§1 Biométrie
Transversal- Identification biométrique à distance (non interdite par l'Article 5)
- Catégorisation biométrique (attributs sensibles exclus)
- Reconnaissance des émotions dans des contextes non interdits
Le Règlement IA de l'UE (Règlement (UE) 2024/1689) classe les systèmes d'IA en quatre niveaux de risque : interdits, à haut risque, à risque limité et à risque minimal. La catégorie à haut risque — définie à l'Article 6 ainsi que dans les listes de l'Annexe I et de l'Annexe III — est celle où se concentrent la plupart des obligations relatives à l'IA en entreprise.
L'Annexe III comprend huit catégories de cas d'usage à haut risque : biométrie, infrastructures critiques, éducation, emploi, services essentiels, maintien de l'ordre, migration et justice/démocratie. Si votre IA relève de l'une d'elles, vous êtes soumis à l'ensemble des exigences d'évaluation de la conformité, de documentation technique, de surveillance humaine et de surveillance post-commercialisation — avec des sanctions pouvant atteindre 15 millions € ou 3 % du chiffre d'affaires mondial.
Les obligations relatives au haut risque s'appliquent à compter du 2 août 2026. L'Article 6(3) prévoit une dérogation étroite si l'IA n'exécute qu'une « tâche procédurale étroite », améliore le résultat d'une activité humaine préalablement réalisée, détecte des écarts par rapport à un schéma décisionnel sans le remplacer, ou exécute une tâche préparatoire.
Le Règlement IA de l'UE est la première réglementation horizontale complète de l'IA au monde. Il s'applique aux fournisseurs qui mettent des systèmes d'IA sur le marché de l'UE et aux déployeurs qui utilisent des systèmes d'IA dans l'UE — y compris les entreprises hors UE dont les résultats sont utilisés dans l'UE (Article 2).
À l'instar du RGPD, le Règlement IA est extraterritorial. À l'instar du RGPD, son non-respect entraîne des sanctions exprimées en pourcentage du chiffre d'affaires. Contrairement au RGPD, il comporte des catégories explicites de cas d'usage interdits et un volume bien plus important d'exigences préalables à la commercialisation pour les systèmes à haut risque.
La plupart des IA en entreprise relèvent soit du haut risque (en raison de cas d'usage RH, crédit ou biométriques), soit du risque limité (en raison du déploiement de chatbots).
L'Article 6 classe un système d'IA comme à haut risque s'il satisfait à l'une ou l'autre des conditions suivantes :
De nombreux systèmes satisfont aux deux tests ; la voie de l'Annexe III est celle que la plupart des équipes produit doivent comprendre.
L'Article 6(3) prévoit une exemption étroite. Un système d'IA figurant à l'Annexe III n'est pas à haut risque s'il ne présente pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, notamment en n'influençant pas de manière substantielle le résultat de la prise de décision. Les conditions de l'Article 6(3) sont les suivantes :
La dérogation ne s'applique pas si le système d'IA effectue un profilage de personnes physiques. Lorsqu'un fournisseur conclut qu'un système relevant de l'Annexe III n'est pas à haut risque, il doit documenter cette évaluation (Article 6(4)) et enregistrer le système dans la base de données de l'UE (Article 49).
Les obligations relatives au haut risque sont étendues. Les fournisseurs doivent :
Les déployeurs — les personnes physiques ou morales utilisant un système d'IA sous leur autorité — ont des obligations plus légères mais bien réelles :
Généralement non. Un chatbot générique relève du risque limité au titre de l'Article 50 — vous devez indiquer que les utilisateurs interagissent avec une IA. Mais un chatbot évaluant des candidats à l'emploi, des demandes de crédit ou des demandes d'asile serait à haut risque au titre de l'Annexe III §4, §5 ou §7.
Les modèles d'IA à usage général ont leur propre corpus de règles au titre des Articles 51–55 (documentation technique, politique en matière de droit d'auteur, résumé des données d'entraînement, et règles plus strictes pour les GPAI présentant un risque systémique). Les obligations relatives aux GPAI s'appliquent depuis le 2 août 2025.
Partiellement. L'Article 2(12) exclut l'IA libre et open source de nombreuses exigences — sauf si le système est à haut risque, interdit, ou soumis aux obligations de transparence de l'Article 50. Effet pratique : les modèles open source peuvent être utilisés librement, mais les déployeurs dans des contextes à haut risque assument tout de même les obligations relatives au haut risque.
Ils s'appliquent en parallèle. Le traitement de données personnelles par l'IA doit satisfaire à la fois au RGPD (base légale, DPIA, décision automatisée au titre de l'Article 22) et au Règlement IA (évaluation de la conformité, AIDF, surveillance post-commercialisation). Les fournisseurs d'IA à haut risque ont généralement besoin à la fois d'un DPIA et d'un dossier de documentation technique au titre du Règlement IA.
Pas vraiment. L'Article 2(1) vise les fournisseurs qui mettent des systèmes d'IA sur le marché de l'UE, les fournisseurs de pays tiers dont les résultats sont utilisés dans l'UE, et les déployeurs établis dans l'UE. La plupart des fournisseurs d'IA importants sont concernés.
RegulatoryBridge prend en charge l'évaluation de la conformité, l'AIDF, la documentation technique et la surveillance post-commercialisation des systèmes d'IA à haut risque — pour que votre équipe produit se concentre sur le modèle, et non sur la paperasse.