Classement des risques selon le Règlement européen sur l'IA.

Sont interdites les pratiques qui présentent des risques inacceptables pour les droits fondamentaux. La liste comprend la manipulation préjudiciable, l'exploitation des vulnérabilités, la notation sociale par les autorités publiques, la prédiction d'infraction sur la seule base du profilage, le scraping non ciblé d'images faciales pour bases de reconnaissance, la reconnaissance des émotions sur le lieu de travail et dans l'éducation (sauf cas médical ou de sécurité), la catégorisation biométrique sur la base d'attributs sensibles, et l'identification biométrique en temps réel dans les espaces publics par les forces de l'ordre (sauf exceptions strictes). Ces pratiques sont proscrites depuis février 2025.

Deux voies. Premièrement, les systèmes IA composants de produits soumis à un cadre harmonisé annexe I (machines, dispositifs médicaux, jouets, etc.) : automatiquement risque élevé si une évaluation tierce est requise pour le produit. Deuxièmement, les systèmes IA listés à l'annexe III dans huit domaines : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels (crédit, prestations), application de la loi, migration et asile, justice. Une exception article 6 paragraphe 3 permet de déclasser un système annexe III qui n'influence pas matériellement la décision finale, sous réserve de documentation rigoureuse.

• Système de gestion des risques (article 9) tenu pendant tout le cycle de vie.
• Gouvernance des données (article 10) : pertinence, représentativité, qualité.
• Documentation technique annexe IV.
• Tenue de journaux automatiques (article 12).
• Transparence et information du déployeur (article 13).
• Supervision humaine effective (article 14).
• Précision, robustesse et cybersécurité (article 15).
• Système qualité du fournisseur (article 17), évaluation de conformité, marquage CE.
• Enregistrement dans la base de données européenne avant mise sur le marché.

Obligations de transparence pour quatre situations. Premièrement, les systèmes interagissant directement avec une personne physique : information que l'interlocuteur est une IA. Deuxièmement, les systèmes émettant du contenu synthétique audio, image, vidéo ou texte : marquage en sortie permettant la détection. Troisièmement, les systèmes de reconnaissance des émotions ou de catégorisation biométrique : information de la personne concernée. Quatrièmement, les hypertrucages (deep fakes) : information explicite du caractère généré ou manipulé.

Quatre étapes. Premièrement, qualifier le rôle de l'entreprise (fournisseur, déployeur, etc.). Deuxièmement, qualifier l'usage final métier précis du système. Troisièmement, projeter cet usage sur les annexes I et III pour identifier le statut risque élevé éventuel. Quatrièmement, vérifier les obligations de transparence article 50 indépendamment du classement de risque, car elles peuvent s'appliquer en parallèle. Une qualification motivée est exigible en cas de contrôle. Nous livrons systématiquement cette qualification dans nos dossiers techniques.