Brief IA : IA à haut risque : Bruxelles dévoile sa liste et ses échappatoires

IA à haut risque : Bruxelles dévoile sa liste et ses échappatoires

Brief IA
Tom Levy·3 min·3 vues

La Commission européenne a publié le 19 mai 2023 des lignes directrices sur la classification des systèmes d'IA à haut risque, avec 107 jours de retard sur le calendrier légal. Ces nouvelles règles repoussent les obligations de seize mois et visent à encadrer l'utilisation de l'IA dans des secteurs sensibles tels que le recrutement et le crédit, soulignant l'importance de la sécurité et de l'éthique.

En bref
1La Commission européenne a publié le 19 mai ses lignes directrices sur les IA à haut risque, avec un retard de 107 jours.
2Huit domaines sensibles, dont l'éducation et le crédit, sont ciblés, impactant de nombreux secteurs en France.
3Un système peut échapper à la classification de haut risque s'il remplit trois conditions spécifiques.
💡Pourquoi c'est importantLes entreprises doivent ajuster leurs stratégies de conformité face à ces nouvelles directives, malgré un report des échéances.
Le brief IA que lisent les pros

L’IA et sa régulation t’intéressent ?

Lois, cadres et décisions qui façonnent l’IA, décryptés en français. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

La Commission européenne a publié le 19 mai ses lignes directrices tant attendues sur la classification des systèmes d'intelligence artificielle (IA) à haut risque. Ce document, crucial pour les entreprises, a été publié avec un retard de 107 jours par rapport à l'échéance légale initiale. Le contexte de cette publication est marqué par l'accord Omnibus qui a repoussé les obligations légales de seize mois, rendant le timing de cette publication particulièrement délicat.

Selon l'article 6 de l'AI Act, la Commission devait fournir une liste précise des systèmes d'IA considérés comme "à haut risque". Initialement prévue pour le 2 février 2026, cette liste a finalement été rendue publique le 19 mai, accompagnée d'une consultation ouverte jusqu'au 23 juin. Le document est divisé en trois sections téléchargeables sur la plateforme d'information unique de l'AI Act, offrant pour la première fois une interprétation officielle de la Commission sur les systèmes soumis aux obligations les plus strictes du règlement européen.

Huit domaines sous surveillance

Les lignes directrices identifient deux grandes catégories de systèmes à haut risque. La première concerne les IA intégrées dans des produits déjà régulés par la législation européenne de sécurité, tels que les dispositifs médicaux, les jouets, les machines industrielles et les ascenseurs.

La seconde catégorie cible huit domaines sensibles, listés en Annexe III, qui touchent un large public :

  • Identification biométrique à distance
  • Gestion d'infrastructures critiques (réseaux électriques, eau, gaz, trafic routier)
  • Éducation
  • Emploi et gestion du personnel
  • Accès aux services essentiels (crédit, assurance, prestations sociales)
  • Forces de l'ordre
  • Contrôle aux frontières
  • Administration de la justice

En France, ces domaines concernent de nombreux secteurs de l'économie numérique. Le tri automatisé de CV, le scoring de crédit bancaire, la tarification assurantielle pilotée par algorithme, et la notation automatisée dans l'enseignement supérieur sont des pratiques courantes. Avec plus de 1 100 startups opérant dans ces domaines, l'écosystème IA français est le premier d'Europe continentale en volume, selon France Digitale.

Une échappatoire pour certains systèmes

L'article 6(3) de l'AI Act propose une échappatoire pour certains systèmes listés en Annexe III. Pour ne pas être classé comme à haut risque, un système doit remplir trois conditions : effectuer une tâche procédurale étroite, ne pas profiler de personnes physiques, et ne pas poser de risque significatif pour la santé, la sécurité ou les droits fondamentaux. Par exemple, un outil qui extrait des mots-clés d'un CV sans classer les candidats pourrait être exempté. Les lignes directrices fournissent des exemples pratiques pour tracer cette frontière, ce que les juristes et les DPO attendaient depuis des mois.

Un calendrier ajusté

Le calendrier des obligations a été modifié par l'accord Omnibus du 7 mai, repoussant l'application des règles pour les systèmes autonomes de l'Annexe III au 2 décembre 2027, et pour ceux intégrés dans des produits régulés au 2 août 2028. Ce report offre aux entreprises un délai supplémentaire pour se conformer aux nouvelles exigences. L'Omnibus attend encore son adoption formelle par le Parlement et le Conseil, prévue avant le 2 août, date à laquelle les obligations originales s'appliqueraient sans lui.

En France, la CNIL a été désignée comme autorité de référence pour l'application de l'AI Act, suite au vote du projet de loi DDADUE volet numérique en février 2026. L'architecture de contrôle concrète, qui surveille quoi, comment, avec quels moyens, est encore en cours de construction. Bien que les lignes directrices ne soient pas contraignantes, elles fournissent un cadre précieux pour les entreprises qui doivent dès à présent ajuster leurs investissements de conformité.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires