AI Act : ce que les lignes directrices HRAI de la Commission changent vraiment pour votre organisation
La Commission européenne a publié le 19 mai 2026 ses lignes directrices tant attendues sur la classification des systèmes d'IA à haut risque (HRAI) au titre de l'AI Act. Ces trois documents — principes généraux, systèmes relevant de l'Annexe I (produits réglementés) et cas d'usage de l'Annexe III — apportent enfin des réponses concrètes à une question centrale : quand un système d'IA bascule-t-il dans le régime strict, et surtout, quand ne le fait-il pas ? Une lecture indispensable avant de mettre à jour votre plan de conformité AI Act.
Ce qui s'est passé
Les lignes directrices restent non contraignantes et font l'objet d'une consultation publique close le 23 juin 2026. Elles sont publiées dans un contexte particulier : l'AI Act vient d'être assoupli, reportant l'application des obligations HRAI à fin 2027 ou 2028 selon les catégories concernées. Un délai supplémentaire, mais pas une raison de reporter la cartographie de vos systèmes.
Trois grands thèmes structurent ce texte de plus de 130 pages d'exemples :
Les clarifications les plus importantes pour les organisations
1. Les systèmes agentiques sont évalués en bloc
Premier signal fort : la Commission précise que les systèmes composés de plusieurs composants IA — dont les architectures agentiques de plus en plus répandues en entreprise — doivent être évalués globalement. Un composant ne peut pas se cacher derrière le filtre de l'article 6(3) s'il contribue, même partiellement, à une finalité à haut risque. Autrement dit, la logique de « maillon isolé » ne fonctionne plus. Si votre orchestrateur d'agents IA participe à une décision couverte par l'Annexe III, l'ensemble du pipeline est concerné.
2. Le filtre article 6(3) est une exception étroite
L'article 6(3) permet d'exclure du régime HRAI des systèmes qui, sur le papier, relèveraient d'un cas d'usage listé. Mais la Commission en rappelle le caractère strictement limité : le système ne doit pas procéder à du profilage, ne doit pas influencer matériellement la prise de décision. Quatre scénarios seulement ouvrent cette porte — tâche procédurale étroite, amélioration d'une activité humaine déjà achevée, détection de patterns sur des décisions passées, ou fonction préparatoire à une évaluation humaine. La présence d'un humain dans la boucle n'est pas, à elle seule, suffisante.
3. RH et recrutement : des interprétations extensives
C'est probablement le volet le plus impactant pour les entreprises françaises. La Commission interprète les termes conjonctifs de l'Annexe III comme des alternatives — « analyser ET filtrer » devient « analyser OU filtrer ». De même, « monitorer ET évaluer » couvre chacun des deux actes séparément. Les indicateurs comportementaux (ponctualité, réactivité, fiabilité) sont qualifiés de « traits personnels ou caractéristiques » au sens de l'Annexe III. La notion de « décision » est entendue fonctionnellement, bien au-delà des actes formels. Ce durcissement s'aligne avec ce qu'observait l'ICO britannique en mars 2026 sur les décisions automatisées en recrutement. Pour aller plus loin sur les implications concrètes pour vos équipes RH, regardez notre webinaire AI Act et métiers RH.
4. Biométrie : identification passive vs authentification active
La Commission trace une ligne claire : les systèmes d'identification biométrique à distance (passifs, sans action de l'utilisateur) sont à haut risque. En revanche, l'authentification active — déverrouillage d'appareils, contrôle d'accès avec présentation volontaire — en est généralement exclue. Côté reconnaissance des émotions, la Commission adopte une approche large : call centers, outils d'engagement utilisateur, wearables sont tous potentiellement concernés. Dans les lieux de travail et les établissements éducatifs, ces systèmes peuvent même être prohibés au titre de l'article 5.
5. L'exception fraude financière : strictement encadrée
Les systèmes d'évaluation de la solvabilité restent à haut risque, sauf si la détection de fraude est leur finalité principale. Les outils LCB-FT sont explicitement exclus du bénéfice de cette exception. Les assurances vie et santé, elles, n'en bénéficient pas du tout.
Ce que ça change pour les organisations
Ces lignes directrices imposent une mise à jour de la cartographie des systèmes IA avant la fin 2026. Pour les entreprises déjà engagées dans leur conformité AI Act, le travail de qualification doit être repris à la lumière de ces précisions. Trois chantiers prioritaires :
- Cartographier les architectures agentiques déployées ou en cours de déploiement, et vérifier si leurs finalités croisent l'Annexe III.
- Revoir la documentation technique et les supports commerciaux : la Commission est claire, présenter un système comme applicable à des cas d'usage à haut risque revient à le qualifier comme tel, même si les CGU l'excluent formellement.
- Vérifier le rôle fournisseur/déployeur dans chaque chaîne de valeur, car les obligations divergent significativement. Nos guides sur les autorités compétentes AI Act en France précisent le cadre de supervision applicable.
Ce que Leto pense de cette décision
Ces lignes directrices confirment une tendance : la Commission refuse d'offrir des échappatoires faciles. L'approche holiste sur les systèmes agentiques, l'interprétation extensive du champ RH, le rejet d'un contrôle humain purement formel — tout cela signale que la charge de conformité sera réelle pour toute organisation déployant de l'IA dans des contextes sensibles. Le délai supplémentaire jusqu'en 2027-2028 est bienvenu, mais il serait risqué de l'interpréter comme une invitation à reporter. C'est exactement le bon moment pour qualifier ses systèmes, structurer sa gouvernance et ne pas se retrouver en urgence dans deux ans.
Sources : Covington Global Policy Watch — EU AI Act Update: The European Commission Publishes Draft Guidelines on HRAIs · Commission européenne — Consultation ciblée sur les lignes directrices HRAI
