IA à haut risque : la Commission européenne publie ses lignes directrices pour classer les systèmes de l'annexe III

22/5/26
👈 les autres actualités

La Commission européenne a publié le 19 mai 2026 ses lignes directrices très attendues sur la classification des systèmes d'IA à haut risque au titre de l'AI Act. Le document, ouvert à consultation publique jusqu'au 23 juin 2026, ne tranche pas tout : il rappelle au contraire que la qualification dépend du cas d'usage concret. Pour les DPO et RSSI, c'est le moment de reprendre la cartographie de leurs systèmes d'IA.

Ce qui s'est passé

Après plusieurs mois de retard, la Commission a mis en consultation un projet de lignes directrices sur l'application de l'article 6 du règlement (UE) 2024/1689, qui définit les règles de classification des systèmes d'IA à haut risque. Le texte se décompose en trois volets : des principes généraux, la voie de classification dite « annexe I » (sécurité des produits) et la voie « annexe III » (cas d'usage).

C'est ce dernier volet qui concerne le plus grand nombre d'organisations. L'annexe III vise les systèmes d'IA autonomes utilisés dans des domaines jugés sensibles : biométrie, éducation, emploi et gestion des travailleurs, accès aux services essentiels (publics et privés), maintien de l'ordre, migration ou encore administration de la justice. Les lignes directrices fournissent une série d'exemples — non exhaustifs — de systèmes susceptibles ou non d'être qualifiés à haut risque. Point crucial souligné par la Commission : le fait qu'un cas d'usage figure dans l'annexe III ne préjuge en rien de sa licéité au regard des autres textes applicables, à commencer par le RGPD.

Pourquoi c'est important

La classification « haut risque » est la ligne de partage de tout l'AI Act : c'est elle qui déclenche la cascade d'obligations les plus lourdes — système de gestion des risques, qualité des données d'entraînement, documentation technique, journalisation, surveillance humaine, marquage CE et enregistrement dans la base de données européenne. Mal qualifier un système, c'est soit s'exposer à un défaut de conformité, soit engager des coûts disproportionnés sur un outil qui n'en relevait pas.

Or les lignes directrices insistent sur un point qui complique la tâche des organisations : la qualification est fact-specific. Elle dépend de la finalité prévue (« intended purpose ») et du contexte de déploiement réel. Un même modèle peut être à haut risque chez un déployeur et hors champ chez un autre. Cette logique rejoint celle que nous détaillons dans notre guide complet de conformité à l'AI Act : la conformité ne se lit pas dans la technologie, mais dans l'usage. Elle suppose aussi de savoir qui fait quoi — fournisseur ou déployeur — car les obligations diffèrent selon le rôle, sujet que nous avions abordé en analysant les autorités compétentes en France pour l'AI Act.

Ces lignes directrices s'inscrivent dans un calendrier réglementaire mouvant. L'accord sur l'omnibus numérique du 11 mai 2026 a déjà reporté l'application du cœur du règlement — les systèmes à haut risque de l'annexe III — à décembre 2027, puis à août 2028 pour les composants de sécurité. Le compromis final a par ailleurs introduit trois durcissements que les DPO doivent retenir. Autrement dit : plus de temps pour se préparer, mais des règles plus exigeantes au bout du chemin.

Ce que ça change pour les organisations

La première action concrète est la cartographie. Chaque organisation doit recenser ses systèmes d'IA, documenter leur finalité prévue et leur contexte d'usage, puis les confronter aux exemples des lignes directrices. Cette qualification doit être tracée : en cas de contrôle, c'est le raisonnement de classification qui sera demandé, pas seulement la conclusion.

Deuxième action : clarifier son rôle. Une organisation qui déploie un outil RH d'aide au recrutement n'a pas les mêmes obligations que l'éditeur de cet outil — mais elle conserve des devoirs propres de déployeur, notamment de surveillance humaine. Les usages RH étant directement visés par l'annexe III, ils méritent une attention particulière, comme l'illustre notre webinaire sur l'impact de l'AI Act sur les métiers RH.

Troisième action : structurer la gouvernance. Adopter un système de management de l'IA — sur le modèle de la norme ISO 42001 — permet d'industrialiser la qualification, la documentation et le suivi des systèmes plutôt que de traiter chaque outil au coup par coup. Enfin, les organisations concernées ont jusqu'au 23 juin 2026 pour contribuer à la consultation et faire remonter leurs cas d'usage limites.

Ce que Leto pense de cette décision

Ces lignes directrices ont un mérite et une limite. Le mérite : elles donnent enfin des exemples concrets, ce qui aidera les organisations à raisonner. La limite : en répétant que tout est « fonction du contexte » et que le texte final ne sera pas contraignant — seule la CJUE pourra en donner la lecture définitive — la Commission laisse aux DPO la responsabilité du jugement. C'est inconfortable, mais c'est aussi la bonne approche : une grille rigide aurait été soit trop large, soit trop étroite. Notre conseil reste le même : ne pas attendre 2027. La cartographie des systèmes d'IA prend des mois, et c'est elle, pas le calendrier d'application, qui détermine si une organisation sera prête.

Sources : Commission européenne — Draft Commission guidelines on the classification of high-risk AI systems ; Data Protection Report — Is my use case a high-risk AI system?

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026