L'Annexe III de l'EU AI Act définit 8 catégories de systèmes IA autonomes à haut risque. Fournisseurs et déployeurs doivent se conformer au 2 décembre 2027 (prolongé depuis août 2026 par l'omnibus 2026). Cela couvre les IA de recrutement, le scoring de crédit, la catégorisation biométrique, les infrastructures critiques et plus.
Ce que couvre l'Annexe III — 8 catégories d'IA à haut risque
L'Annexe III de l'EU AI Act définit les systèmes IA autonomes à haut risque dans 8 domaines. L'échéance de conformité est le 2 décembre 2027 (prolongée par le Digital Omnibus 2026 depuis le 2 août 2026 initial).
"Autonome" signifie que le système IA n'est pas un composant de sécurité d'un produit réglementé Annexe I — il est lui-même mis sur le marché ou mis en service comme produit ou service principal.
Les 8 catégories Annexe III
1. Identification et catégorisation biométriques Systèmes d'identification biométrique à distance en temps réel et a posteriori, systèmes de catégorisation d'individus par données biométriques en groupes basés sur des caractéristiques sensibles (origine ethnique, opinions politiques, religion, etc.).
2. Infrastructures critiques Systèmes IA utilisés comme composants de sécurité dans la gestion et l'exploitation d'infrastructures critiques — trafic routier, approvisionnement en eau, gaz, chauffage, réseau électrique.
3. Éducation et formation professionnelle IA qui détermine l'accès aux établissements d'enseignement, alloue des places, évalue les examens, surveille les étudiants pendant les examens, ou évalue les acquis d'apprentissage affectant les opportunités.
4. Emploi, gestion des travailleurs, travail indépendant IA utilisée pour le recrutement et la sélection (filtrage de CV, tests de personnalité), les décisions de promotion, de licenciement, d'évaluation des performances, d'allocation des tâches dans le travail à la tâche, et la surveillance du comportement des employés.
5. Services privés et publics essentiels IA pour l'évaluation de la solvabilité, le scoring de crédit, l'évaluation des risques d'assurance et la tarification, le scoring de risque de santé pour l'assurance, l'évaluation de l'éligibilité aux aides et services publics, les décisions de répartition des secours d'urgence.
6. Application de la loi IA pour l'évaluation des risques individuels (risque de récidive, probabilité criminelle), la détection de mensonges, l'évaluation de la fiabilité des preuves, le profilage dans les enquêtes criminelles, la prédiction de la criminalité par zone géographique.
7. Migration, asile, contrôle aux frontières IA pour l'évaluation des risques liés aux demandeurs d'asile, la vérification des documents de voyage, l'examen des demandes d'asile, de visa ou de titre de séjour, la détection des schémas de migration irrégulière.
8. Administration de la justice et processus démocratiques IA pour la recherche et l'interprétation des faits et du droit dans les procédures judiciaires, IA influençant les élections, IA utilisée dans les systèmes de vote.
Obligations des fournisseurs au 2 décembre 2027
| Obligation | Article | Description |
|---|---|---|
| Gestion des risques | Art. 9 | Processus continu sur tout le cycle de vie IA |
| Gouvernance des données | Art. 10 | Exigences de qualité des données d'entraînement/validation/test |
| Documentation technique | Art. 11 | Documentation complète avant la mise sur le marché |
| Transparence | Art. 13 | Instructions pour les déployeurs ; capacité de journalisation automatique |
| Supervision humaine | Art. 14 | Mesures de surveillance et d'intervention humaines |
| Précision et robustesse | Art. 15 | Niveaux de performance appropriés ; résilience aux erreurs |
| Management de la qualité | Art. 17 | SMQ couvrant la conception jusqu'à la surveillance post-commercialisation |
| Évaluation de conformité | Art. 43 | Auto-évaluation (la plupart) ou tierce partie (biométrie, infrastructures critiques) |
| Enregistrement | Art. 71 | Enregistrement dans la base de données UE avant la mise sur le marché |
| Marquage CE | Art. 48 | Requis avant la mise sur le marché UE |
Obligations des déployeurs au 2 décembre 2027
Les organisations qui utilisent (déploient) des systèmes IA Annexe III — même si elles ne les ont pas développés — doivent :
- Utiliser le système conformément aux instructions du fournisseur
- Mettre en place des mesures de supervision humaine
- Surveiller les performances du système et signaler les incidents graves
- Pour les organismes publics : réaliser une évaluation d'impact sur les droits fondamentaux (FRIA)
- Informer les travailleurs ou leurs représentants lorsque l'IA affecte les décisions d'emploi
- Ne pas utiliser le système à des fins autres que celles évaluées comme haut risque
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chap. 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026, Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026, Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
L'Annexe III de l'EU AI Act liste 8 domaines de systèmes IA autonomes à haut risque. Ce sont des systèmes IA qui, lorsqu'ils sont utilisés conformément à leur destination, présentent des risques significatifs pour la santé, la sécurité ou les droits fondamentaux. Les fournisseurs de systèmes Annexe III doivent réaliser des évaluations de conformité et se conformer à un ensemble complet d'obligations au 2 décembre 2027.
Oui. Les systèmes IA utilisés pour les décisions de recrutement — y compris le filtrage de CV, le classement de candidats, l'analyse de vidéos d'entretien et les décisions de contrat de travail — relèvent de l'Annexe III point 4 (emploi, gestion des travailleurs et accès au travail indépendant). L'exception de l'Art. 6(3) s'applique toutefois : le système doit présenter un risque significatif de préjudice pour être qualifié de haut risque.
La plupart des systèmes Annexe III utilisent une évaluation de conformité interne (auto-évaluation par le fournisseur par rapport aux normes harmonisées). La catégorisation biométrique et les IA pour les infrastructures critiques nécessitent une évaluation par tierce partie. L'évaluation doit être documentée et le système enregistré dans la base de données UE avant d'être mis sur le marché.
Oui, en vertu de l'Art. 6(3). Un système IA dans un domaine Annexe III n'est pas à haut risque s'il ne présente pas de risque significatif de préjudice pour la santé, la sécurité ou les droits fondamentaux. Les fournisseurs doivent documenter cette évaluation.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.