Quels sont les niveaux de risque de l'AI Act pour les systèmes d'IA en entreprise ?
Réponse courte
L'AI Act établit quatre niveaux de risque pour classifier les systèmes d'IA : inacceptable (interdit), haut (soumis à des obligations strictes), limité (obligations de transparence) et minimal (pas d'obligation spécifique). Cette classification détermine l'ensemble des obligations applicables à chaque système utilisé en entreprise. Les systèmes d'IA utilisés en RH pour le recrutement et l'évaluation des salariés relèvent du niveau haut risque.
Le niveau de risque dépend de l'impact potentiel du système sur les droits fondamentaux. Un chatbot FAQ relève du risque minimal, tandis qu'un outil de scoring de candidatures est classé haut risque car il affecte l'accès à l'emploi. Les pratiques interdites incluent le scoring social, la manipulation subliminale et la reconnaissance émotionnelle au travail, avec des sanctions AI Act dissuasives. Les entreprises doivent classifier chaque système pour déterminer leurs obligations.
Définition
La classification par risque est le principe fondateur de l'AI Act. Elle repose sur l'idée que les obligations imposées aux acteurs de l'IA doivent être proportionnelles au danger que présente le système pour les personnes. Cette approche permet de ne pas freiner l'innovation pour les usages à faible risque tout en protégeant rigoureusement les droits fondamentaux pour les usages sensibles.
Chaque niveau correspond à un régime juridique distinct. Le risque inacceptable entraîne une interdiction pure et simple. Le haut risque impose un ensemble complet d'obligations de conformité, de documentation et de supervision humaine. Le risque limité se traduit par des obligations de transparence. Le risque minimal laisse les acteurs libres, avec un encouragement aux codes de conduite volontaires.
Questions fréquentes
Conditions d’exercice
La classification détermine les obligations applicables à chaque système d'IA.
| Niveau de risque | Exemples en entreprise | Obligations |
|---|---|---|
| Inacceptable | Scoring social des salariés, reconnaissance émotionnelle au travail, manipulation subliminale | Interdit depuis le 2 février 2025 |
| Haut | Tri de CV, scoring de candidatures, évaluation de performance, décisions d'affectation | Documentation technique, gestion des risques, supervision humaine, traçabilité, conformité évaluée |
| Limité | Chatbots, systèmes de génération de contenu, reconnaissance d'émotions hors lieu de travail | Obligation de transparence : informer que l'utilisateur interagit avec une IA |
| Minimal | Filtres anti-spam, correcteurs orthographiques, outils de traduction automatique | Pas d'obligation spécifique ; codes de conduite volontaires encouragés |
Modalités pratiques
L'évaluation du niveau de risque de chaque système d'IA suit un processus méthodique.
| Étape | Détail |
|---|---|
| Identification | Recenser chaque système d'IA et décrire sa finalité |
| Vérification des interdictions | S'assurer qu'aucun système ne relève des pratiques interdites (Art. 5) |
| Classification Annexe III | Vérifier si le système entre dans l'un des domaines à haut risque listés |
| Évaluation de l'impact | Analyser l'impact du système sur les droits fondamentaux des personnes |
| Documentation | Formaliser la classification dans un registre interne et justifier l'analyse |
| Réévaluation | Reclassifier en cas de modification de la finalité ou du fonctionnement du système |
Pratiques et recommandations
Cartographier tous les systèmes d'IA de l'entreprise avec leur finalité précise, car un même outil peut changer de classification selon l'usage qui en est fait.
Vérifier en priorité l'absence de pratiques interdites, car les sanctions sont les plus lourdes (jusqu'à 35 millions d'euros) et les interdictions sont déjà en vigueur depuis février 2025.
Documenter la classification de chaque système dans un registre interne accessible, en justifiant le niveau de risque retenu par une analyse factuelle de l'impact sur les personnes.
Réévaluer périodiquement la classification, notamment en cas d'évolution de l'usage, de mise à jour du modèle ou de changement de périmètre d'application du système.
Cadre juridique
| Référence | Objet |
|---|---|
| AI Act - Article 5 | Pratiques d'IA interdites (risque inacceptable) |
| AI Act - Article 6 | Critères de classification des systèmes à haut risque |
| AI Act - Annexe III | Liste des domaines d'utilisation à haut risque |
| AI Act - Article 50 | Obligations de transparence pour les systèmes à risque limité |
| AI Act - Article 99 | Sanctions selon le niveau de risque : 35 M EUR, 15 M EUR ou 7,5 M EUR |
Note
La classification par risque est la clé de voûte de l'AI Act. Une erreur de classification expose l'entreprise à des sanctions et à une non-conformité. Les systèmes RH de recrutement et d'évaluation sont explicitement classés à haut risque par l'Annexe III, ce qui ne laisse pas de marge d'interprétation pour ces usages.