> Guides

« IA à haut risque » : 4 portes de sortie publiées par Bruxelles

Le filtre que la Commission européenne propose avant la deadline du 2 août.

Par La rédaction Décodeur IA · · 8 min de lecture
Schéma grille AI Act haut risque PME exemptions Article 6 paragraphe 3

La Commission européenne a publié le 19 mai 2026 les lignes directrices sur la classification des systèmes d'IA à haut risque. Le texte court jusqu'au 23 juin, date de clôture de la consultation publique. Pour la plupart des PME françaises qui ont branché ChatGPT, un agent vocal ou un outil de scoring sur leur CRM, c'est la première grille officielle qui permet de répondre à une question simple : suis-je dedans, suis-je dehors ?

Spoiler : la majorité des usages PME tombent dehors. À condition de l'avoir documenté avant le contrôle.

« IA à haut risque » au sens de l'AI Act : ce que dit l'Article 6

L'AI Act range les systèmes en quatre catégories : interdits, haut risque, risque limité (transparence), risque minimal. Le statut « haut risque » déclenche l'arsenal le plus lourd : analyse de risque, gestion de qualité, supervision humaine, journalisation, déclaration auprès de la base européenne, marquage CE.

Deux portes d'entrée mènent au « haut risque ». La première, c'est l'Annexe I : votre IA est un composant de sécurité d'un produit réglementé (dispositif médical, jouet, ascenseur, machine). Cette voie concerne peu de PME — surtout les industriels et les fabricants. La seconde, c'est l'Annexe III : votre IA est utilisée dans l'un des huit domaines listés par le règlement comme sensibles pour la santé, la sécurité ou les droits fondamentaux.

Les guidelines publiées le 19 mai consacrent l'essentiel de leurs 130 pages à éclairer l'Annexe III. Et à rappeler une nuance que beaucoup de cabinets de conseil oublient : la qualification dépend de la finalité prévue et du contexte de déploiement. Un même modèle peut être haut risque chez un déployeur et hors champ chez son voisin.

Annexe III : huit domaines où Bruxelles prend vos IA au sérieux

La liste exhaustive de l'Annexe III recouvre :

  • Biométrie à distance et catégorisation biométrique
  • Infrastructures critiques (eau, gaz, électricité, transports)
  • Éducation et formation professionnelle (admission, notation, surveillance d'examen)
  • Emploi et gestion des travailleurs (tri de CV, évaluation de performance, allocation de tâches)
  • Accès aux services essentiels publics et privés (crédit, prestations sociales, assurance vie/santé, services d'urgence)
  • Maintien de l'ordre
  • Migration, asile, contrôle aux frontières
  • Administration de la justice et processus démocratiques

Pour un cabinet d'avocats qui utilise Harvey AI sur une note de droit, on n'est pas dans l'administration de la justice au sens du texte. Pour un site e-commerce qui déploie un chatbot Claude de support, on n'est pas dans les services essentiels privés. Pour un éditeur SaaS RH qui vend un module de tri de CV, en revanche, on tape directement dans la case emploi de l'Annexe III.

C'est ici que l'Article 6(3) change la donne pour la plupart des PME.

Article 6(3) : les quatre portes de sortie de l'AI Act

Le règlement prévoit une soupape technique. Même si votre IA tombe dans un domaine de l'Annexe III, elle peut sortir du périmètre « haut risque » à condition de ne pas présenter de risque significatif pour la santé, la sécurité ou les droits fondamentaux, et de remplir l'une des quatre conditions suivantes :

  1. Tâche procédurale étroite. L'IA catégorise, reformate, structure ou déduplique des données sans porter de jugement de valeur. Exemple : un script qui renomme automatiquement les CV reçus selon le poste visé.
  2. Amélioration d'une activité humaine déjà réalisée. L'IA corrige ou met en forme un travail terminé par un humain. Exemple : un assistant qui passe la grammaire d'un rapport rédigé par un consultant, sans ajouter ni retirer de fond.
  3. Détection de motifs ou d'anomalies. L'IA repère des tendances ou des écarts dans des décisions passées, sans remplacer ni influencer l'évaluation humaine si une revue humaine est en place. Exemple : un tableau de bord qui signale aux RH que les notations des managers d'une équipe sont anormalement basses.
  4. Tâche préparatoire. L'IA prépare des éléments pour une évaluation faite ensuite par un humain. Exemple : une synthèse automatique d'un dossier de candidature avant entretien.

Une limite absolue : l'exemption ne joue jamais si le système réalise du profilage de personnes physiques. Si votre IA construit un profil comportemental, même pour une « simple » tâche préparatoire, l'Article 6(3) ne vous sauve pas.

Combien coûte une non-conformité AI Act en France

Le règlement empile trois étages d'amendes selon la nature de l'infraction :

  • 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour l'usage d'un système prohibé (notation sociale, biométrie en temps réel hors exceptions, manipulation cognitive).
  • 15 millions d'euros ou 3 % du CA mondial pour non-respect des obligations sur les systèmes haut risque (documentation, supervision humaine, journalisation).
  • 7,5 millions d'euros ou 1 % du CA mondial pour fourniture d'informations incorrectes aux autorités.

Pour une PME, l'autorité compétente en France n'est pas encore définitivement nommée, mais la CNIL a déjà annoncé qu'elle assumerait une partie des contrôles, en particulier sur les systèmes qui croisent IA et données personnelles. À titre indicatif, 32 % des contrôles CNIL en 2025 ont visé des TPE/PME, contre 18 % en 2023 — la pression de contrôle remonte la chaîne.

L'autre risque, plus discret, est commercial. Les directions achats des grands comptes intègrent depuis début 2026 des questions AI Act dans leurs RFP. Pas de cartographie de vos systèmes IA = pas de signature.

AI Act pour PME : que faut-il faire avant le 2 août 2026

Le calendrier officiel sépare l'arrivée des obligations. La date du 2 août 2026 active les sanctions liées aux modèles d'IA à usage général (GPAI) et la gouvernance nationale. Le cœur du dispositif haut risque Annexe III bascule en application en décembre 2027, et le volet composants de sécurité (Annexe I) en août 2028. Mais l'erreur consiste à reporter l'analyse : la cartographie demande plusieurs mois, et c'est cette cartographie qui détermine si vous êtes même concerné.

Concrètement, six étapes tiennent la route pour une PME de moins de 250 salariés :

  1. Recenser tous les systèmes d'IA en place. Un fichier partagé suffit : nom, éditeur, finalité, données utilisées, qui le pilote, quel département. Y compris les outils non officiels que les équipes ont branchés en shadow IT.
  2. Qualifier votre rôle. Fournisseur (vous mettez le système sur le marché sous votre nom) ou déployeur (vous l'utilisez en interne) ? 90 % des PME sont déployeurs et bénéficient d'obligations plus légères.
  3. Classer chaque système. Hors champ, transparence, haut risque. Pour les cas haut risque, tester chaque exemption Article 6(3) et documenter la décision.
  4. Mettre à jour les contrats fournisseurs. Vos DPA OpenAI, Microsoft, Anthropic ou Mistral doivent référencer l'AI Act et préciser les engagements du fournisseur sur la documentation technique.
  5. Former l'équipe. Obligation depuis février 2025 : l'Article 4 impose un niveau « suffisant de littératie IA » au personnel. Une demi-journée par usage suffit pour la plupart des fonctions support.
  6. Documenter pour 10 ans. Les analyses de classification, les exemptions revendiquées et les preuves de formation doivent être conservées.

AI Act et RGPD : ne pas refaire deux fois le même travail

La majorité des PME ont déjà investi sur le RGPD entre 2018 et 2022. Bonne nouvelle : l'AI Act ne remplace pas le RGPD, il s'empile dessus. Votre registre de traitements RGPD couvre une partie de la cartographie AI Act ; vos AIPD sur les systèmes à risque élevé constituent un socle pour l'analyse d'impact AI Act ; votre DPO peut endosser le rôle d'AI compliance lead pour les structures sous 50 salariés.

Le piège : croire que la conformité RGPD suffit. L'AI Act adresse des risques que le RGPD n'a jamais regardés — la robustesse technique, la supervision humaine, la précision des sorties, l'absence de biais. Un ATS de tri de CV peut être parfaitement RGPD et parfaitement non conforme AI Act.

Quels usages IA en PME passent en simple auto-évaluation

D'après les études récentes de la Commission, plus de 80 % des PME européennes utilisent au moins un outil d'IA, mais moins de 5 % déploient un système classé haut risque. Les usages qui s'en sortent en auto-évaluation simple :

  • Génération de contenu marketing avec Jasper ou ChatGPT (transparence à afficher si publication en ligne)
  • Chatbot de service client sur des questions transactionnelles
  • Résumé automatique de réunion (avec consentement des participants)
  • Automatisation no-code dans Make ou Zapier sur des workflows internes
  • Recherche augmentée type Perplexity pour la veille
  • Assistance à la rédaction commerciale, devis, propositions

Restent dans le périmètre haut risque, sans ambiguïté : les outils de tri de candidatures, les agents de scoring crédit, les systèmes d'évaluation continue des salariés, les IA biométriques d'identification, et les modèles qui décident d'attribuer ou refuser une prestation sociale ou un service essentiel.

Avant le 23 juin : participer ou se positionner

Deux trajectoires possibles d'ici le 23 juin. Si votre PME édite un outil IA ou si elle déploie un cas d'usage sensible (RH, finance, santé, éducation), il y a un intérêt direct à contribuer à la consultation officielle via le questionnaire EU Survey. La Commission y consigne tous les cas-limites remontés du terrain, et les guidelines finales s'inspirent largement des retours métiers.

Si vous êtes déployeur d'outils standards (ChatGPT, Claude, Copilot, Notion AI), la priorité n'est pas la consultation mais la cartographie. Une journée d'audit avec un consultant ou un cabinet sensibilisé, et vous obtenez une matrice qui montre noir sur blanc où vous tombez. Coût observé sur le marché français : entre 1 800 € et 4 500 € pour une PME de 20 à 100 personnes selon la complexité du SI.

Notre lecture : l'AI Act n'est pas le mur que les éditeurs vous vendent

Une partie de l'écosystème conseil français a un intérêt à dramatiser. Pourtant la lecture honnête des guidelines du 19 mai donne l'image inverse : Bruxelles cherche à extraire du périmètre la masse des usages bureautiques, productifs et marketing qui ne menacent pas les droits fondamentaux. Article 6(3) est conçu pour ça. Le marquage « facilités pour les PME » a été élargi en mai 2026 par le Digital Omnibus aux entreprises de taille intermédiaire de moins de 750 salariés, avec documentation technique allégée et accès aux bacs à sable réglementaires.

Ce qu'il faut retenir : si votre PME n'embauche pas, ne note pas, ne crédite pas et ne biométrise pas, vous êtes très probablement hors haut risque. Mais cette conclusion doit être écrite, datée et rangée dans un dossier ouvert à inspection. C'est ce dossier — pas votre code — qui vous protège.

FAQ

Mon usage de ChatGPT en interne est-il un système « haut risque » au sens de l'AI Act ?
Non, dans la grande majorité des cas. Tant que ChatGPT sert à rédiger des emails, résumer des documents, brainstormer, coder ou répondre à des questions clients sur des aspects non décisionnels, vous êtes en transparence ou hors champ. Vous tombez en haut risque si vous utilisez le modèle pour décider une embauche, un crédit, une note d'élève ou une prestation sociale — et même dans ces cas, l'Article 6(3) peut rétablir l'exemption si l'humain garde la décision finale.
L'AI Act s'applique-t-il aux PME et freelances français ?
Oui, le règlement n'exonère personne par la taille. Mais le Digital Omnibus de mai 2026 a élargi les facilités PME aux entreprises de moins de 750 salariés : documentation technique allégée, accès aux bacs à sable réglementaires nationaux, support gratuit du futur AI Office. Pour la plupart des freelances, la conformité tient en deux pages : cartographie + mention de transparence sur les contenus générés par IA.
Quelles sont les quatre exemptions Article 6(3) en pratique ?
Une IA listée en Annexe III sort du périmètre haut risque si elle remplit l'un de ces quatre cas : 1) tâche procédurale étroite (catégoriser, reformater, dédupliquer) ; 2) amélioration d'un travail humain déjà fini ; 3) détection de motifs sans remplacement de l'humain ; 4) tâche préparatoire à une décision humaine. L'exemption ne joue jamais si le système profile des personnes physiques.
Quelle est la date limite pour participer à la consultation européenne ?
Le 23 juin 2026 à 22h CET. Les réponses passent uniquement par le questionnaire officiel EU Survey de la Commission. Les guidelines finales en tiendront compte pour la version qui s'imposera aux contrôles à partir d'août 2026 et de l'application complète Annexe III en décembre 2027.
Combien coûte une mise en conformité AI Act pour une PME ?
Pour une PME déployeuse (90 % des cas), le coût observé sur le marché français se situe entre 1 800 € et 4 500 € pour un audit + cartographie réalisés par un cabinet spécialisé. Comptez en interne 3 à 8 jours-homme par an pour maintenir la documentation. Les éditeurs vous facturant 20 000 € pour un « pack AI Act » d'une PME ne facturent pas votre conformité, ils facturent votre stress.
Partager
★ Pack PME · 49 €

Vous avez aimé cet article ? Allez plus loin.

Le pack qui complète la théorie : 30 prompts + workflows actionnables, pas un autre cours en ligne.

Découvrir le pack →
Vous aimerez aussi
Contrat SaaS IA et clauses essentielles pour PME en 2026
Guides 8 min

SaaS IA : 8 clauses à imposer avant de signer en PME

Avant le 2 août 2026, votre contrat SaaS IA doit couvrir 8 sujets précis. Sinon vous payez à la place du fournisseur.

30 mai 2026 Lire le guide →
Checklist de conformité AI Act posée sur un bureau avec un drapeau européen en arrière-plan
Guides 9 min

AI Act post-Omnibus : 79 jours pour mettre votre PME en règle

L'AI Omnibus du 7 mai 2026 repousse certaines échéances et étend les allègements PME. Checklist concrète pour être prêt le 2 août.

15 mai 2026 Lire le guide →
Chatbot d'entreprise affichant une erreur, symbole du risque juridique IA pour les PME
Guides 7 min

Quand votre IA se trompe, qui paie la facture ?

Un chatbot invente un prix, une IA hallucine une clause : c'est l'entreprise qui paie. Tour d'horizon du risque juridique et des garde-fous pour les PME.

23 juin 2026 Lire le guide →
Résumé vidéoen cours…