Système d'IA à haut risque (IA Act)

Un système d’IA à haut risque est une catégorie juridique instituée par le règlement européen sur l’intelligence artificielle (règlement 2024/1689, dit « IA Act »), entré en vigueur en août 2024 et applicable progressivement jusqu’en 2027. Cette classification conditionne l’accès au marché européen et génère un corpus d’obligations substantiel pour les fournisseurs et déployeurs concernés.

Critères de classement

Le règlement distingue deux cas de figure principaux.

Le premier concerne les systèmes qui constituent en eux-mêmes un risque élevé, notamment lorsqu’ils sont destinés à être utilisés comme composante de sécurité d’un produit soumis à une législation sectorielle préexistante (dispositifs médicaux, jouets, équipements sous pression, etc.).

Le second vise les usages listés à l’annexe III du règlement. Sont concernés, entre autres : l’identification biométrique des personnes, la gestion des infrastructures critiques, l’éducation et la formation professionnelle, le recrutement, l’évaluation des personnes dans le cadre de l’emploi, l’accès aux services publics essentiels, le maintien de l’ordre, la gestion des migrations et l’administration de la justice.

Un système peut être retiré de la catégorie haut risque si son fournisseur démontre que son usage dans le contexte concerné ne génère pas de risque significatif pour les droits ou la sécurité.

Obligations principales

Les fournisseurs de systèmes à haut risque sont soumis à un ensemble d’exigences avant mise sur le marché.

• Documentation technique : constitution et conservation d’un dossier complet décrivant les choix de conception, les données d’entraînement et les performances.
• Système de management de la qualité : processus internes de contrôle continu.
• Évaluation de la conformité : réalisée soit par auto-évaluation, soit avec l’intervention d’un organisme notifié selon le secteur.
• Enregistrement : inscription dans la base de données européenne gérée par la Commission.
• Supervision humaine : le système doit être conçu pour permettre une intervention humaine effective.
• Exactitude, robustesse et cybersécurité : niveaux de performance minimaux à atteindre et à documenter.

Les déployeurs (organisations qui mettent en oeuvre le système dans un contexte opérationnel) ont également des obligations propres, notamment en matière d’information des personnes concernées et de surveillance de l’usage.

Articulation avec le droit existant

L’IA Act s’applique en couche supplémentaire au-dessus des textes sectoriels déjà en vigueur. Pour les usages impliquant des données personnelles, les obligations du règlement européen RGPD continuent de s’appliquer parallèlement, sous le contrôle d’autorités comme la CNIL.

Pourquoi c’est utile en affaires publiques

Pour les professionnels des affaires réglementaires, la classification en « haut risque » est un point de vigilance central lors de tout projet de déploiement d’un système d’IA par une administration, un établissement public ou une entreprise régulée. Elle détermine la charge de conformité à anticiper, les délais de mise sur le marché et les interlocuteurs de contrôle compétents. Suivre l’évolution des annexes et des actes délégués qui précisent le périmètre du haut risque est donc une composante à part entière de la veille réglementaire IA.