Comment classifier vos systemes IA selon l'EU AI Act

Pourquoi la classification est-elle cruciale ?

L'EU AI Act repose sur une approche fondee sur le risque. Le niveau de risque de votre systeme IA determine directement les obligations qui s'appliquent a vous. Une classification incorrecte peut entrainer soit une sur-conformite couteuse, soit une sous-conformite risquee.

Pour les SaaS B2B, la classification a aussi un impact commercial direct : vos clients enterprise vous demanderont de justifier votre classification lors des processus de due diligence.

Etape 1 : Verifier les pratiques interdites (Article 5)

Avant tout, verifiez que votre systeme IA ne tombe pas dans la categorie des pratiques interdites. Ces systemes sont bannis depuis fevrier 2025 :

Manipulation subliminale ou exploitation de vulnerabilites
Scoring social par des autorites publiques
Identification biometrique a distance en temps reel (sauf exceptions limitees)
Categorisation biometrique basee sur des caracteristiques sensibles
Reconnaissance des emotions sur le lieu de travail ou en milieu scolaire

Si votre systeme n'entre pas dans ces categories, passez a l'etape suivante. Pour la plupart des SaaS B2B, ce n'est pas le cas.

Etape 2 : Evaluer le haut risque (Annexe III)

L'Annexe III du reglement liste les domaines ou un systeme IA est considere a haut risque. Verifiez si votre systeme est utilise dans l'un de ces contextes :

Biometrie et categorisation

Identification biometrique a distance, categorisation de personnes physiques.

Infrastructure critique

Composants de securite dans la gestion du trafic routier, eau, gaz, chauffage, electricite.

Education et formation

Determination de l'acces a l'education, evaluation des apprenants, detection de tricherie.

Emploi et RH

Recrutement, selection de candidats, decisions de promotion, evaluation des performances, surveillance des travailleurs.

Services essentiels

Evaluation de la solvabilite, scoring de credit, acces aux services publics, evaluation des risques d'assurance.

Etape 3 : Identifier le risque limite

Si votre systeme n'est pas a haut risque, verifiez s'il tombe dans la categorie risque limite. C'est le cas si votre systeme :

Interagit directement avec des personnes physiques (chatbot, assistant virtuel)
Genere du contenu synthetique (texte, image, audio, video)
Effectue de la reconnaissance des emotions ou de la categorisation biometrique
Genere des deepfakes ou du contenu manipule

L'obligation principale pour ces systemes est la transparence : informer l'utilisateur qu'il interagit avec une IA ou que le contenu est genere par IA.

Etape 4 : Risque minimal par defaut

Si votre systeme ne correspond a aucune des categories precedentes, il est classe en risque minimal. C'est le cas de la majorite des systemes IA : filtres anti-spam, recommandations produits, optimisation de processus internes, analytics predictifs. Aucune obligation specifique ne s'applique, mais la documentation volontaire est encouragee et valorisee commercialement.

Erreurs courantes a eviter

1.Confondre l'usage et la technologie. La classification depend du contexte d'utilisation, pas de la technologie sous-jacente. Un meme modele de machine learning peut etre minimal ou haut risque selon son cas d'usage.
2.Ignorer les usages downstream. Si vous etes fournisseur SaaS, votre systeme peut etre utilise dans des contextes que vous n'avez pas anticipes. Documentez les usages prevus et les restrictions.
3.Se classifier trop bas pour eviter les obligations. Une classification incorrecte expose a des sanctions pouvant atteindre 3% du chiffre d'affaires mondial.
4.Ne pas documenter le raisonnement. La classification doit etre justifiee et documentee. En cas de controle, vous devez pouvoir expliquer pourquoi vous avez choisi tel niveau de risque.

Avertissement

Cet article est fourni a titre informatif et ne constitue pas un avis juridique. La classification mentionnee est indicative. Consultez un juriste qualifie pour un avis adapte a votre situation.