constitue le fondement architectural de l'ensemble du reglement. Plutot que de traiter tous les systemes d'IA de maniere egale, le Reglement 2024/1689 etablit quatre niveaux de risque -- inacceptable, eleve, limite et minimal -- chacun assorti d'obligations proportionnees. La logique est simple : plus le prejudice potentiel d'un systeme d'IA est eleve, plus les regles qui le regissent sont strictes.

Comprendre a quel niveau se situe votre systeme d'IA constitue la premiere etape essentielle vers la conformite. Une classification erronee peut entrainer soit une charge inutile, soit, plus dangereusement, une non-conformite aux exigences assorties de sanctions significatives.

Le cadre a quatre niveaux de risque

Le Reglement sur l'IA de l'UE organise les systemes d'IA en quatre categories fondees sur le niveau de risque qu'ils presentent pour la sante, la securite et les droits fondamentaux. Chaque niveau s'accompagne d'exigences reglementaires distinctes.

Risque inacceptable : Pratiques d'IA interdites

Unacceptable Risk

Au sommet de la pyramide des risques se trouvent les pratiques d'IA considerees comme si nefastes qu'elles sont purement et simplement interdites. L'article 5 du Reglement sur l'IA enumere ces pratiques interdites, qui representent une ligne claire qu'aucune organisation ne peut franchir.

Techniques subliminales, manipulatrices et trompeuses (article 5, paragraphe 1, point a)) : Les systemes d'IA qui deploient des techniques operant en dessous du seuil de conscience, ou qui sont intentionnellement manipulatrices ou trompeuses, dans le but ou avec l'effet de fausser de maniere substantielle le comportement et de causer ou d'etre raisonnablement susceptibles de causer un prejudice significatif.

Exploitation des vulnerabilites (article 5, paragraphe 1, point b)) : Les systemes d'IA qui ciblent les vulnerabilites specifiques des individus -- que ce soit en raison de leur age, de leur handicap ou d'une situation sociale ou economique particuliere -- pour fausser de maniere substantielle leur comportement d'une maniere qui cause ou est susceptible de causer un prejudice significatif.

Notation sociale (article 5, paragraphe 1, point c)) : Les systemes d'IA utilises par les autorites publiques (ou en leur nom) pour evaluer ou classer des personnes physiques sur la base de leur comportement social ou de leurs caracteristiques personnelles connues, deduites ou prevues, lorsque le score social qui en resulte entraine un traitement prejudiciable dans des contextes sans rapport ou un traitement disproportionne.

Police predictive fondee uniquement sur le profilage (article 5, paragraphe 1, point d)) : Les systemes d'IA qui evaluent le risque qu'une personne physique commette une infraction penale sur la seule base du profilage ou de l'evaluation de traits de personnalite et de caracteristiques. Cette interdiction ne s'applique pas lorsque l'IA est utilisee pour etayer des evaluations humaines deja fondees sur des faits objectifs et verifiables directement lies a une activite criminelle.

Extraction non ciblee d'images faciales (article 5, paragraphe 1, point e)) : Les systemes d'IA qui creent ou elargissent des bases de donnees de reconnaissance faciale par l'extraction non ciblee d'images faciales a partir d'internet ou de la videosurveillance.

Reconnaissance des emotions sur le lieu de travail et dans l'education (article 5, paragraphe 1, point f)) : Les systemes d'IA qui inferent les emotions de personnes physiques sur le lieu de travail ou dans les etablissements d'enseignement, sauf lorsqu'ils sont utilises a des fins medicales ou de securite.

Categorisation biometrique pour les caracteristiques sensibles (article 5, paragraphe 1, point g)) : Les systemes d'IA qui categorisent individuellement des personnes physiques sur la base de donnees biometriques pour deduire ou inferer leur race, leurs opinions politiques, leur appartenance syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle. Des exceptions limitees s'appliquent a des fins repressives.

Identification biometrique a distance en temps reel dans les espaces publics a des fins repressives (article 5, paragraphe 1, point h)) : Utilisation de systemes d'identification biometrique a distance en temps reel dans les espaces accessibles au public a des fins repressives, sauf dans des situations strictement necessaires impliquant des recherches ciblees de victimes, la prevention de menaces imminentes specifiques ou l'investigation d'infractions penales graves.

Les pratiques interdites sont assorties des sanctions les plus elevees au titre du Reglement sur l'IA : jusqu'a 35 millions d'EUR ou 7 % du chiffre d'affaires annuel mondial total, le montant le plus eleve etant retenu. Ces interdictions sont en vigueur depuis le 2 fevrier 2025.

Implications pratiques

Les organisations doivent mener un audit immediat pour s'assurer qu'elles n'exploitent aucun systeme relevant de l'article 5. Si beaucoup de ces pratiques sont rares dans les applications commerciales classiques, certains cas limites meritent une analyse approfondie. Par exemple, les algorithmes de personnalisation qui franchissent la ligne des techniques manipulatrices, ou les outils de surveillance des employes qui pourraient etre interpretes comme de la reconnaissance des emotions sur le lieu de travail, necessitent un examen attentif.

Haut risque : Exigences exhaustives

High Risk

Les systemes d'IA a haut risque constituent le coeur du reglement. Ce sont des systemes autorises mais soumis a des exigences etendues avant de pouvoir etre mis sur le marche ou mis en service.

Le Reglement sur l'IA definit les systemes d'IA a haut risque selon deux voies au titre de l'article 6 :

Voie 1 -- Composants de securite de produits reglementes (article 6, paragraphe 1) : Un systeme d'IA est a haut risque s'il est un composant de securite d'un produit, ou s'il est lui-meme un produit, couvert par la legislation d'harmonisation de l'UE figurant a l'annexe I, et que le produit doit faire l'objet d'une evaluation de la conformite par un tiers au titre de cette legislation. Cela couvre l'IA embarquee dans les dispositifs medicaux, les machines, les jouets, les ascenseurs, les vehicules automobiles, les systemes d'aviation et d'autres produits reglementes.

Voie 2 -- Systemes autonomes dans des domaines sensibles (article 6, paragraphe 2, et annexe III) : Un systeme d'IA est a haut risque s'il releve de l'un des cas d'utilisation enumeres a l'annexe III. Les huit domaines definis a l'annexe III sont :

1. Biometrie (annexe III, point 1) : Systemes d'identification biometrique a distance (a l'exclusion de ceux interdits au titre de l'article 5), systemes d'IA pour la categorisation biometrique par des attributs sensibles ou proteges, et systemes d'IA pour la reconnaissance des emotions.

2. Infrastructures critiques (annexe III, point 2) : Systemes d'IA utilises comme composants de securite dans la gestion et l'exploitation des infrastructures numeriques critiques, de la circulation routiere et de l'approvisionnement en eau, gaz, chauffage et electricite.

3. Education et formation professionnelle (annexe III, point 3) : Systemes d'IA utilises pour determiner l'acces ou l'admission aux etablissements d'enseignement, evaluer les resultats d'apprentissage, evaluer le niveau d'education approprie et surveiller les comportements interdits lors des examens.

4. Emploi, gestion des travailleurs et acces au travail independant (annexe III, point 4) : Systemes d'IA utilises pour le recrutement (filtrage des candidatures, evaluation des candidats), la prise de decisions affectant les conditions des relations de travail (promotion, licenciement, attribution des taches) et la surveillance ou l'evaluation des performances et du comportement des travailleurs.

5. Acces aux services prives essentiels et aux services publics et prestations (annexe III, point 5) : Systemes d'IA utilises pour evaluer l'eligibilite aux prestations et services publics, evaluer la solvabilite (sauf pour la detection de fraudes financieres), evaluer et classer les appels d'urgence et evaluer les risques en matiere de tarification de l'assurance vie et sante.

6. Repression (annexe III, point 6) : Systemes d'IA utilises par les forces de l'ordre pour l'evaluation individuelle des risques, les polygraphes ou outils similaires, l'evaluation de la fiabilite des preuves, l'evaluation du risque de recidive, le profilage lors de la detection ou de l'investigation, et l'analyse criminelle.

7. Migration, asile et gestion des frontieres (annexe III, point 7) : Systemes d'IA utilises pour les outils de type polygraphe dans les procedures migratoires, l'evaluation du risque de migration irreguliere, les risques de securite ou de sante poses par des individus, l'examen des demandes d'asile, de visa ou de permis de sejour, et la detection de personnes dans la gestion des frontieres.

8. Administration de la justice et processus democratiques (annexe III, point 8) : Systemes d'IA utilises par les autorites judiciaires pour rechercher et interpreter les faits et le droit et appliquer le droit a des cas concrets, ou destines a etre utilises dans le cadre du reglement alternatif des litiges.

Tous les systemes d'IA utilises dans ces domaines ne sont pas automatiquement a haut risque. L'article 6, paragraphe 3, prevoit une exception importante : un systeme d'IA enumere a l'annexe III n'est pas considere comme a haut risque s'il ne presente pas de risque significatif de prejudice pour la sante, la securite ou les droits fondamentaux. Le fournisseur doit documenter cette evaluation, qui est soumise a l'examen des autorites de surveillance du marche.

Exigences pour les systemes a haut risque

Les systemes d'IA a haut risque doivent se conformer aux exigences etablies aux articles 8 a 15, qui couvrent :

  • Systeme de gestion des risques (article 9)
  • Donnees et gouvernance des donnees (article 10)
  • Documentation technique (article 11)
  • Tenue de registres et journalisation automatique (article 12)
  • Transparence et fourniture d'informations aux deployers (article 13)
  • Mesures de controle humain (article 14)
  • Exactitude, robustesse et cybersecurite (article 15)

Les fournisseurs doivent egalement mettre en oeuvre un systeme de gestion de la qualite (article 17), se soumettre a une evaluation de la conformite (article 43), enregistrer leurs systemes dans la base de donnees de l'UE (article 49) et realiser une surveillance apres la mise sur le marche (article 72).

Need auditable AI for compliance?

Ctrl AI provides full execution traces, expert verification, and trust-tagged outputs for every AI decision.

Learn About Ctrl AI

Risque limite : Obligations de transparence

Limited Risk

La categorie de risque limite couvre les systemes d'IA qui interagissent avec les personnes ou generent du contenu d'une maniere qui pourrait etre trompeuse si la nature IA du systeme ou de ses resultats n'est pas divulguee. L'article 50 etablit des obligations de transparence specifiques pour ces systemes.

Qui doit se conformer

Fournisseurs de systemes d'IA concus pour interagir avec des personnes physiques (article 50, paragraphe 1) : Les systemes tels que les chatbots doivent etre concus de maniere a ce que la personne physique soit informee qu'elle interagit avec un systeme d'IA, a moins que cela ne soit evident dans les circonstances et le contexte d'utilisation.

Fournisseurs de systemes d'IA generant du contenu synthetique (article 50, paragraphe 2) : Les systemes d'IA qui generent du contenu audio, image, video ou texte synthetique doivent marquer les resultats dans un format lisible par machine qui indique qu'ils ont ete generes ou manipules artificiellement. La mise en oeuvre technique doit etre efficace, interoperable, robuste et fiable.

Deployers de systemes de reconnaissance des emotions ou de categorisation biometrique (article 50, paragraphe 3) : Lorsque ces systemes ne sont pas classes comme a haut risque, les deployers doivent informer les personnes physiques exposees au systeme de son fonctionnement et traiter les donnees personnelles conformement au droit applicable en matiere de protection des donnees.

Deployers de systemes d'hypertrucage (article 50, paragraphe 4) : Les deployers qui publient ou permettent l'acces a du contenu genere ou manipule par l'IA (hypertrucages) doivent reveler que le contenu a ete genere ou manipule artificiellement. Une exception existe pour les contenus faisant partie d'oeuvres manifestement artistiques, creatives, satiriques ou fictionnelles, bien que meme dans ce cas, la divulgation ne doive pas empecher l'affichage du contenu.

Exemples pratiques

  • Un chatbot de service client sur un site de commerce electronique doit indiquer aux utilisateurs qu'ils echangent avec une IA, et non avec un humain.
  • Un outil d'IA qui genere des images marketing doit integrer des metadonnees lisibles par machine indiquant que les images sont generees par l'IA.
  • Une entreprise utilisant l'IA pour analyser le ton emotionnel des appels clients (lorsque cela ne releve pas du haut risque) doit en informer les appelants.
  • Un organisme de presse publiant des articles generes par l'IA doit les etiqueter comme tels.

Les obligations de transparence peuvent sembler simples, mais les exigences techniques -- en particulier concernant le marquage lisible par machine du contenu genere par l'IA -- necessitent un effort de mise en oeuvre. Les organisations devraient planifier ces exigences bien avant l'echeance d'aout 2026.

Risque minimal : Conformite volontaire

Minimal Risk

La grande majorite des systemes d'IA relevent de la categorie de risque minimal. Ce sont des applications d'IA qui presentent peu ou pas de risque pour les droits fondamentaux et la securite. Le Reglement sur l'IA de l'UE n'impose pas d'exigences obligatoires pour ces systemes au-dela de la legislation existante.

Exemples d'IA a risque minimal

  • Filtres anti-spam
  • Systemes de recommandation alimentes par l'IA (pour les services non essentiels)
  • Jeux video ameliores par l'IA
  • Systemes de gestion des stocks
  • Correcteurs orthographiques et grammaticaux assistes par l'IA
  • Systemes de maintenance predictive pour les equipements de fabrication
  • Moteurs de recherche alimentes par l'IA (usage general)

Codes de conduite volontaires

Bien que les systemes d'IA a risque minimal ne soient soumis a aucune exigence obligatoire au titre du Reglement sur l'IA, l'article 95 encourage les fournisseurs et les deployers a appliquer volontairement les exigences relatives aux systemes a haut risque ou a elaborer leurs propres codes de conduite. Ces codes peuvent porter sur des questions telles que :

  • La durabilite environnementale des systemes d'IA
  • La culture en matiere d'IA parmi les parties prenantes
  • La conception inclusive et diversifiee
  • L'accessibilite pour les personnes en situation de handicap

La Commission et les Etats membres facilitent l'elaboration de ces codes volontaires, et leur respect peut servir de facteur de differenciation commerciale pour les organisations souhaitant demontrer des pratiques responsables en matiere d'IA.

Comment classifier votre systeme d'IA

La classification correcte de votre systeme d'IA necessite une approche systematique. Voici un cadre pratique pour mener le processus de classification.

Etape 1 : Verification par rapport aux pratiques interdites

Examinez votre systeme d'IA par rapport a chaque pratique interdite de l'article 5. Si votre systeme releve de l'une de ces categories, il doit etre abandonne immediatement -- aucune exception ni solution de contournement ne permettra d'atteindre la conformite.

Etape 2 : Verification de l'annexe I (legislation sur la securite des produits)

Si votre systeme d'IA est un composant de securite d'un produit, ou s'il est lui-meme un produit, regi par la legislation d'harmonisation de l'UE figurant a l'annexe I, verifiez si ce produit necessite une evaluation de la conformite par un tiers. Si oui, le systeme d'IA est a haut risque au titre de l'article 6, paragraphe 1.

Etape 3 : Verification de l'annexe III (cas d'utilisation sensibles)

Examinez si la finalite prevue de votre systeme d'IA releve de l'une des huit categories de l'annexe III. C'est la que la plupart des classifications a haut risque des systemes autonomes surviennent.

Etape 4 : Application de l'exception de l'article 6, paragraphe 3

Si votre systeme est enumere a l'annexe III mais ne presente pas de risque significatif de prejudice, vous pouvez faire valoir qu'il n'est pas a haut risque au titre de l'exception de l'article 6, paragraphe 3. Toutefois, cela necessite une justification documentee et est soumis a un examen reglementaire. L'exception ne s'applique pas si le systeme d'IA effectue un profilage de personnes physiques.

Etape 5 : Verification des obligations de transparence

Si votre systeme n'est pas a haut risque, determinez s'il interagit avec des personnes physiques, genere du contenu synthetique, effectue de la reconnaissance des emotions ou produit du contenu hypertrucage. Si oui, il releve des obligations de transparence du risque limite.

Etape 6 : Classification par defaut en risque minimal

Si votre systeme ne releve d'aucune des categories ci-dessus, il est classe en risque minimal sans obligations obligatoires au titre du Reglement sur l'IA.

La classification des risques n'est pas un exercice statique. Si vous modifiez la finalite prevue de votre systeme d'IA, elargissez son champ d'application ou changez le contexte dans lequel il opere, vous devez reevaluer sa classification. L'article 6, paragraphe 3, exige explicitement que l'evaluation soit mise a jour en cas de changement de la finalite prevue du systeme d'IA.

Cas particuliers et considerations

Modeles d'IA a usage general

Les modeles d'IA a usage general (GPAI) sont reglementes separement au titre du chapitre V du Reglement sur l'IA. Un modele GPAI n'est pas lui-meme classe selon le systeme a quatre niveaux de risque. Cependant, lorsqu'un modele GPAI est integre dans un systeme d'IA, ce systeme d'IA est classe en fonction de sa finalite prevue et de son cas d'utilisation.

Par exemple, un grand modele de langage est regi par les dispositions relatives aux GPAI. Mais si ce modele est utilise pour alimenter un outil de selection en matiere de recrutement, le systeme d'IA qui en resulte serait classe comme a haut risque au titre de l'annexe III, point 4.

Systemes d'IA a usages multiples

Certains systemes d'IA peuvent servir a plusieurs finalites. La classification doit etre fondee sur chaque finalite prevue individuellement. Un systeme d'IA utilise a la fois pour des applications a risque minimal (comme l'analyse generale de la clientele) et des applications a haut risque (comme l'evaluation de la solvabilite) doit se conformer aux exigences relatives au haut risque pour cette derniere utilisation.

Modifications apres la mise sur le marche

Si un fournisseur modifie substantiellement un systeme d'IA apres sa mise sur le marche, le systeme modifie peut devoir etre reclasse et faire l'objet d'une nouvelle evaluation de la conformite. De meme, les deployers qui utilisent un systeme d'IA a une fin non prevue par le fournisseur doivent proceder a leur propre evaluation des risques.

Conclusion

Le systeme de classification des risques a quatre niveaux du Reglement sur l'IA de l'UE fournit un cadre reglementaire proportionne qui concentre les obligations de conformite la ou elles comptent le plus. En distinguant les systemes d'IA a risque inacceptable, eleve, limite et minimal, le reglement evite d'imposer une charge inutile aux applications a faible risque tout en garantissant des protections robustes la ou l'IA peut affecter significativement la vie des personnes.

Pour les organisations naviguant dans ce cadre, une classification precise est le fondement de chaque decision de conformite qui suit. Elle determine quelles exigences s'appliquent, quelles echeances prioriser et quelles ressources allouer. Prendre le temps de classifier correctement vos systemes d'IA -- et de documenter soigneusement cette classification -- permettra d'economiser des efforts et de l'incertitude considerables par la suite.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Articles connexes

Regulation21 min read

Systemes d'IA a haut risque : Exigences completes au titre du Reglement sur l'IA de l'UE

Guide detaille des exigences relatives aux systemes d'IA a haut risque au titre du Reglement sur l'IA de l'UE -- gestion des risques, gouvernance des donnees, documentation, controle humain, exactitude et cybersecurite.

Regulation12 min read

Sanctions du Reglement sur l'IA de l'UE : Amendes jusqu'a 35 millions d'euros expliquees

Ventilation complete des sanctions et amendes du Reglement sur l'IA de l'UE -- de 35 millions d'euros pour les pratiques interdites a 7,5 millions d'euros pour les informations inexactes. Comprendre le regime de sanctions et comment les eviter.

Regulation16 min read

Calendrier du Reglement sur l'IA de l'UE : Dates cles de 2024 a 2027

Calendrier complet des etapes d'application du Reglement sur l'IA de l'UE -- de l'entree en vigueur en aout 2024 a la pleine conformite pour les systemes a haut risque en aout 2027. Sachez exactement quand chaque exigence s'applique.