IA act : la Commission européenne tente enfin de répondre à la question que tout le monde se pose

Mon système d’IA est-il à haut risque ?

Depuis l’adoption de l’AI Act, cette question revient en boucle dans les entreprises. Et pour cause.

Entre les cas d’usage listés à l’Annexe III, les systèmes intégrés à des produits réglementés, les exceptions prévues par le texte et les différentes échéances d’application, qualifier correctement un système n’a rien d’évident.

Pour mettre fin à cette zone grise, la Commission européenne a publié le 19 mai 2026 un projet de lignes directrices consacré à l’un des sujets les plus structurants de l’AI Act : la qualification des systèmes d’IA à haut risque.

L’objectif est simple : aider les fournisseurs, les entreprises utilisatrices et les autorités de contrôle à répondre de manière plus homogène à une question devenue centrale.

Un système est-il, oui ou non, concerné par le régime high-risk prévu à l’article 6 ?

Une publication qui intervient dans un contexte mouvant

Le calendrier n’est pas anodin.

Alors que la Commission publie ces lignes directrices, les échéances d’application des obligations relatives aux systèmes à haut risque font elles-mêmes l’objet de discussions au niveau européen.

Un accord provisoire entre le Conseil et le Parlement européen prévoit notamment un report de certaines dates d’application, avec une entrée en vigueur potentielle au 2 décembre 2027 pour les systèmes relevant de l’Annexe III et au 2 août 2028 pour les systèmes intégrés à des produits réglementés.

À ce stade, ces reports doivent encore être formellement adoptés. Mais, même si les échéances peuvent encore évoluer, la question de la qualification reste entière. Et c’est précisément sur ce point que la Commission cherche aujourd’hui à apporter davantage de clarté.

Autre élément à garder en tête : ces guidelines ne sont pas gravées dans le marbre. Il s'agit pour l'instant d'un projet soumis à consultation publique jusqu'au 23 juin 2026. Entreprises, experts et professionnels du secteur peuvent donc encore contribuer et influencer la version finale du texte.

Premier rappel : il n’existe pas une seule façon de devenir « haut risque »

C’est probablement le premier message que la Commission cherche à faire passer.

Dans les discussions autour de l’AI Act, beaucoup d’organisations raisonnent comme s’il existait une catégorie unique de systèmes à haut risque.

Or, l’article 6 prévoit en réalité deux mécanismes distincts.

Un système peut être qualifié de haut risque, parce qu’il est intégré à un produit déjà soumis à certaines réglementations européennes harmonisées (article 6(1)).

Mais il peut aussi être qualifié de haut risque, parce qu’il est utilisé dans l’un des cas d’usage listés à l’Annexe III (article 6(2)).

Cette distinction paraît simple sur le papier.

Dans la pratique, elle est à l’origine d’une grande partie des erreurs de qualification observées aujourd’hui.

La Commission veut mettre fin aux interprétations intuitives

C’est sans doute l’un des apports les plus intéressants de ces lignes directrices. Depuis plusieurs mois, de nombreuses organisations tentent d’évaluer leurs systèmes sur la base d’une lecture parfois approximative du règlement.

Le cas le plus fréquent concerne l’Annexe III. Le raisonnement ressemble souvent à ceci :

Nous utilisons de l’IA dans les ressources humaines, donc nous sommes forcément à haut risque.

Ou encore :

Nous intervenons dans le secteur de l’éducation, donc nous sommes concernés.

Or, ce n’est pas ainsi que fonctionne l’AI Act. Ce ne sont pas les secteurs qui déterminent automatiquement la qualification. Ce sont les cas d’usage précisément visés par l’Annexe III. Les lignes directrices multiplient d’ailleurs les exemples afin d’aider les organisations à faire cette distinction.

L’objectif est clair : éviter qu’une même situation soit interprétée différemment selon les acteurs ou les États membres.

L’article 6(3) n’est pas une porte de sortie automatique

Les lignes directrices reviennent également sur l’une des dispositions les plus commentées de l’AI Act : l’article 6(3).

Cette disposition prévoit qu’un système pouvant sembler relever de l’Annexe III ne sera pas nécessairement considéré comme « haut risque » dans certaines circonstances.

Mais la Commission adopte une approche particulièrement prudente. Le message est clair : cette exception ne doit pas être utilisée comme un mécanisme automatique de déclassement.

Il ne suffira pas d’affirmer qu’un système n’a pas d’impact significatif. Encore faudra-t-il être capable de le démontrer.

Les entreprises utilisatrices sont directement concernées

Un autre enseignement ressort très clairement de ces travaux : ces lignes directrices ne s’adressent pas uniquement aux fournisseurs.

Les entreprises utilisatrices (les deployers dans le vocabulaire de l’AI Act) sont également directement concernées.

Cette précision est importante. Beaucoup d’organisations considèrent encore que la qualification réglementaire relève principalement de l’éditeur de la solution.

Or, la Commission rappelle qu’une entreprise qui déploie un système d’IA doit être en mesure de comprendre son usage prévu et de justifier sa propre analyse. L’achat d’une solution sur étagère ne dispense donc pas d’un travail de qualification.

Le véritable changement : il ne suffit plus d’avoir une réponse

Au fil des lignes directrices, un message revient constamment. La question n’est plus seulement : « Notre système est-il à haut risque ? »

Elle devient : « Sommes-nous capables de justifier pourquoi nous pensons qu’il l’est… ou qu’il ne l’est pas ? »

Autrement dit, la qualification devient un exercice de gouvernance. Comme pour un registre RGPD ou une analyse de risque cybersécurité, l’enjeu n’est plus seulement de prendre une décision. Il faut aussi pouvoir démontrer comment cette décision a été prise.

Cette logique de « défendabilité » traverse l’ensemble du document. Dans les faits, cela implique notamment de :

• documenter l’analyse réalisée ;

• conserver les hypothèses retenues ;

• identifier la version du système concerné ;

• prévoir des mécanismes de réévaluation lorsque le périmètre évolue.

Que peuvent faire les organisations dès maintenant ?

Même si ces lignes directrices sont encore en consultation, plusieurs enseignements peuvent déjà être tirés.

Le premier consiste à distinguer clairement deux exercices :

• qualifier un système ;

• documenter cette qualification.

Ces deux étapes sont souvent mélangées alors qu’elles répondent à des objectifs différents.

La première (qualification) vise à déterminer si un système relève de l’article 6(1) ou de l’article 6(2). La seconde (documentation) consiste à conserver une trace de l’analyse réalisée.

Le deuxième enseignement est d’adopter une logique « à date ». Une qualification devrait toujours préciser :

• la date de l’analyse ;

• la version du système concerné ;

• les hypothèses retenues ;

• les points restant à confirmer.

Cette approche permettra de faciliter les futurs réexamens lorsque le système évoluera.

Pour vous faciliter la vie

Ces projets de lignes directrices apportent des clarifications attendues sur la qualification des systèmes d’IA à haut risque.

Mais entre les 160 pages de documentation, les exemples et les exceptions, il n’est pas toujours simple de passer du texte à la décision.

C’est pourquoi nous avons préparé trois ressources complémentaires :

• un one-pager Annexe III pour repérer rapidement les cas d'usage potentiellement « haut risque » ; 

• une checklist atelier pour qualifier un système au regard de l'article 6 ; 

• une fiche de décision pour documenter une classification de manière traçable et défendable.

Ça vous intéresse ? Téléchargez le kit complet ici.

Conclusion

Ces projets de lignes directrices ne répondent pas à toutes les questions soulevées par l’AI Act. Ils constituent néanmoins la première tentative de la Commission pour transformer les principes de l’article 6 en un cadre d’analyse réellement opérationnel.

Mais au-delà des clarifications juridiques, un message ressort déjà très clairement. La qualification haut risque ne sera probablement pas seulement un exercice réglementaire. Elle deviendra aussi un exercice de gouvernance, de documentation et de justification.

Et pour les entreprises qui déploient des systèmes d’IA, cette évolution pourrait s’avérer au moins aussi importante que les obligations elles-mêmes.