Qu'est-ce qu'un système d'IA à haut risque selon l'AI Act ?
Réponse courte
Un système d'IA à haut risque est un système dont l'utilisation présente un risque significatif pour la santé, la sécurité ou les droits fondamentaux des personnes. L'AI Act identifie ces systèmes dans son Annexe III, qui inclut explicitement les outils utilisés pour le recrutement, l'évaluation des candidatures, la prise de décisions relatives à la promotion ou au licenciement, et l'affectation de tâches fondée sur le comportement individuel.
Les fournisseurs et déployeurs doivent respecter des obligations renforcées : gestion des risques, qualité des données, documentation technique, traçabilité par logs, transparence et supervision humaine effective. Ces exigences entrent pleinement en vigueur le 2 août 2026 pour les systèmes RH. Le non-respect expose à des sanctions AI Act pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
Définition
Un système d'IA à haut risque au sens de l'AI Act est un système qui remplit deux conditions cumulatives : il est destiné à être utilisé dans l'un des domaines listés à l'Annexe III du règlement, et son utilisation présente un risque significatif d'atteinte aux droits fondamentaux. Les domaines couverts incluent l'emploi, la gestion des travailleurs et l'accès au travail indépendant.
La qualification de haut risque n'est pas laissée à l'appréciation de l'entreprise : elle découle directement de la finalité du système telle que définie par le fournisseur ou, dans certains cas, de l'usage effectif qu'en fait le déployeur. Un système initialement classé à risque limité peut basculer en haut risque si le déployeur l'utilise pour des décisions affectant l'accès à l'emploi.
Conditions d’exercice
Les obligations pour les systèmes à haut risque sont cumulatives et s'imposent aux fournisseurs et aux déployeurs.
| Obligation | Contenu |
|---|---|
| Gestion des risques (Art. 9) | Système de gestion des risques continu sur tout le cycle de vie du système |
| Qualité des données (Art. 10) | Données d'entraînement pertinentes, représentatives, sans erreurs et non discriminatoires |
| Documentation technique (Art. 11) | Description du système, de sa finalité, de ses performances et de ses limites |
| Traçabilité (Art. 12) | Enregistrement automatique des événements (logs) pendant toute la durée d'utilisation |
| Transparence (Art. 13) | Information claire des utilisateurs sur les capacités et limites du système |
| Supervision humaine (Art. 14) | Mesures permettant une surveillance et une intervention humaine effective |
| Robustesse (Art. 15) | Niveau approprié d'exactitude, de robustesse et de cybersécurité |
Modalités pratiques
La conformité d'un système à haut risque exige des actions concrètes de la part du déployeur.
| Action | Détail |
|---|---|
| Vérification fournisseur | S'assurer que le fournisseur a réalisé l'évaluation de conformité et dispose du marquage CE |
| Instructions d'utilisation | Utiliser le système conformément aux instructions fournies par le développeur |
| Supervision | Désigner des personnes compétentes pour superviser le fonctionnement du système |
| Qualité des données | Vérifier que les données d'entrée sont pertinentes et conformes à la finalité prévue |
| Conservation des logs | Conserver les journaux d'événements pendant au moins 6 mois |
| Signalement | Signaler tout dysfonctionnement ou risque identifié au fournisseur et à l'autorité compétente |
Pratiques et recommandations
Exiger du fournisseur la documentation technique complète, le certificat de conformité et les instructions d'utilisation avant tout déploiement d'un système classé à haut risque.
Désigner des superviseurs humains formés et compétents, capables de comprendre les recommandations du système et d'intervenir pour corriger ou annuler une décision algorithmique.
Conserver tous les logs du système pendant la durée minimale requise et les rendre accessibles en cas de contrôle par l'autorité compétente ou de contestation par un salarié.
Tester régulièrement le système sur des jeux de données diversifiés pour détecter les biais et vérifier que les performances restent conformes aux spécifications documentées.
Cadre juridique
| Référence | Objet |
|---|---|
| AI Act - Article 6 | Critères de classification des systèmes à haut risque |
| AI Act - Annexe III, point 4 | Emploi, gestion des travailleurs et accès au travail indépendant |
| AI Act - Articles 9 à 15 | Exigences applicables aux systèmes à haut risque |
| AI Act - Article 26 | Obligations spécifiques des déployeurs de systèmes à haut risque |
| AI Act - Article 99 | Sanctions : jusqu'à 15 M EUR ou 3 % du CA mondial pour non-conformité |
Note
Les systèmes d'IA utilisés en RH pour le recrutement, l'évaluation et les décisions d'affectation sont explicitement classés à haut risque par l'Annexe III de l'AI Act. Les entreprises luxembourgeoises ont jusqu'au 2 août 2026 pour se conformer pleinement, mais l'anticipation est vivement recommandée compte tenu de la complexité des exigences.