AI Act : 4 niveaux de risque expliqués (guide 2025)

L'AI Act (Règlement UE 2024/1689) est entré en application progressive depuis août 2024. Son architecture repose sur une classification des systèmes d'IA selon leur niveau de risque — de l'interdiction totale à la simple bonne pratique. Comprendre ces 4 niveaux est la première étape pour toute entreprise utilisant ou développant des systèmes d'IA.

Les 4 niveaux de risque de l'AI Act

Niveau 1 : Risque inacceptable (interdit)

Ces systèmes sont totalement interdits dans l'UE depuis le 2 février 2025. Aucune dérogation n'est possible.

Exemples concrets :

• Systèmes de notation sociale ("social scoring") des citoyens par des autorités publiques
• IA de manipulation subliminale exploitant les vulnérabilités psychologiques
• Systèmes d'identification biométrique à distance en temps réel dans des espaces publics (avec des exceptions très limitées pour les forces de l'ordre)
• IA prédisant les comportements criminels basée sur des caractéristiques personnelles (profilage prédictif)
• IA reconnaissant les émotions dans les lieux de travail et d'enseignement (sauf usages médicaux ou de sécurité)
• Scraping non ciblé d'images faciales sur internet pour constituer des bases de données de reconnaissance faciale

Qui est concerné : Ces interdictions s'appliquent à tout fournisseur ou déployeur dans l'UE, quelle que soit la taille de l'entreprise.

Niveau 2 : Haut risque

Ces systèmes sont autorisés mais soumis à des obligations strictes. L'Article 6 et l'Annexe III de l'AI Act définissent deux catégories :

Catégorie A — Systèmes intégrés dans des produits couverts par d'autres règlements UE :

• Machines (Règlement Machines)
• Jouets, dispositifs médicaux, aéronefs, véhicules...

Catégorie B — Domaines critiques (Annexe III) :

• Infrastructures critiques : IA gérant l'alimentation électrique, l'eau, les transports
• Éducation et formation : systèmes d'évaluation des élèves, de détection de tricherie, d'orientation scolaire
• Emploi et RH : tri de CV, évaluation des candidats, surveillance des performances des salariés
• Services essentiels : scoring de crédit, évaluation pour assurances santé et vie, évaluation d'éligibilité aux prestations sociales
• Justice : IA assistants de juges, outils d'évaluation des risques de récidive
• Migration et asile : évaluation des demandeurs d'asile, contrôle aux frontières
• Application de la loi : IA d'évaluation du risque criminel, analyse émotionnelle pour interrogatoires

Ce que ça signifie concrètement pour une PME : Si vous utilisez un ATS (Applicant Tracking System) avec des fonctionnalités de scoring IA pour trier des CV, vous déployez probablement un système IA à haut risque. Même si vous n'avez pas développé l'outil.

Niveau 3 : Risque limité

Ces systèmes ne requièrent pas d'obligations lourdes mais imposent des obligations de transparence :

• Chatbots et assistants virtuels : les utilisateurs doivent être informés qu'ils interagissent avec une IA
• Deepfakes et contenus synthétiques : obligation de marquage/watermarking
• IA générant du texte sur des sujets d'intérêt public : obligation d'indication de la nature artificielle
• Systèmes de reconnaissance émotionnelle utilisés à d'autres fins que les cas interdits

Exemple : Un chatbot de support client basé sur GPT-4 doit informer clairement les utilisateurs qu'ils parlent à une IA. Cette obligation s'applique depuis août 2025.

Niveau 4 : Risque minimal

La grande majorité des applications IA tombent dans cette catégorie : aucune obligation spécifique, mais les bonnes pratiques restent recommandées.

• Filtres anti-spam
• Recommandations de contenu (Netflix, Spotify)
• Jeux vidéo avec IA
• Outils de productivité (autocomplétion, correcteurs grammaticaux)
• Systèmes de détection de fraude standard

Des codes de conduite volontaires sont encouragés pour cette catégorie.

Obligations par niveau de risque

Haut risque : le cadre complet (Articles 9 à 15)

Un système IA à haut risque doit respecter 6 exigences cumulatives avant sa mise sur le marché :

1. Système de gestion des risques (Article 9) Processus continu d'identification, évaluation et gestion des risques tout au long du cycle de vie du système.

2. Gouvernance des données (Article 10) Les données d'entraînement, de validation et de test doivent être pertinentes, représentatives, et exemptes d'erreurs. Les biais doivent être identifiés et corrigés.

3. Documentation technique (Article 11) Description complète du système : finalités, performances, limites, données utilisées, architecture technique. Doit être à disposition des autorités.

4. Journalisation automatique (Article 12) Le système doit enregistrer automatiquement les événements pertinents pour sa surveillance.

5. Transparence envers les déployeurs (Article 13) Les fournisseurs doivent fournir une notice d'utilisation claire décrivant les performances, les limites et les conditions d'utilisation sûre.

6. Contrôle humain (Article 14) Les systèmes à haut risque doivent être conçus pour permettre une supervision humaine effective. Des fonctions de pause ou d'arrêt doivent être disponibles.

Conformité CE (Article 43) : Une évaluation de la conformité est requise. Pour de nombreux systèmes à haut risque, une auto-évaluation est possible ; pour certains (biométrie, infrastructure critique), un organisme notifié doit intervenir.

Risque limité : obligations de transparence

Les obligations sont limitées mais non-négligeables :

• Information claire de l'utilisateur sur la nature artificielle du système
• Marquage des contenus générés par IA
• Pas d'obligation de conformité CE ni de documentation technique lourde

Timeline d'application

| Date | Milestone | |------|-----------| | Août 2024 | Entrée en vigueur de l'AI Act | | 2 février 2025 | Interdiction des systèmes à risque inacceptable + obligations AI Literacy (Art. 4) | | Août 2025 | Obligations pour les GPAI (modèles IA à usage général comme GPT-4, Claude) | | Août 2026 | Obligations complètes pour les systèmes à haut risque | | Août 2027 | Extension aux systèmes embarqués dans des produits existants |

Comment classifier vos systèmes IA

La classification nécessite de répondre à ces questions dans l'ordre :

Question 1 : Le système entre-t-il dans la liste des pratiques interdites ? → Si oui : interdiction totale.

Question 2 : Le système est-il intégré dans un produit couvert par un règlement sectoriel EU (dispositifs médicaux, machines, jouets...) ? → Si oui : probablement haut risque.

Question 3 : Le système relève-t-il d'un des 8 domaines de l'Annexe III (emploi, éducation, services essentiels...) ? → Si oui : haut risque.

Question 4 : Le système génère-t-il des contenus (texte, image, voix) ou interagit-il directement avec des humains ? → Si oui : risque limité (transparence obligatoire).

Par défaut : Risque minimal.

Point de vigilance : Vous êtes "déployeur" si vous utilisez un système IA à haut risque développé par un tiers. Vous avez des obligations même sans avoir développé l'outil — notamment la supervision humaine, la journalisation, et la notification en cas d'incident.

WarDek et le module AI Act

WarDek propose un module de classification automatique de vos systèmes IA. En quelques questions structurées, le module identifie le niveau de risque applicable, génère la checklist des obligations correspondantes, et propose un plan d'action priorisé.

Commencez par un scan WarDek pour identifier si vos outils numériques incluent des systèmes IA et évaluer votre niveau de risque.

Pour aller plus loin

• AI Act et PME : obligations spécifiques et exemptions pour les petites entreprises
• Checklist audit IA : 20 points de contrôle pour auditer vos systèmes IA
• Le texte officiel de l'AI Act est disponible sur EUR-Lex