Le règlement IA de l'UE par secteur — Guide de conformité par industrie

Guides de conformité sectoriels au règlement IA de l'UE pour la santé, les RH, le secteur public, les transports, les assurances, le commerce de détail, les PME et l'éducation.

Comment le secteur détermine l'exposition au règlement IA de l'UE

Le règlement IA de l'UE est une législation horizontale — il s'applique aux systèmes d'IA mis sur le marché ou mis en service dans tous les secteurs de l'économie dans l'Union européenne. Toutefois, la charge de conformité pratique n'est pas uniforme. Le secteur d'activité détermine quelles catégories à haut risque de l'Annexe III sont pertinentes, quels cadres réglementaires préexistants créent des obligations qui se recoupent, et quelles autorités de surveillance nationales ou de l'UE auront juridiction sur les déploiements d'IA.

Le règlement établit une architecture de risque à plusieurs niveaux : les pratiques interdites au titre de l'Art. 5, l'IA à haut risque au titre de l'Art. 6 et de l'Annexe III, les obligations relatives à l'IA à usage général (GPAI) au titre des Art. 51 à Art. 55, et les obligations de transparence au titre de l'Art. 50. Tous les secteurs sont soumis à l'interdiction des pratiques prohibées et à l'obligation de transparence de l'Art. 50. Les obligations à haut risque de l'Annexe III s'appliquent sélectivement, en fonction des systèmes d'IA déployés par l'organisation et de leur finalité.

La compréhension de l'exposition sectorielle commence par la mise en correspondance des cas d'usage opérationnels de l'IA avec les catégories de l'Annexe III. Les organisations doivent également évaluer si l'IA déployée constitue un modèle GPAI au sens de l'Art. 3(63), et si des relations avec des fournisseurs créent des obligations en tant que déployeur ou fournisseur de GPAI.

Comprendre l'Annexe III par secteur

L'Annexe III du règlement IA de l'UE définit 8 catégories d'IA à haut risque autonomes. Chaque catégorie correspond à des industries et des cas d'usage d'IA spécifiques.

Catégorie 1 — Biométrie (tous secteurs)

L'Art. 6 lu conjointement avec le point 1 de l'Annexe III couvre les systèmes d'IA destinés à l'identification biométrique et à la catégorisation biométrique des personnes physiques. L'identification biométrique à distance en temps réel dans des espaces accessibles au public par les forces de l'ordre est interdite au titre de l'Art. 5(1)(h), et non simplement à haut risque. Les systèmes d'identification biométrique a posteriori et les systèmes de catégorisation biométrique utilisés dans l'emploi, le contrôle aux frontières, les forces de l'ordre (dans les limites autorisées) et le contrôle d'accès demeurent dans la catégorie à haut risque. Toute organisation déployant des systèmes de reconnaissance faciale, de correspondance d'empreintes digitales, de reconnaissance vocale ou des systèmes similaires à des fins de décisions importantes est concernée.

Catégorie 2 — Infrastructures critiques (transports, énergie, eau)

Le point 2 de l'Annexe III couvre l'IA utilisée en tant que composante de sécurité dans la gestion et l'exploitation des infrastructures numériques critiques, du trafic routier, de l'approvisionnement en eau, du gaz, du chauffage et de l'électricité. Les opérateurs de transports, les gestionnaires de réseaux énergétiques, les services des eaux et les fournisseurs d'infrastructures numériques doivent évaluer si leurs systèmes d'IA sont concernés. L'Annexe I du règlement IA interfère également ici : les composantes de sécurité d'IA intégrées dans des produits réglementés par l'Annexe I (machines, véhicules, équipements d'aviation civile, systèmes ferroviaires) sont à haut risque au titre de l'Art. 6(1), et non de l'Annexe III.

Catégorie 3 — Éducation et formation professionnelle

Le point 3 de l'Annexe III couvre l'IA qui détermine l'accès aux établissements d'enseignement, affecte les élèves à des filières éducatives, évalue les performances aux examens ou aux tests, évalue les acquis d'apprentissage qui affectent substantiellement les opportunités futures, et surveille le comportement des étudiants pendant les évaluations. Les plateformes EdTech, les universités, les organismes de formation professionnelle et les organismes d'examen doivent évaluer leurs outils basés sur l'IA au regard de ces critères.

Catégorie 4 — Emploi et ressources humaines

Le point 4 de l'Annexe III couvre l'IA utilisée dans le recrutement et la sélection (tri de CV, classement de candidats, analyse automatisée d'entretiens), les décisions de promotion, de licenciement, d'affectation de tâches pour les travailleurs de plateformes, la surveillance du comportement des employés, et l'évaluation des performances. Cette catégorie est l'une des plus larges en termes de portée — pratiquement toute organisation utilisant des processus RH assistés par IA doit évaluer sa conformité. L'obligation s'applique à l'IA utilisée par les employeurs, les agences de placement et les plateformes d'économie à la demande.

Catégorie 5 — Services privés et publics essentiels (finance, assurance, services adjacents à la santé, prestations sociales)

Le point 5 de l'Annexe III est la catégorie la plus large, englobant l'IA utilisée dans l'évaluation de la solvabilité et la notation de crédit des personnes physiques, l'évaluation des risques d'assurance et la tarification, l'évaluation de l'éligibilité aux prestations publiques et aux services sociaux, et les décisions d'intervention d'urgence. Cette catégorie concerne directement les banques, les assureurs, les administrations publiques et les prestataires de services sociaux. Les systèmes d'IA liés à la santé qui évaluent les individus pour leur éligibilité aux assurances relèvent également de cette catégorie, créant un recoupement entre les obligations des services financiers et celles du secteur de la santé.

Catégories 6, 7 et 8 — Forces de l'ordre, migration, justice

Les points 6, 7 et 8 de l'Annexe III ciblent les autorités du secteur public et leurs fournisseurs de technologie. L'IA dans les forces de l'ordre (notation des risques, prédiction de la récidive, prédiction de la criminalité, évaluation des preuves), l'IA dans la migration et le contrôle aux frontières (évaluation des risques d'asile, vérification de documents, traitement des demandes), et l'IA dans la justice et les processus démocratiques (outils de recherche judiciaire, IA liée aux élections) sont toutes à haut risque. Ces catégories concernent principalement les autorités de police, les agences frontalières, les tribunaux d'immigration, les juridictions et leurs fournisseurs d'IA sous contrat.

Guides sectoriels

Chacun des guides dédiés suivants met en correspondance les obligations du règlement IA de l'UE avec le contexte réglementaire spécifique, les cas d'usage d'IA typiques et l'architecture de contrôle du secteur concerné.

Santé et sciences du vivant

L'IA dans la santé opère à l'intersection du règlement IA de l'UE, du Règlement sur les dispositifs médicaux (MDR) et du Règlement sur les dispositifs médicaux de diagnostic in vitro (IVDR). Les systèmes d'IA qui se qualifient comme dispositifs médicaux sont réglementés principalement sous MDR/IVDR mais restent soumis aux obligations du règlement IA en matière de droits fondamentaux et de transparence. Le point 5 de l'Annexe III couvre l'IA utilisée pour la notation du risque de santé dans les assurances et l'éligibilité aux prestations publiques. L'aide à la décision clinique, l'IA diagnostique, les outils de triage des patients et l'IA de découverte de médicaments comportent chacun des obligations spécifiques en fonction de leur classification réglementaire.

RH et recrutement

Le point 4 de l'Annexe III place pratiquement tous les processus RH assistés par IA dans la catégorie à haut risque. Les outils de tri de CV, les plateformes d'évaluation psychométrique, l'analyse automatisée de vidéos d'entretien, les systèmes de gestion des performances et l'IA de planification des effectifs doivent se conformer aux obligations des fournisseurs et des déployeurs. Ce guide traite des obligations des employeurs en tant que déployeurs au titre de l'Art. 26, des exigences de gouvernance des données au titre de l'Art. 10, et de l'interaction avec les restrictions du profilage GDPR.

Secteur public et justice

Les autorités publiques sont à la fois des déployeurs d'IA à haut risque et les entités que les autorités nationales compétentes scruteront le plus attentivement. Les points 5 à 8 de l'Annexe III couvrent collectivement une large portion de l'IA du secteur public : détermination de l'éligibilité aux prestations, IA des services d'urgence, outils des forces de l'ordre, systèmes de gestion des frontières et IA judiciaire. Ce guide traite des obligations spécifiques des déployeurs publics, des mandats de transparence pour les décisions automatisées affectant les citoyens, et de l'intersection avec le GDPR et la Directive relative à la protection des données dans le domaine répressif.

Transports et infrastructures critiques

Les opérateurs de transport doivent naviguer à la fois entre le point 2 de l'Annexe III (composantes de sécurité dans les infrastructures critiques) et la réglementation sur la sécurité des produits de l'Annexe I. L'IA dans les systèmes de véhicules autonomes, la gestion du trafic ferroviaire, la gestion du trafic aérien, les opérations portuaires et la logistique de distribution peut déclencher une classification à haut risque selon plusieurs voies. Ce guide traite de l'interaction avec les réglementations de l'EASA, la Directive sur la sécurité ferroviaire, et le rôle des organismes notifiés dans l'évaluation de la conformité.

PME

Les petites et moyennes entreprises font face aux mêmes obligations du règlement IA de l'UE que les grandes organisations lorsqu'elles sont fournisseurs d'IA à haut risque ou déployeurs utilisant une IA à haut risque. Cependant, le règlement prévoit des mécanismes de proportionnalité. Ce guide explique les options de documentation technique simplifiée, l'accès aux bacs à sable réglementaires au titre des Art. 57 à Art. 63, et comment structurer un programme de conformité minimal mais juridiquement suffisant. Il traite également de l'exposition des PME en tant que déployeurs d'outils d'IA tiers.

Assurance

L'IA dans les assurances est soumise au point 5(b) de l'Annexe III (évaluation des risques et tarification pour les assurances vie et santé des personnes physiques) et croise les exigences de Solvabilité II en matière de gouvernance des modèles et d'utilisation des modèles internes. L'IA de tarification en assurance automobile, santé, dommages et vie, les outils de décision de souscription et les systèmes automatisés de règlement des sinistres nécessitent tous une évaluation. Ce guide traite des rôles de l'EIOPA et des superviseurs nationaux des assurances aux côtés du cadre ANC du règlement IA.

Commerce de détail et centres d'appels

Les opérations de vente au détail et de service client sont principalement affectées par les obligations de transparence de l'Art. 50 — divulgation du contenu généré par l'IA, identification des chatbots, et étiquetage des hypertrucages — ainsi que par l'IA liée à l'emploi au titre du point 4 de l'Annexe III. Les systèmes de reconnaissance des émotions utilisés dans des contextes orientés clients sont explicitement réglementés. Ce guide traite de l'IA dans le commerce en ligne, des moteurs de recommandation, du service client automatisé et de la gestion des effectifs dans les centres de contact.

Éducation et EdTech

Le point 3 de l'Annexe III place l'IA éducative dans la catégorie à haut risque lorsqu'elle détermine ou influence substantiellement l'accès aux filières éducatives ou évalue les acquis. Ce guide traite des obligations des fournisseurs EdTech, des universités, des organismes de formation professionnelle et des autorités d'examen publiques. Il couvre les plateformes d'apprentissage adaptatif, les logiciels de surveillance d'examens, la correction automatisée de dissertations et les outils de prédiction du risque étudiant.

Secteur financier (banque)

Le guide du secteur bancaire traite de la notation de crédit et de l'évaluation de la solvabilité au titre du point 5(b) de l'Annexe III, de l'IA de détection de fraude, des systèmes de trading algorithmique, des outils LCB/KYC et des plateformes de conseil automatisé. Il examine la superposition des obligations du règlement IA de l'UE sur DORA, MiFID II, CRR/CRD et les orientations de l'EBA. L'intersection entre les exigences de gouvernance des modèles du règlement IA et les cadres existants de gestion du risque de modèle selon les orientations de l'EBA est au cœur de ce guide.

Obligations transversales

Plusieurs obligations du règlement IA de l'UE s'appliquent indépendamment du secteur. Toute organisation opérant dans l'UE doit comprendre ces exigences de base.

Pratiques interdites — Art. 5

L'Art. 5 établit des interdictions absolues applicables depuis le 2 février 2025. Elles s'appliquent à tous les secteurs sans exception : les techniques de manipulation subliminale causant un préjudice, l'exploitation des vulnérabilités des personnes physiques, la notation sociale par les autorités publiques, l'identification biométrique à distance en temps réel par les forces de l'ordre dans des espaces publics (sous réserve d'exceptions limitées), la reconnaissance des émotions sur les lieux de travail et dans les établissements d'enseignement (en dehors des usages spécifiés), la catégorisation biométrique à partir de caractéristiques sensibles, et la prédiction policière reposant uniquement sur le profilage. Aucune exemption sectorielle ne saurait déroger à ces interdictions.

Obligations de transparence — Art. 50

L'Art. 50 impose aux fournisseurs et déployeurs de systèmes d'IA interagissant avec des personnes physiques de divulguer la nature artificielle de l'interaction. Cela s'applique aux chatbots, aux assistants virtuels, aux systèmes automatisés de centres d'appels et à tout système d'IA conçu pour paraître humain. Le contenu généré par l'IA — médias synthétiques, hypertrucages, texte — doit être marqué de manière lisible par machine. Ces obligations s'appliquent au commerce de détail, aux services financiers, aux outils de santé orientés patients, aux services publics aux citoyens et à tous les autres secteurs déployant une IA conversationnelle ou générative.

Obligations relatives aux modèles GPAI — Art. 51 à Art. 55

Les organisations qui déploient des modèles GPAI — grands modèles de langage, modèles fondamentaux, IA multimodale — doivent évaluer si elles sont déployeurs d'un modèle GPAI tiers ou fournisseurs d'un système intégrant un GPAI. Les fournisseurs de GPAI supportent des obligations au titre de l'Art. 53 (transparence envers les fournisseurs en aval, politique en matière de droits d'auteur, résumé des données d'entraînement). Les modèles GPAI présentant un risque systémique supportent des obligations supplémentaires au titre de l'Art. 55. Tout secteur utilisant des API de modèles fondamentaux commerciaux ou des modèles fondamentaux auto-hébergés doit évaluer ces obligations.

PME et obligations proportionnées

Les PME représentent la majorité des entreprises de l'UE et une proportion croissante des fournisseurs et déployeurs de systèmes d'IA. Le règlement IA de l'UE ne crée pas d'exemption générale pour les PME, mais l'Art. 9(5), l'Art. 11 et l'Art. 16 imposent que les obligations des fournisseurs soient proportionnées à la taille et à la capacité de l'organisation.

Le cadre des bacs à sable réglementaires (Art. 57 à Art. 63) est spécifiquement conçu pour offrir aux PME et aux start-ups des environnements de développement supervisés, une incertitude réglementaire réduite et un accès direct aux conseils des autorités nationales compétentes. La participation ne garantit pas une attestation de conformité, mais elle offre un parcours structuré vers la mise sur le marché de produits d'IA innovants.

Pour les PME agissant en tant que déployeurs d'IA à haut risque fournie par un tiers, les obligations de l'Art. 26 — évaluation du cas d'usage, mise en œuvre de la supervision humaine, évaluation de l'impact sur les droits fondamentaux — s'appliquent. L'ampleur de la documentation et du suivi requis est proportionnée, mais les obligations légales ne sont pas levées.

Le guide dédié aux PME fournit une feuille de route de conformité adaptée aux organisations de plus petite taille, couvrant la priorisation, la documentation minimale viable, la diligence raisonnable vis-à-vis des fournisseurs et les procédures d'accès aux bacs à sable.

Contrôle et application

Le règlement IA de l'UE crée une architecture de contrôle à plusieurs niveaux avec des dimensions sectorielles significatives.

Autorités nationales compétentes

Chaque État membre de l'UE désigne une ou plusieurs autorités nationales compétentes (ANC) au titre de l'Art. 70. Les ANC sont chargées d'autoriser les bacs à sable réglementaires, de conduire la surveillance du marché, de recevoir les données de suivi post-commercialisation des fournisseurs, d'enquêter sur les violations présumées et d'imposer des sanctions administratives au titre des Art. 99 à Art. 101. Les amendes maximales atteignent 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations des pratiques interdites de l'Art. 5.

Les régulateurs sectoriels en tant qu'autorités de surveillance du marché

Les Art. 74(8) et Art. 74(9) prévoient que les régulateurs sectoriels agissent en tant qu'autorités de surveillance du marché pour l'IA dans leurs domaines. L'Autorité bancaire européenne (EBA), l'Autorité européenne des assurances et des pensions professionnelles (EIOPA), l'Autorité européenne des marchés financiers (ESMA), l'Agence européenne des médicaments (EMA) et l'Agence de l'Union européenne pour la sécurité aérienne (EASA) ont chacune un rôle dans la supervision de l'IA dans leurs périmètres réglementaires. Cela crée une exposition à un double contrôle : un système d'IA de notation de crédit d'une banque peut être examiné à la fois par un régulateur financier national appliquant les obligations de l'Annexe III et par une ANC conduisant une surveillance du marché au titre du règlement IA.

Le Bureau européen de l'IA

Le Bureau européen de l'IA, établi au titre des Art. 64 à Art. 70, dispose d'un pouvoir direct de contrôle sur les fournisseurs de modèles GPAI. Pour les organisations déployant des modèles GPAI présentant un risque systémique, le Bureau de l'IA est l'interlocuteur réglementaire principal — et non l'ANC nationale. Les régulateurs sectoriels n'ont pas de compétence directe sur les modèles GPAI en tant que tels, bien que les systèmes d'IA en aval intégrant un GPAI restent soumis à la surveillance nationale et sectorielle.

Calendrier d'application

L'interdiction des pratiques au titre de l'Art. 5 est applicable depuis le 2 février 2025. Les obligations GPAI au titre des Art. 51 à Art. 55 sont entrées en vigueur le 2 août 2025. L'ensemble des obligations pour les systèmes d'IA à haut risque de l'Annexe III — couvrant les huit catégories ainsi que toutes les obligations des fournisseurs et déployeurs — s'appliquent à partir du 2 décembre 2027 (délai prolongé par rapport à l'échéance initiale du 2 août 2026 par l'amendement Omnibus numérique de 2025). Les organisations de tous les secteurs doivent considérer la période jusqu'en décembre 2027 comme une fenêtre de conformité active, et non comme une période de grâce.

Calendrier officiel de conformité AI Act

Mis à jour le 2026-06-20 · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.

Obligation	S'applique à	Date initiale	Nouvelle date	Statut	Compte à rebours	Base légale
Pratiques interdites (Art. 5)	Tous les fournisseurs et déployeurs	2 février 2025	2 février 2025	active	—	AI Act Art. 5
Règles GPAI (chapitre 5)	Fournisseurs de modèles GPAI	2 août 2025	2 août 2025	active	—	AI Act Art. 51-56
IA à haut risque — Annexe III (autonomes)	Fournisseurs de systèmes autonomes Annexe III	2 août 2026	2 décembre 2027	deferred	—	Omnibus AI 2026 Art. 6(2)
IA à haut risque — Annexe I (embarquée)	Systèmes IA embarqués dans produits réglementés Annexe I	2 août 2026	2 août 2028	deferred	—	Omnibus AI 2026 Art. 6(1)
Marquage contenu IA (transparence)	Fournisseurs de systèmes GPAI génératifs	2 août 2025	2 août 2025	active	—	AI Act Art. 50(2)
Bacs à sable réglementaires	Autorités nationales compétentes	2 août 2026	2 août 2026	active	—	AI Act Art. 57

⬇ Télécharger JSON · CC BY 4.0

Convergence AI Act – DORA – NIS2

Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.

Explorer regulation-dora.eu ↗

Questions fréquentes

Le règlement IA de l'UE s'applique-t-il différemment selon le secteur ?

Oui. Le règlement IA de l'UE s'applique de manière uniforme dans toute l'UE, mais son impact pratique varie sensiblement d'un secteur à l'autre. L'Annexe III du règlement associe directement les catégories d'IA à haut risque à des industries spécifiques — l'IA dans l'emploi cible les RH et le recrutement, l'IA en matière de solvabilité cible la finance et les assurances, les systèmes biométriques ciblent les forces de l'ordre et le contrôle aux frontières. Les opérateurs de secteurs fortement réglementés (santé, finance, transports) doivent également faire face au règlement IA qui s'ajoute à la législation sectorielle existante, ce qui peut engendrer des obligations supplémentaires ou nécessiter une coordination entre autorités de surveillance.

Quel secteur supporte le plus d'obligations au titre du règlement IA de l'UE ?

Le secteur de la santé, les services financiers et le secteur public supportent les obligations cumulées les plus lourdes. L'IA dans la santé croise le Règlement sur les dispositifs médicaux (MDR) et le Règlement sur les dispositifs médicaux de diagnostic in vitro (IVDR) ; l'IA dans le secteur financier croise DORA, MiFID II et Solvabilité II ; l'IA dans le secteur public touche les points 5 à 8 de l'Annexe III (services essentiels, forces de l'ordre, migration et justice). Chacun de ces secteurs doit se conformer à la fois au cadre du règlement IA de l'UE et à la réglementation sectorielle préexistante, certaines obligations s'appliquant simultanément.

Les PME sont-elles exemptées des obligations du règlement IA de l'UE ?

Les PME ne sont pas exemptées, mais le règlement prévoit des mesures proportionnées. L'Art. 9(5) impose que les systèmes de gestion des risques soient proportionnés à la taille et à la nature du fournisseur. Les Art. 11 et Art. 16 permettent une documentation technique simplifiée pour les PME. Les Art. 57 à Art. 63 établissent des bacs à sable réglementaires auxquels les PME peuvent accéder sous la supervision des autorités nationales compétentes. Les obligations des déployeurs au titre de l'Art. 26 s'appliquent également aux PME utilisant une IA à haut risque, bien qu'avec des exigences procédurales allégées par rapport aux fournisseurs.

Comment les autorités nationales de surveillance de l'IA interagissent-elles avec les régulateurs sectoriels ?

Les Art. 70 à Art. 77 du règlement IA de l'UE établissent une architecture de contrôle à plusieurs niveaux. Chaque État membre désigne une autorité nationale compétente (ANC) chargée de faire respecter le règlement IA. Lorsque des systèmes d'IA opèrent dans des secteurs réglementés — services financiers, santé, aviation, rail — les régulateurs sectoriels (EBA, EIOPA, ESMA, EMA, EASA) coordonnent leurs actions avec les ANC. Le Bureau européen de l'IA assure la surveillance centrale des modèles d'IA à usage général (GPAI). Cette structure parallèle signifie qu'un système d'IA d'un établissement financier peut être audité à la fois par une ANC et par un régulateur du secteur financier appliquant des cadres différents mais qui se recoupent.

Restez informé des évolutions AI Act

Recevez les alertes compliance quand les délais ou obligations changent.

Pas de spam. Désabonnement en un clic.