Classification des risques : comprendre les 4 niveaux de l'EU AI Act
Le Règlement européen sur l'intelligence artificielle (EU AI Act) adopte une approche fondée sur le risque. Chaque système d'IA est classé dans l'une des quatre catégories suivantes, et les obligations qui en découlent sont proportionnelles au niveau de risque identifié.
Niveau 1 : Pratiques interdites
Certains usages de l'IA sont purement et simplement interdits car ils représentent un risque inacceptable pour les droits fondamentaux. Ces interdictions sont entrées en vigueur le 2 février 2025.
Systèmes interdits :
- Manipulation subliminale ou trompeuse exploitant les vulnérabilités d'une personne
- Scoring social par des autorités publiques (système de notation des citoyens)
- Identification biométrique en temps réel dans les espaces publics (sauf exceptions strictes)
- Catégorisation biométrique basée sur des données sensibles (origine, religion, orientation)
- Scraping non ciblé d'images faciales sur internet ou CCTV
- Reconnaissance des émotions sur le lieu de travail ou dans l'éducation (sauf raisons médicales/sécurité)
- Police prédictive basée uniquement sur le profilage
Niveau 2 : Systèmes haut risque
Les systèmes haut risque sont ceux qui impactent significativement la santé, la sécurité ou les droits fondamentaux des personnes. Ils sont soumis aux obligations les plus lourdes du règlement, applicables à partir du 2 août 2026.
Domaines haut risque :
- Identification et catégorisation biométrique des personnes
- Gestion et exploitation des infrastructures critiques
- Éducation et formation professionnelle (admission, notation)
- Emploi et gestion des travailleurs (recrutement, évaluation, licenciement)
- Accès aux services essentiels (crédit, assurance, services publics)
- Application de la loi (évaluation des preuves, profilage)
- Migration, asile et contrôle aux frontières
- Administration de la justice et processus démocratiques
Les fournisseurs de systèmes haut risque doivent mettre en place un système de gestion des risques, assurer la gouvernance des données, constituer la documentation technique, garantir la transparence, la supervision humaine, et la précision/robustesse.
Niveau 3 : Risque limité
Les systèmes à risque limité sont soumis principalement à des obligations de transparence. L'objectif est que les personnes sachent qu'elles interagissent avec une IA.
Exemples de systèmes à risque limité :
- Chatbots et assistants conversationnels
- Systèmes de génération de contenu (texte, image, audio, vidéo)
- Deepfakes et contenus synthétiques
Obligation principale : informer clairement les utilisateurs qu'ils interagissent avec un système d'IA et que le contenu est généré artificiellement.
Niveau 4 : Risque minimal
La grande majorité des systèmes d'IA actuels tombent dans cette catégorie. Ils ne sont pas soumis à des obligations spécifiques au titre du règlement, mais un code de conduite volontaire est encouragé.
Exemples : filtres anti-spam, systèmes de recommandation de contenu (hors manipulation), optimisation logistique, traduction automatique, jeux vidéo.
Comment déterminer le niveau de risque de vos systèmes ?
La classification n'est pas toujours évidente. Un même système d'IA peut être à risque minimal dans un contexte et haut risque dans un autre. Par exemple, un modèle de recommandation est minimal pour suggérer des films, mais potentiellement haut risque s'il est utilisé pour orienter des décisions de crédit.
L'analyse doit donc se faire au cas par cas, en prenant en compte le domaine d'application, la finalité du système, et l'impact potentiel sur les personnes concernées.
Notre diagnostic gratuit vous permet d'identifier en 3 minutes le niveau de risque de vos systèmes et les obligations qui en découlent.
Évaluez votre niveau de conformité
Diagnostic gratuit en 3 minutes avec rapport PDF téléchargeable.
Lancer le diagnostic