Théophile Manie68 % des PME françaises ignorent qu'elles utilisent au moins un système d'intelligence artificielle classé "à haut risque" par l'AI Act — telle est la conclusion d'une enquête de la Commission européenne publiée début 2026. Le problème n'est pas dans les algorithmes des grandes technologiques : il est dans les logiciels RH qui trient vos CV, les caméras d'analyse comportementale dans vos entrepôts, et les outils de scoring que votre partenaire bancaire utilise pour noter vos clients. Voici les sept catégories à auditer en priorité avant le 2 août 2026.
1. Outils de recrutement et gestion des performances — la catégorie prioritaire
L'Annexe III, point 4 de l'AI Act vise directement les systèmes IA utilisés dans l'emploi, la gestion des travailleurs et l'accès à l'auto-emploi. C'est la catégorie qui concerne le plus grand nombre d'entreprises françaises ordinaires.
Un Applicant Tracking System (ATS) qui score automatiquement les CV et décide si un candidat passe à l'étape suivante est un système à haut risque. Un outil de vidéo-entretien qui analyse l'expression faciale, le ton de voix ou le rythme de parole d'un candidat est un système à haut risque. Un logiciel de management qui génère un score de performance individuelle servant à déclencher des alertes managériales ou des procédures disciplinaires est un système à haut risque.
Le scénario concret : Isabelle, DRH d'un groupe industriel de 400 salariés à Mulhouse, utilise depuis 2023 un ATS intégré à son SIRH. Ce logiciel trie les candidatures reçues par secteur et génère un score de 0 à 100. Ni Isabelle ni son prestataire n'ont réalisé qu'ils opéraient un système IA à haut risque. À partir du 2 août 2026, le groupe sera en infraction si le prestataire ne fournit pas la documentation technique exigée par l'Article 11 de l'AI Act.
Outil concerné : Tout logiciel RH avec scoring automatique, entretien vidéo analytique, ou évaluation algorithmique des performances. Les ATS des éditeurs Workday, SAP SuccessFactors, Recruitee, SmartRecruiters et la plupart de leurs concurrents comportent ces fonctionnalités en option — vérifiez si elles sont activées dans votre configuration.
2. Scoring de crédit et évaluation de la solvabilité
L'Annexe III, point 5b couvre les systèmes IA utilisés pour évaluer la solvabilité de personnes physiques ou pour fixer le prix de services d'assurance-vie ou d'assurance-santé. Cette catégorie concerne directement les banques et assureurs, mais aussi les plateformes B2B qui notent la santé financière de leurs clients professionnels.
Sont concernés : les algorithmes de scoring de crédit à la consommation, les systèmes de notation de risque client utilisés dans le crédit inter-entreprises, les outils d'évaluation automatique de solvabilité dans les fintechs et les néobanques, et les modèles d'établissement des tarifs d'assurance basés sur des données comportementales (historique de conduite pour l'assurance auto, données de santé connectée pour la prévoyance).
Pour une entreprise industrielle qui utilise un outil de scoring fournisseur (évaluant automatiquement la santé financière de ses partenaires avant de leur accorder des délais de paiement), la qualification est moins évidente — mais si cet outil prend des décisions automatiques sur l'octroi ou le refus de facilités de paiement, il entre dans le champ de l'AI Act.
Estimation basée sur les données du rapport CNIL sur l'IA dans les organisations françaises, 2025
3. Vidéo-surveillance biométrique et analyse des comportements
L'Annexe III, point 1 est la catégorie la plus strictement réglementée. Elle couvre les systèmes d'identification biométrique à distance — c'est-à-dire tout système qui identifie une personne à partir de ses caractéristiques physiques, comportementales ou physiologiques sans interaction directe.
Ce qui est interdit depuis le 2 février 2025
La reconnaissance faciale en temps réel dans les espaces accessibles au public est interdite (Article 5(1)(h) de l'AI Act) avec des exceptions très limitées : recherche de victimes de crimes graves, prévention d'une menace terroriste imminente, localisation d'une personne suspectée d'infraction grave — toutes soumises à autorisation judiciaire préalable. Cette interdiction s'applique aux autorités publiques et aux acteurs privés.
Ce qui reste légal mais réglementé
Les systèmes de vidéo-surveillance qui analysent les flux de circulation, comptent les personnes ou détectent des comportements anormaux (chute, bagarre) sans identifier les individus relèvent de l'Annexe III, point 7 (catégorie "aménagement des services publics") si leur déploiement est décidé par une autorité publique. Pour les acteurs privés utilisant des systèmes similaires dans leurs propres locaux (entrepôts, centres commerciaux), la classification dépend de la capacité du système à identifier les individus — si cette fonctionnalité est désactivée, le système sort de la catégorie haut risque.
La réglementation IA européenne pour les entreprises françaises détaille les conditions dans lesquelles les systèmes de surveillance sont qualifiés. Si vous avez des caméras avec analyse comportementale dans vos locaux, consultez votre prestataire pour vérifier si le système inclut des capacités biométriques.
4. Éducation, formation et accès aux services publics
L'Annexe III, points 3 et 6 couvrent deux catégories moins connues des entreprises mais très répandues dans le monde de la formation professionnelle et des services B2G (Business to Government).
Formation professionnelle : Tout système IA qui détermine l'accès à un cursus de formation, évalue les compétences de manière automatisée, ou décide de l'orientation pédagogique d'un apprenant est concerné. Les plateformes de e-learning avec proctoring automatisé (surveillance des examens à distance via webcam et analyse comportementale) sont un exemple typique. Si votre entreprise utilise une telle plateforme pour ses formations internes, vérifiez si le module de surveillance est activé.
Administration et services publics : Les systèmes IA utilisés par les administrations françaises pour classer les demandes, évaluer l'éligibilité à des aides ou prendre des décisions dans le cadre de procédures administratives sont classés à haut risque (Annexe III, point 6). Les entreprises prestataires qui développent ces systèmes pour le compte de collectivités ou d'organismes publics sont également dans le périmètre.
Le cas de la gestion des absences et du télétravail : Certains systèmes de monitoring des collaborateurs en télétravail (keyloggers, analyse des temps d'activité, capture d'écrans aléatoire avec analyse IA) peuvent entrer dans la catégorie haut risque s'ils sont utilisés pour prendre des décisions affectant les conditions d'emploi. Cette zone grise fait l'objet de clarifications attendues de la part de la CNIL.
5. Infrastructures critiques : eau, énergie, transport
L'Annexe III, point 2 couvre les systèmes IA utilisés dans la gestion et l'exploitation d'infrastructures critiques — réseaux d'électricité, systèmes d'eau potable, transport ferroviaire, routier ou aérien. Cette catégorie concerne principalement les opérateurs d'importance vitale (OIV) désignés par l'État français, mais aussi les prestataires technologiques qui fournissent des systèmes IA à ces opérateurs.
Un système d'optimisation automatique des flux dans un réseau de distribution d'énergie, un algorithme de prédiction des pannes ferroviaires ou un outil de gestion dynamique du trafic autoroutier sont tous classés à haut risque. Les entreprises de la French Tech qui vendent ce type de solutions à des gestionnaires d'infrastructures doivent anticiper les exigences de documentation technique et de certification.
À retenir : La qualification "haut risque" ne dépend pas de la taille de l'entreprise ni de son secteur, mais de la finalité du système IA. Un outil développé par une start-up de 10 personnes pour un gestionnaire de réseau d'eau est soumis aux mêmes obligations qu'un système d'un grand groupe industriel. Les investissements français dans l'IA tiennent de plus en plus compte de cette contrainte réglementaire dans les due diligences.
6. Les quatre questions pour qualifier vos systèmes IA rapidement
Pour chaque outil IA que vous avez identifié dans votre entreprise, posez-vous ces quatre questions dans l'ordre :
Question 1 : Le système prend-il ou influence-t-il des décisions qui affectent des droits ou des intérêts de personnes physiques ? Si oui, il est potentiellement dans le périmètre de l'AI Act. Si non (le système produit uniquement des données statistiques sans lien à des individus), il est hors périmètre ou à risque minimal.
Question 2 : Le secteur d'application figure-t-il dans l'Annexe III ? Les huit domaines couverts sont : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migrations et asile, administration de la justice. Si votre outil est dans un de ces domaines ET qu'il prend des décisions individuelles → haut risque.
Question 3 : Le fournisseur dispose-t-il d'une documentation technique AI Act ? Contactez votre prestataire et demandez-lui directement. Un fournisseur sérieux doit pouvoir vous confirmer la catégorie de risque de son produit et vous fournir la documentation.
Question 4 : Avez-vous mis en place une procédure de surveillance humaine formalisée ? Si votre réponse est "le manager peut toujours décider autrement", sans procédure écrite et sans mécanisme formalisé, vous n'êtes pas conforme à l'Article 14.
Avertissement : Les informations présentées ici sont à titre informatif et ne constituent pas un conseil juridique. La qualification de vos systèmes IA selon l'AI Act requiert une analyse au cas par cas. Consultez un avocat spécialisé en droit du numérique pour sécuriser votre démarche de conformité.
7. Santé, loi et migrations : les trois catégories à surveiller pour les prestataires
Trois autres catégories de l'Annexe III méritent l'attention des prestataires technologiques et des directions juridiques, même si elles semblent a priori éloignées de la majorité des entreprises françaises.
Santé et dispositifs médicaux (Annexe III, point 8) : Les systèmes IA utilisés comme composants de sécurité dans des dispositifs médicaux sont soumis à la fois à l'AI Act et aux réglementations existantes sur les dispositifs médicaux (MDR/IVDR). Une entreprise qui développe une application de monitoring de santé avec fonctions d'alerte IA doit naviguer dans ce double cadre réglementaire.
Application de la loi (Annexe III, point 6) : Concerne les outils IA vendus aux forces de l'ordre et aux autorités judiciaires pour des finalités comme la prédiction de récidive, l'analyse des réseaux criminels ou l'évaluation du risque de fuite. Ce secteur est quasi exclusivement public, mais les prestataires privés qui développent ces outils sont des fournisseurs soumis à toutes les obligations fournisseurs de l'AI Act.
Migrations et asile (Annexe III, point 7) : Les outils IA utilisés dans les procédures d'asile, les contrôles aux frontières ou la gestion des permis de séjour. Quelques éditeurs français fournissent des solutions à l'administration dans ce domaine — ils entrent pleinement dans la catégorie haut risque.
Pour ces trois catégories, la certification tierce par un organisme notifié est souvent requise (contrairement à l'auto-évaluation possible pour les catégories RH/crédit). Si votre entreprise est positionnée sur ces marchés, le délai de 12 à 18 mois nécessaire pour obtenir la certification doit être intégré au planning dès maintenant.
