Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Demander une démo

IA à haut risque : comment qualifier vos systèmes IA selon les lignes directrices de la Commission Européenne

par | Juin 11, 2026 | AI ACT

Illustration d’un tableau de bord de conformité AI Act présentant la qualification IA haut risque, avec critères d’usage, secteur, impact et obligations.

La qualification IA haut risque selon l’AI Act est l’une des questions les plus complexes que les organisations doivent résoudre avant les échéances de 2027 et 2028. La Commission européenne a publié ses premières lignes directrices pour guider cette décision. Voici comment les appliquer concrètement.

Pourquoi la qualification « haut risque » est une décision stratégique

Un système IA qualifié de « haut risque » engage des obligations substantielles : gestion des risques documentée, gouvernance des données d’entraînement, documentation technique, transparence, supervision humaine, précision et robustesse, enregistrement dans une base européenne. À l’inverse, un système hors du haut risque échappe à ces obligations.

L’erreur courante est de penser que cette qualification est binaire et évidente. Les lignes directrices de la Commission publiées en 2026 tentent de clarifier les zones grises, notamment pour les systèmes qui « font partie intégrante » d’un domaine à haut risque sans en être le composant principal.

Voir aussi les articles : Digital Omnibus : comprendre le nouveau tournant de la régulation numérique européenne et Digital Omnibus AI Act : le report des obligations ne signifie pas qu’on peut attendre.

IA haut risque qualification AI Act : les deux voies d’entrée

Voie 1 : l’Annexe I (composants de sécurité de produits réglementés)

Le système est un composant de sécurité d’un produit soumis à la législation sectorielle de l’UE (dispositifs médicaux, machines, jouets…). Cette voie concerne principalement l’industrie.

Voie 2 : l’Annexe III (8 domaines sensibles)

  • Infrastructure critique (énergie, eau, transports, réseaux numériques)
  • Éducation et formation professionnelle
  • Emploi, gestion des travailleurs et accès au travail indépendant
  • Accès aux services privés essentiels et services publics
  • Application des lois
  • Migration, asile et contrôle aux frontières
  • Administration de la justice et processus démocratiques
  • Biométrie (identification, catégorisation, émotions)

Ce que les lignes directrices précisent : la notion de « fonction principale »

Un système IA utilisé dans l’un de ces 8 domaines est-il automatiquement à haut risque ? Non. Les lignes directrices introduisent un critère de fonction principale : le système doit avoir une influence déterminante sur les décisions ou actions dans le domaine concerné.

Un outil IA de gestion des plannings dans une entreprise de transport n’est pas nécessairement à haut risque si son rôle est purement opérationnel. En revanche, un système IA qui évalue les candidats à l’embauche (domaine « emploi ») remplit cette condition, ce qui explique pourquoi le recrutement IA est l’une des trois priorités de contrôle de la CNIL en 2026.

Méthode de qualification pratique en 5 questions

  • 1. Le système est-il un composant de sécurité d’un produit visé par l’Annexe I ? Si oui : haut risque. Si non : continuer.
  • 2. Le système opère-t-il dans l’un des 8 domaines de l’Annexe III ? Si non : pas haut risque. Si oui : continuer.
  • 3. A-t-il une influence déterminante sur des décisions concernant des personnes physiques ? Si non : probablement pas haut risque. Si oui : continuer.
  • 4. Une supervision humaine effective est-elle en place ? Documenter la réponse dans tous les cas.
  • 5. Le système fait-il l’objet d’une AIPD au sens du RGPD ? Si des données personnelles sont traitées, AIPD et qualification AI Act sont complémentaires.

Quand et comment impliquer le DPO

  • Lors de l’inventaire des systèmes IA : recenser tous les outils IA en production ou en projet, y compris ceux achetés sur étagère
  • Lors de la qualification elle-même : les critères légaux de l’AI Act interagissent avec ceux du RGPD. Présence de données personnelles, décision automatisée (article 22 RGPD) et qualification haut risque AI Act sont souvent liées
  • Lors de la documentation : la traçabilité de la décision de qualification — y compris si la conclusion est « pas haut risque » — est en elle-même une exigence de conformité

Vous souhaitez cartographier vos systèmes IA et les qualifier au regard de l’AI Act ? Prenez rendez-vous avec notre équipe.

FAQ – IA à haut risque et AI Act

Qu’est-ce qu’un système IA à haut risque selon l’AI Act ?

Un système IA classé haut risque est soit un composant de sécurité d’un produit réglementé (Annexe I), soit un système opérant dans l’un des 8 domaines sensibles de l’Annexe III avec une influence déterminante sur des décisions concernant des personnes.

Mon outil RH IA est-il automatiquement à haut risque ?

Pas automatiquement. Si l’outil analyse des CV ou note des candidats, il peut être qualifié à haut risque. Si son rôle est purement administratif, la qualification dépend de son influence réelle sur les décisions RH.

Quelles sont les obligations si mon système est à haut risque ?

Gestion des risques documentée, gouvernance des données d’entraînement, documentation technique, journalisation, transparence envers les utilisateurs, supervision humaine, robustesse, et enregistrement dans la base de données EU.

La qualification AI Act remplace-t-elle l’AIPD RGPD ?

Non, les deux sont complémentaires. Un système IA haut risque qui traite des données personnelles doit faire l’objet d’une AIPD RGPD ET respecter les obligations AI Act.

Comment documenter la décision de qualification ?

La décision doit être documentée avec la méthode suivie, les critères appliqués et la date — y compris si la conclusion est « pas haut risque ». Cette documentation est en elle-même une preuve de conformité.

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

En résumé

La qualification IA haut risque selon l’AI Act repose sur deux critères cumulatifs : opérer dans un domaine sensible de l’Annexe III et avoir une influence déterminante sur des décisions concernant des personnes. Les lignes directrices de la Commission précisent cette notion de fonction principale. Pour les DPO, la qualification doit être documentée, tracée et réalisée en parallèle de l’AIPD RGPD dès que des données personnelles sont impliquées.

Sources

Pour aller plus loin

Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?

À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.