Annexe III du règlement sur l'IA : les huit catégories à haut risque expliquées

L'annexe III du règlement sur l'IA énumère huit catégories d'utilisations de l'IA classées comme à haut risque au titre du chapitre III. Si votre système d'IA relève de l'une de ces catégories, les obligations les plus lourdes du règlement s'appliquent : évaluation de la conformité, documentation technique, gouvernance des données, surveillance humaine, exactitude et robustesse, surveillance post-commercialisation, notification des incidents. La sanction en cas de non-conformité pour les systèmes à haut risque est de 15 M€ ou 3 % du chiffre d'affaires mondial en vertu de l'article 99, paragraphe 4. Les obligations de l'annexe III s'appliquent à compter du 2 décembre 2027, date à laquelle l'AI Omnibus a repoussé l'échéance initialement fixée au 2 août 2026. Le fond du régime à haut risque n'a pas changé ; seule la date d'application a été modifiée.

Les huit catégories de l'annexe III

  1. Identification biométrique et catégorisation (identification biométrique à distance, catégorisation biométrique déduisant des attributs sensibles, reconnaissance des émotions).
  2. Infrastructures critiques (IA pour la gestion du trafic routier, de l'eau, du gaz, du chauffage, de l'approvisionnement en électricité, des infrastructures numériques).
  3. Éducation et formation professionnelle (décisions d'admission, notation, évaluation du niveau d'éducation, surveillance lors des examens).
  4. Emploi, gestion des travailleurs et accès au travail indépendant (recrutement, filtrage des candidats, évaluation, allocation des tâches, surveillance).
  5. Accès aux services privés et publics essentiels (notation de crédit, tarification des assurances vie et santé, évaluation de l'éligibilité aux aides publiques, dispatch des services d'urgence).
  6. Application de la loi (évaluation des risques présentés par des personnes physiques, évaluation de la fiabilité des preuves, profilage).
  7. Migration, asile et contrôle aux frontières (décisions d'éligibilité, évaluation des risques pour la sécurité, vérification d'identité).
  8. Administration de la justice et processus démocratiques (outils de recherche judiciaire, règlement alternatif des litiges, influence sur les résultats électoraux).

Quelles catégories touchent le plus souvent les SaaS

Les catégories 3 (éducation), 4 (emploi) et 5 (services essentiels) représentent la majorité de l'exposition des SaaS à haut risque. La catégorie 1 (biométrique) concerne un ensemble plus restreint, principalement les outils de vérification d'identité et d'analyse des émotions. Les catégories 6, 7 et 8 s'appliquent principalement à l'IA du secteur public, mais les SaaS commerciaux vendus aux services répressifs, aux agences d'immigration ou aux tribunaux héritent de ces obligations. La catégorie 2 (infrastructures critiques) concerne l'IA pour l'IoT et les systèmes SCADA, mais rarement les SaaS B2B. Les implications spécifiques à chaque secteur sont détaillées dans nos pages dédiées aux secteurs d'activité.

L'exemption prévue à l'article 6, paragraphe 3

L'article 6, paragraphe 3, prévoit une exemption étroite : un système d'IA relevant d'un domaine visé à l'annexe III n'est PAS considéré comme à haut risque s'il n'accomplit que l'une des tâches suivantes : une tâche procédurale étroite ; l'amélioration d'une activité humaine déjà accomplie ; la détection de schémas décisionnels ou d'écarts sans intention de remplacer ou d'influencer l'évaluation humaine ; ou une tâche préparatoire à la décision proprement dite. L'exemption est factuelle et d'interprétation stricte. La plupart des SaaS déclenchant une catégorie de l'annexe III seront considérés comme à haut risque au titre de l'article 6, paragraphe 1, et non exemptés au titre du paragraphe 3.

Obligations applicables aux systèmes à haut risque

Si votre système relève de l'annexe III et n'est pas exempté au titre de l'article 6, paragraphe 3, l'intégralité du chapitre III s'applique : article 9 système de gestion des risques, article 10 gouvernance des données, article 11 documentation technique, article 12 journalisation, article 13 instructions d'utilisation, article 14 surveillance humaine, article 15 exactitude et robustesse, article 17 système de management de la qualité, article 43 évaluation de la conformité, article 47 déclaration UE de conformité, article 48 marquage CE, article 49 enregistrement dans la base de données de l'UE, article 61 management de la qualité pour les fournisseurs, article 72 surveillance post-commercialisation, article 73 notification des incidents. La mise en conformité représente plusieurs centaines d'heures d'ingénierie et de conformité par système.

Voies d'évaluation de la conformité

L'article 43 prévoit deux voies d'évaluation de la conformité pour les systèmes relevant de l'annexe III : (a) le contrôle interne (annexe VI) pour la plupart des cas — le fournisseur procède lui-même à l'évaluation au regard des normes ; (b) l'intervention d'un organisme notifié (annexe VII) pour les systèmes visés aux points 1 a), 1 b) et 1 c) de l'annexe III (la plupart des utilisations biométriques) et lorsque les normes harmonisées ne sont pas encore disponibles. La plupart des SaaS recourent à la voie de l'auto-évaluation. La capacité des organismes notifiés constitue le facteur limitant pour le nombre restreint de cas nécessitant une évaluation externe — les délais d'attente sont actuellement de 9 à 18 mois.

Frequently asked questions

Quand l'annexe III entre-t-elle en vigueur ?

Le 2 décembre 2027 pour la plupart des catégories de l'annexe III. L'AI Omnibus a repoussé la date initialement fixée au 2 août 2026. Le régime à haut risque demeure la charge de mise en conformité la plus importante du règlement, et les dix-huit mois qui nous séparent de décembre 2027 constituent le délai minimum réaliste pour effectuer ce travail dans les règles de l'art.

Quelle est la sanction en cas de non-conformité à l'annexe III ?

Jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial en vertu de l'article 99, paragraphe 4, en cas de manquement aux obligations applicables aux systèmes à haut risque.

L'article 6, paragraphe 3, me permet-il d'échapper à l'annexe III ?

Rarement — l'exemption est étroite et d'interprétation stricte. La plupart des SaaS déclenchant une catégorie de l'annexe III resteront à haut risque. L'exemption s'applique principalement à l'automatisation procédurale étroite plutôt qu'aux fonctionnalités d'IA substantielles.

Ai-je besoin d'un organisme notifié ?

Uniquement dans des cas spécifiques — principalement pour l'identification et la catégorisation biométriques lorsque les normes harmonisées ne sont pas encore disponibles. La plupart des SaaS relevant de l'annexe III recourent à l'auto-évaluation par contrôle interne au titre de l'article 43.

Ma classification au titre de l'annexe III peut-elle évoluer ?

Oui — la Commission européenne peut ajouter ou supprimer des cas d'usage de l'annexe III par voie d'actes délégués. Tenez-vous informé des orientations du Bureau européen de l'intelligence artificielle.

Sources

Last updated: 2026-06-09