Réglementation européenne
    Intelligence artificielle - Règlement (UE) 2024/1689

    Annexe III de l'IA Act : les 8 domaines de systèmes d'IA à haut risque

    L'Annexe III du Règlement européen sur l'intelligence artificielle (UE 2024/1689, dit « IA Act » ou « AI Act ») liste les 8 domaines dans lesquels un système d'IA est automatiquement classé « à haut risque ». Ces systèmes sont soumis à des obligations strictes : gestion des risques, qualité des données, documentation technique, transparence, supervision humaine, robustesse, cybersécurité et évaluation de conformité avant mise sur le marché.

    Report au 2 décembre 2027 : l'accord politique du Digital Omnibus (Conseil de l'UE + Parlement européen, 7 mai 2026) a décalé l'entrée en application des obligations Annexe III, initialement prévue au 2 août 2026.
    À noter : les pratiques interdites (article 5) s'appliquent depuis février 2025 et les obligations de transparence (article 50) entrent bien en vigueur au 2 août 2026 — elles ne sont PAS reportées.
    Sanctions jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial en cas de non-conformité (article 99).

    Liste des 8 domaines de l'Annexe III

    1. Annexe III · Point 1

      Biométrie

      Systèmes d'identification biométrique à distance, catégorisation biométrique selon des attributs sensibles, et reconnaissance des émotions (hors usages médicaux ou de sécurité strictement encadrés).

      Exemples : Reconnaissance faciale dans l'espace public, classification par genre/origine, détection d'émotions en entretien.

    2. Annexe III · Point 2

      Infrastructures critiques

      IA utilisée comme composant de sécurité dans la gestion et l'exploitation d'infrastructures numériques critiques, du trafic routier, de l'approvisionnement en eau, gaz, chauffage ou électricité.

      Exemples : Pilotage automatisé du réseau électrique, gestion du trafic d'un aéroport, supervision d'un réseau d'eau potable.

    3. Annexe III · Point 3

      Éducation et formation professionnelle

      IA déterminant l'accès, l'admission ou l'affectation à des établissements d'enseignement, évaluant les acquis d'apprentissage, ou détectant la fraude pendant les examens.

      Exemples : Algorithme d'orientation type Parcoursup, notation automatisée de copies, surveillance d'examens à distance.

    4. Annexe III · Point 4

      Emploi et gestion des travailleurs

      IA utilisée pour le recrutement, le filtrage de CV, l'évaluation de candidats, les décisions de promotion ou de licenciement, l'allocation de tâches et le suivi de performance.

      Exemples : Tri automatique de CV, scoring de candidats, attribution de courses chez les livreurs, évaluation de la productivité.

    5. Annexe III · Point 5

      Services privés et publics essentiels

      IA évaluant l'éligibilité à des prestations sociales, le scoring de crédit (hors détection de fraude), l'évaluation des risques en assurance vie et santé, et la priorisation des appels d'urgence.

      Exemples : Calcul d'éligibilité aux aides sociales, scoring bancaire, tarification d'une assurance santé, tri des appels 112/15/18.

    6. Annexe III · Point 6

      Application de la loi

      IA utilisée par les autorités répressives pour évaluer le risque de victimisation, fiabilité de preuves, profilage en enquête, ou prédiction de récidive — sous réserve des interdictions de l'article 5.

      Exemples : Outils d'aide à l'enquête, analyse prédictive de récidive, détection de deepfakes dans une procédure.

    7. Annexe III · Point 7

      Migration, asile et contrôle aux frontières

      IA utilisée comme polygraphe, pour évaluer les risques migratoires, examiner les demandes d'asile, de visa, de titres de séjour, ou identifier des personnes aux frontières.

      Exemples : Évaluation automatisée du risque migratoire, tri de dossiers de demande d'asile, vérification de documents de voyage.

    8. Annexe III · Point 8

      Justice et processus démocratiques

      IA assistant une autorité judiciaire dans la recherche, l'interprétation des faits et du droit, et IA destinée à influencer le résultat d'une élection ou le comportement de vote (hors back-office).

      Exemples : Aide à la décision judiciaire, micro-ciblage électoral, génération de contenus de campagne politique.

    Quelles obligations pour les systèmes IA à haut risque ?

    Tout système relevant de l'Annexe III doit, avant sa mise sur le marché européen, satisfaire les exigences des articles 8 à 15 du Règlement :

    • Système de gestion des risques documenté tout au long du cycle de vie (art. 9).
    • Gouvernance des données d'entraînement, de validation et de test (art. 10).
    • Documentation technique détaillée (art. 11, Annexe IV).
    • Tenue automatique de journaux (logs) pendant le fonctionnement (art. 12).
    • Transparence et information du déployeur (art. 13).
    • Supervision humaine effective (art. 14).
    • Exactitude, robustesse et cybersécurité (art. 15).
    • Évaluation de conformité et marquage CE avant mise sur le marché (art. 43).
    • Enregistrement dans la base de données européenne (art. 49).

    Exception : les cas où un système Annexe III n'est PAS à haut risque

    L'article 6(3) prévoit qu'un système relevant de l'Annexe III peut échapper à la qualification de « haut risque » s'il ne présente pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux — par exemple lorsqu'il accomplit une tâche procédurale étroite, améliore le résultat d'une activité humaine déjà effectuée, ou est purement préparatoire. Cette analyse doit être documentée.

    Votre système d'IA est-il concerné ?

    Utilisez notre calculateur de classification pour identifier votre niveau de risque, ou téléchargez le guide PDF complet IA Act 2026.