IA à haut risque dans la Loi IA de l'UE : classification et obligations

L'approche fondée sur le risque

La Loi IA de l'UE (Règlement UE 2024/1689) est entrée en vigueur le 1er août 2024 et classe les systèmes d'IA en quatre niveaux de risque : pratiques interdites, haut risque, risque limité (soumis à des obligations de transparence) et risque minimal. Les obligations les plus lourdes pèsent sur les systèmes à haut risque.

Ce qui est considéré comme à haut risque

Sont à haut risque, d'une part, les cas d'usage listés à l'Annexe III (notamment emploi et recrutement, éducation, évaluation de la solvabilité, accès aux services essentiels, biométrie, infrastructures critiques, forces de l'ordre, migration et justice) et, d'autre part, l'IA intégrée comme composant de sécurité dans des produits déjà régis par la législation de l'UE (Annexe I).

Obligations pour les systèmes à haut risque

Les fournisseurs doivent mettre en place un système de gestion des risques, une gouvernance des données, une documentation technique, une journalisation des événements, la transparence et l'information des déployeurs, une supervision humaine ainsi que des niveaux adéquats d'exactitude, de robustesse et de cybersécurité, en plus de réussir une évaluation de la conformité et d'enregistrer le système dans la base de données de l'UE.

Calendrier actualisé (Omnibus, mai 2026)

Les pratiques interdites s'appliquent depuis le 2 février 2025 et les obligations relatives aux modèles d'IA à usage général depuis le 2 août 2025. À la suite de l'accord provisoire Digital Omnibus du 7 mai 2026 (encore soumis à adoption formelle et à publication au Journal officiel), les obligations à haut risque de l'Annexe III sont repoussées au 2 décembre 2027 et celles de l'Annexe I au 2 août 2028. Les obligations de transparence (article 50) demeurent applicables à partir du 2 août 2026, avec un court délai de grâce pour le marquage des contenus générés par IA jusqu'au 2 décembre 2026.

Sanctions et portée extraterritoriale

Les infractions les plus graves (pratiques interdites) sont passibles de 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel ; d'autres obligations, de 15 millions ou 3 %. Le règlement a une portée extraterritoriale : il s'applique dès lors que le résultat du système est utilisé dans l'UE, même si le fournisseur est établi à Paris, Bruxelles, Genève ou Montréal.

Que faire maintenant

Le report n'est pas une raison d'attendre. Le plus difficile n'est pas la documentation, mais l'inventaire de tous les systèmes d'IA, leur classement selon l'Annexe III et la mise à jour de cet inventaire. Commencer maintenant laisse le temps d'affiner ; commencer fin 2027 ne laisse que quelques semaines.

Sources

Règlement (UE) 2024/1689 (EUR-Lex) · Cadre réglementaire sur l'IA — Commission européenne · Analyse du Digital Omnibus (mai 2026). Informations générales, et non un conseil juridique ; vérifiez toujours auprès des sources officielles et d'un conseil qualifié.