Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juin 2026
La question « mon entreprise utilise-t-elle une IA à haut risque ? » est devenue, en 2026, l’une des plus fréquemment posées par les directions juridiques, DPO et fondateurs. La réponse conditionne l’ensemble du dispositif de conformité AI Act, des obligations contractuelles à la documentation technique, en passant par la supervision humaine et la FRIA. Beaucoup d’acteurs présument à tort qu’ils ne sont pas concernés. Or, le périmètre est plus large qu’il n’y paraît. Cet article fournit un arbre de décision opérationnel, détaille les huit domaines de l’annexe III, explique les exceptions et précise les sanctions.
SOMMAIRE
- Pourquoi qualifier son IA est devenu stratégique en 2026
- Le cadre juridique applicable
- L’arbre de décision en 6 étapes
- Tableau de synthèse des 8 domaines annexe III
- Les 5 pièges de la qualification
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi qualifier son IA est devenu stratégique en 2026
La qualification d’une IA à haut risque conditionne toute la suite. Sans cette analyse préalable, les entreprises naviguent à vue. Trois dynamiques expliquent l’urgence de la démarche en 2026.
1.1 L’entrée en application des obligations haut risque
Le Règlement UE 2024/1689 est entré en vigueur en août 2024. Les obligations relatives aux systèmes d’IA à haut risque s’appliquent progressivement, avec une mise en œuvre opérationnelle effective en 2026 et 2027. Les entreprises ont peu de temps pour s’organiser. La qualification est la première étape : sans elle, aucune action de conformité ne peut être correctement calibrée.
1.2 Une méconnaissance massive des critères
Beaucoup d’entreprises supposent qu’elles ne sont pas concernées parce qu’elles ne « font pas d’IA ». Or, l’AI Act vise tous les systèmes d’IA, y compris ceux intégrés dans des outils SaaS du marché. Un filtre CV automatisé, un scoring crédit, un système de détection de fraude, un outil d’évaluation des élèves : autant d’usages courants qui peuvent constituer une IA à haut risque sans que l’entreprise utilisatrice en ait conscience.
2. Le cadre juridique applicable
Qualifier une IA à haut risque suppose de maîtriser un cadre précis. Trois corpus principaux structurent la démarche et doivent être lus conjointement.
2.1 La définition du système d’IA (article 3)
L’article 3 du Règlement UE 2024/1689 définit le système d’IA comme un système conçu pour fonctionner avec différents niveaux d’autonomie, qui peut faire preuve d’adaptabilité et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties (prédictions, contenu, recommandations, décisions). Cette définition large couvre l’IA traditionnelle, le machine learning, le deep learning et l’IA générative.
2.2 L’article 6 et les deux voies de qualification
L’article 6 organise la qualification haut risque selon deux voies. La première (paragraphe 1) vise les systèmes d’IA qui constituent des produits ou des composants de sécurité de produits déjà régulés par les législations UE listées à l’annexe I (jouets, dispositifs médicaux, ascenseurs, machines, etc.). La seconde (paragraphe 2) vise les systèmes d’IA relevant des huit domaines de l’annexe III. Le paragraphe 3 prévoit une exception lorsque le système ne pose pas de risque significatif, sous conditions strictes.
2.3 L’annexe III et ses 8 domaines
L’annexe III liste précisément les huit domaines concernés : biométrie, infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services essentiels privés et publics, application de la loi, migration et contrôle des frontières, administration de la justice et processus démocratiques. Cette annexe peut être complétée par la Commission européenne par actes délégués, ce qui en fait un texte évolutif. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
3. L’arbre de décision en 6 étapes
Qualifier une IA à haut risque suit une démarche structurée. Six étapes successives transforment une intuition en analyse défendable et opposable face à l’autorité de contrôle.
3.1 Étape 1 — Le système relève-t-il bien d’un système d’IA ?
La première étape vérifie l’applicabilité de l’AI Act. Le système répond-il à la définition de l’article 3 ? Un logiciel statistique classique, un automatisme déterministe simple ou un moteur de règles fixes peut, selon le cas, ne pas tomber sous la définition. À l’inverse, un système combinant règles métier et machine learning relève typiquement de l’AI Act. Cette qualification préalable est cruciale : sans elle, la suite de l’analyse est inopérante.
3.2 Étape 2 — Est-il un produit ou composant de sécurité régulé ?
La deuxième étape examine l’article 6, paragraphe 1. Le système d’IA est-il intégré dans un produit déjà régulé par les législations UE listées à l’annexe I (machines, jouets, dispositifs médicaux, ascenseurs, équipements de protection individuelle, équipements radio, transports) et soumis à une évaluation de conformité par un tiers ? Si oui, le système est qualifié haut risque, indépendamment de son usage final.
3.3 Étape 3 — Relève-t-il d’un des 8 domaines de l’annexe III ?
La troisième étape examine l’article 6, paragraphe 2. Le système relève-t-il d’un des huit domaines : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice. Chaque domaine comporte des cas d’usage précis, qu’il faut comparer rigoureusement au cas réel. Cette analyse doit être documentée par écrit, point par point.
3.4 Étape 4 — L’exception de l’article 6, paragraphe 3 est-elle applicable ?
La quatrième étape examine l’exception de l’article 6, paragraphe 3. Un système relevant de l’annexe III peut échapper à la qualification haut risque s’il ne pose pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux. Cette exception est strictement encadrée : tâche procédurale étroite, amélioration d’une activité humaine déjà existante, détection de schémas de décision sans remplacement de l’évaluation humaine, ou tâche préparatoire. Une auto-évaluation documentée est obligatoire et doit être conservée. L’application de l’exception reste exceptionnelle.
3.5 Étape 5 — Quel est le rôle de l’entreprise ?
La cinquième étape qualifie le rôle de l’entreprise dans la chaîne. Est-elle fournisseur (qui développe et met sur le marché le système), déployeur (qui l’utilise dans son activité sous sa propre autorité), importateur, distributeur ou mandataire ? Les obligations diffèrent selon le rôle. Une entreprise peut être déployeur pour un outil et fournisseur pour un autre. Cette qualification conditionne la liste exacte des obligations à respecter.
3.6 Étape 6 — Documenter et formaliser la qualification
La dernière étape formalise la qualification dans une note écrite et opposable : qualification retenue, fondement juridique, références annexe III ou article 6, application ou non de l’exception du paragraphe 3, rôle de l’entreprise dans la chaîne. Cette note constitue la pièce maîtresse de tout dossier de conformité et la première chose que demandera l’autorité de contrôle. Sans ce document, la démonstration de bonne foi devient extrêmement difficile.
4. Tableau de synthèse des 8 domaines annexe III
Le tableau ci-dessous synthétise les huit domaines de l’annexe III, des exemples opérationnels d’usage et leur niveau de probabilité de qualification haut risque en pratique.
| Domaine | Exemples opérationnels | Probabilité |
|---|---|---|
| 1. Biométrie | Reconnaissance faciale, émotions | 🔴 Quasi systématique |
| 2. Infrastructures critiques | Énergie, eau, transports, télécoms | 🔴 Élevée |
| 3. Éducation et formation | Tri admission, notation, anti-fraude | 🔴 Élevée |
| 4. Emploi et gestion RH | Tri CV, évaluation, promotion | 🔴 Très élevée |
| 5. Services essentiels | Scoring crédit, assurance, santé | 🔴 Très élevée |
| 6. Application de la loi | Évaluation des risques, profilage | 🔴 Quasi systématique |
| 7. Migration et frontières | Vérification, évaluation des risques | 🔴 Quasi systématique |
| 8. Justice et démocratie | Aide à la décision, processus élec. | 🔴 Quasi systématique |
5. Les 5 pièges de la qualification
Au-delà de la méthode, plusieurs pièges récurrents biaisent les qualifications conduites sans appui juridique. Les identifier permet d’éviter les erreurs les plus coûteuses lors d’un contrôle.
5.1 Présumer qu’on n’est pas concerné parce qu’on « ne fait pas d’IA »
Le premier piège est l’auto-déni. Beaucoup d’entreprises pensent qu’elles n’utilisent pas d’IA. Or, l’IA est désormais intégrée dans de nombreux outils SaaS du marché : ATS de recrutement, scoring marketing, détection de fraude, optimisation logistique, modération de contenu. L’utilisation d’un outil tiers contenant de l’IA ne dispense pas l’entreprise des obligations du déployeur. La qualification doit toujours être conduite, même quand l’IA est invisible au quotidien.
5.2 Sous-qualifier un cas d’usage couvert par l’annexe III
Le deuxième piège est la sous-qualification. Pour échapper à l’AI Act, certaines entreprises restreignent abusivement la description du cas d’usage. Un système de tri CV présenté comme « simple aide à la lecture » reste, en pratique, un système de filtrage qui hiérarchise des candidats. L’analyse doit refléter la réalité opérationnelle, pas une version édulcorée destinée à éviter les obligations. Un contrôle ferait ressortir immédiatement la divergence.
5.3 Mésinterpréter l’exception du paragraphe 3
Le troisième piège concerne l’exception de l’article 6, paragraphe 3. Cette exception est strictement encadrée et ne s’applique que dans des cas limités. Considérer qu’un système d’IA influençant des décisions sur des personnes échappe à la qualification haut risque parce qu’il « aide simplement » l’utilisateur humain relève le plus souvent d’une lecture optimiste de l’exception. Le test est rigoureux : tâche procédurale étroite, sans remplacement substantiel de l’évaluation humaine.
5.4 Confondre rôles fournisseur et déployeur
Le quatrième piège est la confusion des rôles. Une entreprise qui personnalise substantiellement un système d’IA tiers peut devenir co-fournisseur, avec des obligations différentes du simple déployeur. De même, une entreprise qui rebrande un système tiers sous son propre nom devient fournisseur. Cette qualification conditionne précisément la liste des obligations à respecter, et son erreur peut coûter cher en cas de contrôle.
5.5 Ne pas documenter par écrit la qualification
Le cinquième piège est l’absence de documentation. Une qualification mentale, jamais formalisée, n’a aucune valeur juridique. L’autorité de contrôle exige une démonstration écrite et argumentée. Une note de qualification, datée, signée et conservée, constitue la pièce maîtresse du dossier de conformité. Sans elle, la bonne foi devient difficile à démontrer et la position défensive très faible.
6. Pourquoi faire appel à Atias Avocats
Qualifier une IA à haut risque exige une combinaison rare de compétences : maîtrise de l’AI Act et de sa structure normative, expertise du RGPD et de son articulation avec l’AI Act, compréhension opérationnelle des architectures d’IA et des cas d’usage métiers, pratique de la défense face aux autorités de contrôle. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique avec une pratique active de la conformité IA.
Atias Avocats accompagne entreprises, scale-ups, banques, assureurs, mutuelles, organismes publics et entités privées de service public sur l’ensemble du sujet : qualification d’un système d’IA isolé, cartographie complète des systèmes d’IA d’une organisation, articulation avec le RGPD et les obligations sectorielles, accompagnement à la documentation, conduite des FRIA (analyse d’impact sur les droits fondamentaux), rédaction des clauses contractuelles fournisseur/déployeur, formation des équipes. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
Conclusion
Qualifier son système d’IA à haut risque n’est pas un exercice abstrait. C’est la pierre angulaire de toute stratégie de conformité AI Act. Sans cette qualification rigoureuse, le reste du dispositif est inutilement coûteux ou dangereusement insuffisant. L’arbre de décision en six étapes présenté dans cet article, combiné à la vigilance sur les cinq pièges classiques, offre un référentiel directement utilisable par les directions juridiques, DPO, RSSI et fondateurs.
Pour les DG, directions juridiques, DPO et fondateurs, le réflexe doit être clair : qualifier d’abord, documenter ensuite, et seulement alors dimensionner le programme de conformité. C’est précisément à cette étape, en amont, que se construit la maîtrise réelle de la conformité IA et la sérénité opérationnelle pour les années à venir.
FAQ — Questions fréquentes
Qu’est-ce qu’une IA à haut risque selon l’AI Act ?
L’AI Act (Règlement UE 2024/1689) classe les systèmes d’IA selon une pyramide de quatre niveaux : risque inacceptable (interdit), haut risque, risque limité (obligations de transparence), risque minimal (libre). Une IA à haut risque est un système qui, soit constitue un produit ou un composant de sécurité d’un produit déjà régulé (article 6, paragraphe 1), soit relève d’un des huit domaines listés à l’annexe III (article 6, paragraphe 2). Cette qualification déclenche un ensemble lourd d’obligations : système de gestion des risques, gouvernance des données, documentation technique, transparence, supervision humaine, robustesse, enregistrement à la base européenne, marquage CE.
Quels sont les 8 domaines de l’annexe III concernés ?
L’annexe III du Règlement UE 2024/1689 liste huit domaines dans lesquels un système d’IA peut être qualifié à haut risque : (1) identification biométrique à distance, reconnaissance des émotions, catégorisation biométrique ; (2) infrastructures critiques (énergie, eau, transport, numérique) ; (3) éducation et formation professionnelle (accès, évaluation, fraude aux examens) ; (4) emploi et gestion des travailleurs (recrutement, tri CV, évaluation, promotion, licenciement) ; (5) accès aux services essentiels privés et publics (santé, scoring crédit, assurance vie/santé, prestations sociales, services d’urgence) ; (6) application de la loi (évaluation des risques, deepfakes, polygraphes, profilage) ; (7) migration, asile et contrôle des frontières ; (8) administration de la justice et processus démocratiques. Tout système IA opérant dans l’un de ces domaines doit faire l’objet d’une analyse de qualification.
Mon outil de filtre CV est-il une IA à haut risque ?
Dans la grande majorité des cas, oui. L’annexe III, point 4, vise expressément les systèmes d’IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres ciblées, analyser et filtrer les candidatures, évaluer les candidats. Un outil qui automatise tout ou partie de ces tâches relève donc en principe de la catégorie haut risque. Une exception est prévue à l’article 6, paragraphe 3 lorsque le système ne pose pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux. Cette exception est strictement encadrée et exige une auto-évaluation documentée, qui doit être conservée. Pour un filtre CV qui hiérarchise ou exclut des candidatures, l’exception est rarement applicable en pratique.
Quelles sont les principales obligations d’une IA à haut risque ?
Les obligations sont substantielles et se répartissent entre le fournisseur (qui développe le système) et le déployeur (qui l’utilise dans son activité). Le fournisseur doit notamment mettre en place un système de gestion des risques (article 9), une gouvernance des données d’entraînement (article 10), une documentation technique (article 11), un système de journalisation (article 12), assurer la transparence (article 13), permettre la supervision humaine (article 14), garantir la robustesse et la cybersécurité (article 15), enregistrer le système à la base européenne et apposer le marquage CE. Le déployeur, lui, doit utiliser conformément aux instructions, garantir la supervision humaine effective, surveiller le fonctionnement, conserver les journaux, informer les personnes affectées et, pour certains cas, conduire une FRIA (analyse d’impact sur les droits fondamentaux).
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, AI Act, RGPD, Conformité IA
