Le règlement européen sur l’intelligence artificielle (AI Act) établit quatre niveaux de risque afin d’encadrer l’utilisation des systèmes d’IA. Cette approche, fondée sur le risque, permet d’adapter les obligations réglementaires en fonction de l’impact potentiel des systèmes sur la société, les droits fondamentaux et la sécurité.
Le règlement européen sur l’IA adopte une approche globale de la régulation de l’intelligence artificielle. Il définit des obligations pour les fournisseurs et les utilisateurs de systèmes d’IA afin d’assurer un usage sûr, transparent et éthique de ces technologies. Dans ce cadre, l’Union européenne a mis en place un cadre réglementaire structuré reposant sur une classification des systèmes d’IA selon leur niveau de risque AI Act.
Les 4 niveaux de risque de l’AI Act
1. AI Act : niveau de risque inacceptable
Cette catégorie regroupe les systèmes d’IA considérés comme une menace directe pour la sécurité ou les droits fondamentaux. Ils sont strictement interdits.
Exemples de systèmes à risque inacceptable
Les cas interdits incluent notamment :
- la manipulation subliminale des comportements,
- l’exploitation des vulnérabilités de groupes spécifiques,
- la notation sociale des individus,
- l’identification biométrique à distance en temps réel dans les espaces publics (sauf exceptions encadrées).
Ces usages sont incompatibles avec le respect des droits fondamentaux, de la dignité humaine et du principe de non-discrimination. Ils ne peuvent ni être mis sur le marché ni être déployés au sein de l’Union européenne.
2. Risque élevé (ou IA à haut risque)
Les systèmes d’IA à haut risque sont autorisés mais fortement encadrés. Ils peuvent avoir un impact significatif sur la santé, la sécurité ou les droits fondamentaux.
Exemples de systèmes à haut risque
Ils concernent notamment :
- les infrastructures critiques,
- les dispositifs médicaux, l’aviation, l’automobile ou les jouets,
- la gestion des travailleurs et les processus de recrutement,
- les forces de l’ordre et le contrôle des frontières,
- la justice, l’éducation et certains services publics,
- les systèmes contenant un composant de sécurité intégré.
L’annexe III du règlement précise ces cas d’usage. L’objectif est de garantir que la mise sur le marché de ces systèmes respecte des exigences strictes en matière de gestion des risques, de supervision humaine et de transparence.
3. Risque limité
Les systèmes à risque limité sont autorisés mais soumis à des obligations de transparence.
Ils doivent informer clairement les utilisateurs lorsqu’ils interagissent avec une IA afin d’éviter toute confusion ou manipulation.
Exemples de systèmes à risque limité
- chatbots,
- IA génératives (ex : ChatGPT, Google Bard),
- systèmes de détection de faux contenus,
- reconnaissance des émotions.
Ces systèmes, bien que moins critiques, nécessitent une vigilance sur leur mise en œuvre afin de garantir un usage responsable.
4. Risque minimal
La majorité des systèmes d’IA actuellement utilisés en Europe appartiennent à cette catégorie.
Ils ne sont soumis à aucune obligation réglementaire spécifique, au-delà du droit existant.
Exemples de systèmes à risque minimal
- filtres anti-spam,
- systèmes de recommandation (films, musique, contenus),
- outils bureautiques et assistants de productivité.
Comment appliquer les niveaux de risque en entreprise ?
Comprendre les niveaux de risque définis par l’AI Act est essentiel, mais leur mise en œuvre opérationnelle est le véritable enjeu pour les organisations.
Automatiser la gestion des risques IA
Une approche efficace consiste à intégrer la gestion des risques directement dans les workflows internes de gouvernance.
Les systèmes d’IA à risque inacceptable doivent être détectés et bloqués dès leur identification, afin d’éviter toute mise sur le marché ou déploiement interne.
À l’inverse, les systèmes à risque limité ou minimal peuvent être validés plus rapidement via des processus automatisés.
Les systèmes d’IA à usage général (ou IA à usage général) doivent également être surveillés en raison de leur potentiel de réutilisation dans des contextes sensibles.
Focus sur les systèmes à haut risque
Les systèmes à haut risque nécessitent une analyse approfondie avant leur mise en production. Cette évaluation repose sur une gestion des risques structurée, incluant :
- l’évaluation des impacts sur les droits fondamentaux,
- la documentation technique,
- la supervision humaine,
- la transparence des décisions,
- la réduction des biais algorithmiques.
Les fournisseurs sont responsables de la conformité initiale, mais les utilisateurs doivent assurer une mise en œuvre continue conforme au cadre réglementaire.
Cas pratique : recrutement automatisé
Un outil d’IA utilisé pour trier des CV est généralement classé comme système à haut risque (annexe III), car il influence directement l’accès à l’emploi.
Avant toute mise en œuvre, l’organisation doit :
- documenter les données utilisées,
- évaluer les risques de discrimination,
- assurer une supervision humaine des décisions,
- garantir la transparence envers les candidats.
Découvrez le guide complet des ressources liées à l'AI Act pour se conformer
Concilier innovation et conformité IA
L’objectif de l’AI Act n’est pas de freiner l’innovation, mais de l’encadrer.
Une gouvernance efficace permet de concilier innovation et conformité, en sécurisant les usages tout en facilitant l’adoption de l’IA en entreprise.
Les organisations doivent ainsi mettre en place un cadre robuste de gestion des risques, incluant le suivi des systèmes, la documentation des traitements et la conformité continue.
FAQ
Qu’est-ce que l’AI Act ?
L’AI Act est le règlement européen qui encadre l’intelligence artificielle dans l’UE. Il repose sur une approche fondée sur le risque pour garantir la sécurité, les droits fondamentaux et une utilisation responsable des systèmes d’IA.
Quels sont les 4 niveaux de risque définis par l’AI Act ?
Les systèmes d’IA sont classés en quatre catégories :
- Risque inacceptable (interdit)
- Risque élevé / IA à haut risque (fortement encadré)
- Risque limité (obligations de transparence)
- Risque minimal (peu ou pas d’obligations spécifiques)
Qu’est-ce qu’un système à risque inacceptable ?
Ce sont des usages interdits car contraires aux droits fondamentaux. Par exemple :
- notation sociale,
- manipulation subliminale,
- certaines formes d’identification biométrique à distance dans l’espace public.
Qu’est-ce qu’un système d’IA à haut risque ?
Ce sont des systèmes pouvant affecter la sécurité ou les droits des personnes. Ils concernent notamment :
- les infrastructures critiques,
- la santé,
- l’éducation,
- le recrutement,
- les forces de l’ordre,
- les dispositifs de sécurité intégrés.
Ils sont autorisés mais soumis à des exigences strictes (gestion des risques, supervision humaine, documentation).
Que signifie “risque limité” ?
Il s’agit de systèmes autorisés mais soumis à des obligations de transparence. Par exemple :
- chatbots,
- IA génératives,
- outils de détection de contenus.
Les utilisateurs doivent savoir qu’ils interagissent avec une IA.
Quels sont les systèmes à risque minimal ?
Ce sont la majorité des IA utilisées aujourd’hui, comme :
- filtres anti-spam,
- recommandations de contenus,
- outils bureautiques.
Ils ne sont pas soumis à des obligations spécifiques au-delà du droit existant.
Pourquoi l’AI Act utilise-t-il une approche fondée sur le risque ?
Cette approche permet d’adapter le niveau de contrôle selon l’impact potentiel des systèmes d’IA sur la société, la sécurité et les droits fondamentaux.
Les systèmes d’IA sont-ils tous réglementés de la même manière ?
Non. Plus le risque est élevé, plus les obligations sont strictes. Les systèmes à haut risque doivent respecter des exigences renforcées, tandis que les systèmes à faible risque sont beaucoup moins encadrés.