Obligations actives depuis le 2 août 2026

Systèmes d'IA à haut risque : liste complète Annexe III et obligations

L'EU AI Act class'e les systèmes d'IA en niveaux de risque. Les systèmes à haut risque, listés en Annexe III, sont soumis aux obligations les plus lourdes du règlement. Découvrez si vos systèmes sont concernés et ce que cela implique pour votre entreprise.

8 domaines à haut risque
7articles d'obligations
15 M€d'amende max

Ces informations ont une vocation indicative et pédagogique. Elles ne constituent pas un conseil juridique personnalisé. Pour toute situation spécifique, consultez un professionnel qualifié en droit numérique.

Qu'est-ce qu'un système IA à haut risque ?

L'EU AI Act (Règlement UE 2024/1689) adopte une approche par niveaux de risque. Un système d'IA est qualifié à haut risquelorsqu'il est susceptible d'affecter significativement la sécurité ou les droits fondamentaux des personnes. Le règlement détermine cette qualification de deux façons :

  • Annexe III :Le système est utilisé dans l'un des 8 domaines sensibles listés et prend ou influence des décisions sur des personnes physiques.
  • Annexe I + produits réglementés : Le système est intégré comme composant de sécurité dans un produit soumis à une réglementation sectorielle européenne (dispositifs médicaux, machines industrielles, véhicules, etc.).

Point important : la qualification haut risque n'est pas automatique dans l'Annexe III

Appartenir à un secteur listé en Annexe III ne suffit pas. Le système doit réellement prendre ou influencer des décisions affectant des personnes. Un chatbot de service client dans un établissement financier n'est pas automatiquement haut risque, contrairement à un outil de scoring de crédit qui détermine l'accès à un prêt.

Comment qualifier un système à haut risque : 4 critères clés

Avant de parcourir la liste des domaines, voici la méthode de qualification à appliquer pour chaque système IA que votre entreprise développe ou utilise.

1

Critère 1 : Le système appartient-il à l'un des 8 domaines ?

La première vérification est sectorielle : l'usage du système correspond-il à un des domaines listés en Annexe III ? Si non, le système n'est pas automatiquement haut risque (sauf s'il est composant de sécurité dans un produit réglementé).

2

Critère 2 : Le système prend-il ou influence-t-il des décisions sur des personnes ?

La présence dans un secteur haut risque ne suffit pas. Le système doit réellement affecter des décisions concernant des personnes physiques (accès à un service, emploi, évaluation). Un outil de gestion de stocks dans un hôpital n'est pas automatiquement haut risque.

3

Critère 3 : Le système est-il composant de sécurité dans un produit réglementé ?

Même hors Annexe III, un système IA est haut risque s'il est intégré comme composant de sécurité dans un produit soumis à une réglementation sectorielle (dispositifs médicaux, machines industrielles, véhicules, ascenseurs, etc.) listée en Annexe I.

4

Critère 4 : Des exceptions s'appliquent-elles ?

Certains systèmes dans des domaines Annexe III peuvent échapper à la qualification haut risque s'ils ne font que préparer une évaluation humaine sans influence déterminante, ou s'ils ne sont utilisés qu'à des fins purement de recherche et de développement sans mise en service réelle.

Les 8 domaines à haut risque de l'Annexe III

Détail complet de chaque domaine, avec des exemples concrets de systèmes concernés et les points de vigilance pour les entreprises françaises.

1

👁 Biométrie et catégorisation des personnes

Systèmes d'identification biométrique à distance, de catégorisation par caractéristiques sensibles, ou de reconnaissance des émotions.

Exemples de systèmes concernés

  • ·Reconnaissance faciale dans l'espace public (avec exceptions strictes)
  • ·Systèmes de vérification d'identité biométrique pour l'accès à des services
  • ·Outils d'inférence de données sensibles depuis des images ou vidéos
  • ·Détection d'émotions sur le lieu de travail ou dans l'éducation
⚠ Attention :L'identification biométrique en temps réel dans l'espace public est généralement interdite (Art. 5), avec des exceptions très limitées pour les forces de l'ordre.
2

Infrastructures critiques

Systèmes IA utilisés comme composants de sécurité dans la gestion et l'exploitation d'infrastructures critiques.

Exemples de systèmes concernés

  • ·Gestion automatisée du réseau électrique ou de distribution d'eau
  • ·Systèmes de surveillance et de contrôle des réseaux de transport
  • ·Outils de détection de cybermenaces sur les infrastructures critiques
  • ·Systèmes de régulation du trafic ferroviaire ou aérien
ℹ Note :Concerne uniquement les systèmes qui sont des composants de sécurité, pas tous les outils utilisés dans ces secteurs.
3

🎓 Éducation et formation professionnelle

Systèmes IA qui influencent l'accès à l'éducation, l'évaluation des apprenants ou les décisions d'orientation.

Exemples de systèmes concernés

  • ·Outils d'évaluation ou de notation automatisée des élèves/étudiants
  • ·Systèmes de sélection pour l'admission dans des établissements
  • ·Outils de surveillance d'examens en ligne (proctoring IA)
  • ·Systèmes d'orientation scolaire ou professionnelle basés sur l'IA
ℹ Note :Parcoursup et les outils d'orientation automatisés sont dans le périmètre. Les outils pédagogiques sans décision sur les personnes sont moins concernés.
4

👥 Emploi, gestion des travailleurs et accès au travail

Systèmes IA influençant les décisions de recrutement, d'évaluation, de promotion ou de gestion des ressources humaines.

Exemples de systèmes concernés

  • ·ATS (logiciels de suivi des candidatures) avec scoring automatique
  • ·Outils de matching CV/offre d'emploi par IA
  • ·Systèmes de surveillance des performances des salariés
  • ·Outils d'évaluation vidéo des entretiens d'embauche
  • ·Systèmes de notation des tâches ou d'attribution du travail (plateformes)
⚠ Point de vigilance :C'est le domaine le plus impactant pour les PME françaises. La majorité des outils RH modernes intégrant de l'IA sont dans cette catégorie.
5

🏦 Accès aux services essentiels privés et publics

Systèmes IA influençant l'accès au crédit, aux assurances, aux aides sociales, ou à d'autres services essentiels.

Exemples de systèmes concernés

  • ·Scoring de crédit bancaire ou d'assurance automatisé
  • ·Systèmes d'évaluation des demandes de prêt immobilier
  • ·Outils d'éligibilité aux aides sociales (CAF, Pôle Emploi, etc.)
  • ·Systèmes de tarification dynamique des assurances
  • ·Outils d'urgence et de secours avec priorisation par IA
⚠ Point de vigilance :Le secteur bancaire et assurantiel français est particulièrement exposé. La majorité des outils de scoring automatisés sont haut risque.
6

Application de la loi

Systèmes IA utilisés par les forces de l'ordre pour détecter des infractions, évaluer des risques ou analyser des preuves.

Exemples de systèmes concernés

  • ·Outils d'analyse prédictive du risque criminel
  • ·Systèmes de détection de la désinformation à grande échelle
  • ·Outils d'évaluation de la dangerosité des suspects
  • ·Analyse de preuves numériques assistée par IA
ℹ Note :Ces systèmes concernent principalement les autorités publiques, mais aussi les prestataires technologiques qui les fournissent.
7

🌍 Migration, asile et contrôle aux frontières

Systèmes IA aidant les autorités à évaluer des demandes d'asile, à contrôler les frontières ou à identifier des personnes.

Exemples de systèmes concernés

  • ·Outils d'évaluation des demandes d'asile assistés par IA
  • ·Systèmes de détection de fraudes documentaires
  • ·Contrôle automatisé des voyageurs aux frontières
  • ·Systèmes d'évaluation du risque de sécurité des voyageurs
ℹ Note :Ces systèmes relèvent principalement du secteur public. Les fournisseurs technologiques qui les livrent restent concernés.
8

🏛 Administration de la justice et processus démocratiques

Systèmes IA assistants les décisions judiciaires ou influençant les processus électoraux et démocratiques.

Exemples de systèmes concernés

  • ·Outils d'aide à la décision judiciaire (analyse de jurisprudence avec recommandations)
  • ·Systèmes d'évaluation du risque de récidive
  • ·Outils influençant les élections ou les opinions politiques à grande échelle
ℹ Note :LegalTech et outils juridiques IA : attention à la frontière entre outil de recherche et aide à la décision.

Obligations applicables aux systèmes IA à haut risque (Art. 9-15)

Si votre système est classé à haut risque, les obligations suivantes s'appliquent — avec des responsabilités différentes selon que vous êtes fournisseur ou déployeur.

Art. 9Fournisseur

Gestion des risques

Système documenté et continu d'identification, d'analyse et de réduction des risques liés au système IA.

Art. 10Fournisseur

Gouvernance des données

Pratiques de gestion des données d'entraînement, de validation et de test : représentativité, absence de biais.

Art. 11Fournisseur

Documentation technique

Dossier technique complet (Annexe IV) : architecture, données, performances, risques, supervision.

Art. 12Fournisseur + Déployeur

Journaux d'événements

Enregistrement automatique des événements permettant la traçabilité du fonctionnement du système.

Art. 13Fournisseur

Transparence

Instructions d'utilisation suffisantes pour que le déployeur comprenne les capacités et limites du système.

Art. 14Fournisseur + Déployeur

Supervision humaine

Mesures techniques et organisationnelles permettant à des humains de surveiller, corriger et arrêter le système.

Art. 15Fournisseur

Robustesse et cybersécurité

Exactitude, résilience aux erreurs et aux tentatives de manipulation malveillante ou aux données adversariales.

Art. 16+Fournisseur

Marquage CE et enregistrement

Marquage CE attestant la conformité + enregistrement dans la base de données UE avant mise sur le marché.

La documentation technique (Article 11) est le livrable central

Pour les fournisseurs, la documentation technique constitue la preuve centrale de conformité. Elle doit être rédigée avant la mise sur le marché et maintenue à jour. ActScan génère cette documentation automatiquement à partir de votre audit.

En savoir plus sur la documentation Article 11 →

Questions fréquentes sur les systèmes IA à haut risque

Un outil ChatGPT intégré dans mon service est-il à haut risque ?

Pas nécessairement. ChatGPT ou un LLM intégré n'est à haut risque que si son usage spécifique dans votre contexte tombe dans un domaine Annexe III et influence des décisions sur des personnes. Un chatbot de service client généraliste n'est généralement pas haut risque. En revanche, un LLM utilisé pour évaluer des candidatures ou décider d'un crédit l'est très probablement.

Ma startup développe un outil RH avec IA : sommes-nous fournisseur à haut risque ?

Si votre outil IA intervient dans les décisions de recrutement, d'évaluation ou de gestion des salariés, vous êtes très probablement fournisseur d'un système à haut risque. Vous avez alors toutes les obligations des articles 9-15 : documentation technique Annexe IV, gestion des risques, marquage CE, enregistrement dans la base de données UE. Commencez par une classification formelle et documentée.

Quelle est la différence entre risque limité et haut risque ?

Les systèmes à risque limité (chatbots, outils de synthèse, deepfakes non réglementés) ont des obligations légères principalement axées sur la transparence : indiquer que l'utilisateur interagit avec une IA. Les systèmes à haut risque ont des obligations structurelles bien plus lourdes : gestion des risques, documentation, supervision humaine, robustesse. La différence est fondamentale pour évaluer votre charge de conformité.

Dois-je m'enregistrer quelque part pour mes systèmes à haut risque ?

Oui, si vous êtes fournisseur. Les fournisseurs de systèmes IA à haut risque doivent enregistrer leurs systèmes dans la base de données européenne gérée par la Commission (EU AI Act Database), avant la mise sur le marché. Cette obligation ne concerne pas directement les déployeurs, sauf pour certains systèmes utilisés dans le secteur public.

Pour aller plus loin

Documentation
Documentation technique Article 11 : guide complet
Guide
Parcours complet de conformité AI Act
Rôles
Fournisseur vs déployeur : obligations distinctes

Vos systèmes IA sont-ils à haut risque ?

ActScan classe automatiquement vos systèmes selon l'Annexe III, identifie vos obligations exactes et génère votre documentation technique Article 11 en 30 minutes.

Classifier mes systèmes IA gratuitement →Consulter le glossaire

Classification gratuite • Documentation complète à 399€ HT • Résultat en 30 minutes