Classification des risques : comprendre les 4 niveaux de l'EU AI Act
Le Reglement europeen sur l'intelligence artificielle (EU AI Act, Reglement 2024/1689) adopte une approche fondee sur le risque. Chaque systeme d'IA est classe dans l'une des quatre categories suivantes, et les obligations qui en decoulent sont proportionnelles au niveau de risque identifie.
Niveau 1 : Pratiques interdites (Art. 5)
Certains usages de l'IA sont purement et simplement interdits car ils representent un risque inacceptable pour les droits fondamentaux. Ces interdictions sont entrees en vigueur le 2 fevrier 2025.
Systemes interdits :
- Manipulation subliminale ou trompeuse exploitant les vulnerabilites d'une personne
- Scoring social par des autorites publiques (systeme de notation des citoyens)
- Identification biometrique en temps reel dans les espaces publics (sauf exceptions strictes)
- Categorisation biometrique basee sur des donnees sensibles (origine, religion, orientation)
- Scraping non cible d'images faciales sur internet ou CCTV
- Reconnaissance des emotions sur le lieu de travail ou dans l'education (sauf raisons medicales/securite)
- Police predictive basee uniquement sur le profilage
Niveau 2 : Systemes haut risque (Annexe III)
Les systemes haut risque sont ceux qui impactent significativement la sante, la securite ou les droits fondamentaux des personnes. Ils sont soumis aux obligations les plus lourdes du reglement, applicables a partir du 2 aout 2026.
Domaines haut risque (Annexe III) :
- Identification et categorisation biometrique des personnes
- Gestion et exploitation des infrastructures critiques
- Education et formation professionnelle (admission, notation)
- Emploi et gestion des travailleurs (recrutement, evaluation, licenciement)
- Acces aux services essentiels (credit, assurance, services publics)
- Application de la loi (evaluation des preuves, profilage)
- Migration, asile et controle aux frontieres
- Administration de la justice et processus democratiques
Les fournisseurs de systemes haut risque doivent mettre en place un systeme de gestion des risques (Art. 9), assurer la gouvernance des donnees (Art. 10), constituer la documentation technique (Annexe IV), garantir la transparence (Art. 13), la supervision humaine (Art. 14), et la precision/robustesse (Art. 15).
Niveau 3 : Risque limite (Art. 50)
Les systemes a risque limite sont soumis principalement a des obligations de transparence. L'objectif est que les personnes sachent qu'elles interagissent avec une IA.
Exemples de systemes a risque limite :
- Chatbots et assistants conversationnels
- Systemes de generation de contenu (texte, image, audio, video)
- Deepfakes et contenus synthetiques
Obligation principale : informer clairement les utilisateurs qu'ils interagissent avec un systeme d'IA et que le contenu est genere artificiellement.
Niveau 4 : Risque minimal
La grande majorite des systemes d'IA actuels tombent dans cette categorie. Ils ne sont pas soumis a des obligations specifiques au titre du reglement, mais un code de conduite volontaire est encourage (Art. 95).
Exemples : filtres anti-spam, systemes de recommandation de contenu (hors manipulation), optimisation logistique, traduction automatique, jeux video.
Comment determiner le niveau de risque de vos systemes ?
La classification n'est pas toujours evidente. Un meme systeme d'IA peut etre a risque minimal dans un contexte et haut risque dans un autre. Par exemple, un modele de recommendation est minimal pour suggerer des films, mais potentiellement haut risque s'il est utilise pour orienter des decisions de credit.
L'analyse doit donc se faire au cas par cas, en prenant en compte le domaine d'application (Annexe III), la finalite du systeme, et l'impact potentiel sur les personnes concernees.
Notre diagnostic gratuit vous permet d'identifier en 3 minutes le niveau de risque de vos systemes et les obligations qui en decoulent.
Evaluez votre niveau de conformite
Diagnostic gratuit en 3 minutes avec rapport PDF telechargeble.
Lancer le diagnostic