Ce qui est vraiment à haut risque — et ce qui ne l'est pas
Votre équipe conformité veut interdire tout le RH et la prospection commerciale ? Voici ce que le texte dit réellement, cas d'usage par cas d'usage.
La peur du haut risque paralyse les entreprises.Des équipes conformité bien intentionnées sur-classifient systématiquement les cas d'usage IA — éliminant au passage le RH, la prospection, le scoring client, et parfois même les résumés de réunion.
Résultat : l'IA officielle est bloquée, et les collaborateurs passent par des comptes personnels — 1 200 apps non-officielles en moyenne par entreprise. La sur-classification ne protège pas. Elle crée du shadow AI.
Voici une analyse juridique précise, article par article, de ce qui est réellement à haut risque sous l'AI Act — et de ce qui ne l'est pas.
Testez votre cas d'usage avec notre simulateur de pré-qualification →
L'arbre de décision de l'article 6
Composant de sécurité d'un produit réglementé ? (Annexe I — dispositifs médicaux, machines, etc.) → Si oui + évaluation tierce requise = haut risque
Dans une des 8 catégories de l'Annexe III ? (biométrie, infra critique, éducation, emploi, services essentiels, police, migration, justice) → Si oui = haut risque par défaut
L'exemption Art. 6(3) s'applique-t-elle ? Le système remplit AU MOINS une condition :
- (a) Tâche procédurale étroite
- (b) Améliore un résultat humain déjà complété
- (c) Détecte des patterns sans influencer l'évaluation
- (d) Tâche préparatoire à une évaluation
Le verrou du profilage : Si le système effectue du profilage de personnes physiques (RGPD Art. 4(4)) — évaluation de la performance, fiabilité, comportement, situation économique — l'exemption est automatiquement bloquée. Pas de négociation.
RH & Recrutement — le domaine le plus sur-classifié
C'est le domaine qui fait le plus peur. Voici ce que le texte dit réellement :
| Cas d'usage | Risque | Base juridique |
|---|---|---|
| Tri de CV / scoring de candidats | HAUT | Annexe III 4(a) — explicitement listé. Profilage = pas d'exemption. |
| Analyse de sentiment des employés | HAUT | Annexe III 4(b) + potentiellement 1(c) (reconnaissance d'émotions) |
| Résumé de reviews de performance | GRIS | Si utilisé pour décisions promo/licenciement → haut risque (4b). Profilage = pas d'exemption. |
| Prévision d'attrition individuelle | HAUT | Profilage individuel sous 4(b). Pas d'exemption possible. |
| Rédaction de fiches de poste | MINIMAL | Génération de texte informatif. Pas de décision sur des personnes. |
| Planification de la masse salariale | MINIMAL | Données agrégées uniquement. Pas de profilage individuel. |
| Scheduling d'entretiens | MINIMAL | Tâche procédurale étroite — Art. 6(3)(a). N'évalue pas les candidats. |
Le point clé : tout ce qui évalue, classe ou score des candidats ou employés est haut risque. Tout ce qui génère du texte, planifie, ou agrège des données sans décision individuelle ne l'est pas. Le RH n'est pas interdit — il est encadré.
Prospection commerciale — le faux ennemi
| Cas d'usage | Risque | Analyse |
|---|---|---|
| Lead scoring B2B (entreprises) | MINIMAL | Scoring d'entreprises (données firmographiques). Pas de personnes physiques. |
| Emails sortants générés par IA | LIMITÉ | Art. 50 : transparence si l'email semble humain. Sinon minimal. |
| Segmentation client | MINIMAL | Marketing commercial. Pas d'accès à des services essentiels. |
| Prédiction de churn | MINIMAL | Rétention commerciale. Ne détermine pas l'accès à un service. |
| Enrichissement CRM | MINIMAL | Obligations RGPD (base légale) mais pas Annexe III. |
| Pricing assurance vie/santé | HAUT | Explicitement listé — Annexe III 5(c). |
La prospection commerciale B2B n'est quasiment jamais à haut risque.La ligne rouge : quand le scoring détermine l'accès à un service financier, une assurance, un logement ou un service de télécommunication (Considérant 58). Votre lead scoring Salesforce ? Minimal.
Opérations internes — presque tout est minimal
| Cas d'usage | Risque |
|---|---|
| Résumé de documents | MINIMAL |
| Notes de réunion / transcription | LIMITÉ |
| Q&A sur base de connaissances | LIMITÉ |
| Génération / revue de code | MINIMAL |
| Assistance reporting financier | MINIMAL |
| Revue de contrats (préparatoire) | MINIMAL |
| Traitement de factures | MINIMAL |
| Prévision budgétaire | MINIMAL |
“Limité”signifie uniquement des obligations de transparence (Art. 50) : informer les utilisateurs qu'ils interagissent avec une IA, ou que le contenu est généré par IA. Pas de conformité lourde.
Finance — la surprise de la détection de fraude
C'est l'une des surprises les plus méconnues du texte. La détection de fraude est explicitement excluedu haut risque. Si votre équipe conformité vous dit que votre système anti-fraude est haut risque sous l'AI Act, montrez-leur l'Annexe III 5(b).
Le test qui tranche : “influence matérielle”
La frontière entre “outil de productivité” et “système à haut risque” repose sur un concept clé de l'article 6(3) :
Le système influence-t-il matériellement le résultat d'une décision ?
Pas d'influence matérielle : l'IA fournit de l'information sans recommandation. L'humain décide librement.
Influence matérielle : l'IA recommande et l'humain suit quasi systématiquement, ou l'IA restreint les options (ex : shortlist de 10 CV sur 500).
Décision automatisée : l'IA décide seule. Clairement haut risque si dans un domaine Annexe III.
Le Considérant 57 confirme : les systèmes de recrutement sont haut risque car ils “peuvent avoir un impact appréciable sur les perspectives de carrière futures.” Un système qui shortliste 10 CV sur 500 a matériellement influencé la décision, même si un humain fait le choix final parmi les 10.
La matrice de pré-qualification
Pour chaque cas d'usage IA, évaluez ces 6 dimensions :
Domaine Annexe III
Le cas d'usage est-il dans une des 8 catégories ?
Personnes physiques
Le système traite-t-il des données ou prend-il des décisions sur des personnes physiques ?
Profilage
Le système évalue-t-il des aspects personnels (performance, fiabilité, comportement, situation économique) ? Si OUI → exemption Art. 6(3) bloquée.
Impact décisionnel
Le système influence-t-il matériellement une décision, ou fournit-il simplement de l'information ?
Rôle
Êtes-vous provider (développeur du système) ou deployer (utilisateur d'une API/SaaS) ?
Données
Données personnelles sensibles (Art. 9 RGPD), non-sensibles, ou pas de données personnelles ?
Nous avons construit un simulateur interactifqui croise ces dimensions pour vous donner une pré-qualification en 2 minutes. Ce n'est pas un avis juridique — c'est un outil de cadrage qui vous permet d'arriver chez votre DPO ou votre avocat avec les bonnes questions déjà formulées.
Ce qu'il faut retenir
~90% de vos cas d'usage IA sont en risque minimal ou limité. La grande majorité de ce que fait l'IA en entreprise — résumés, Q&A, génération de contenu, automatisation, reporting — n'a aucune obligation spécifique au-delà de la transparence.
Le RH n'est pas interdit — il est encadré. Le tri de CV est haut risque. La rédaction de fiches de poste ne l'est pas. Le scheduling ne l'est pas. La planification de la masse salariale agrégée ne l'est pas.
La prospection B2B est presque toujours en risque minimal. Sauf si votre scoring détermine l'accès à un service financier ou essentiel.
Le verrou du profilage est absolu. Si votre système évalue des aspects personnels de personnes physiques et qu'il est dans un domaine Annexe III, c'est haut risque — point. Pas d'exemption Art. 6(3) possible.
La sur-classification est le vrai risque. Elle ne vous protège pas — elle pousse vos collaborateurs vers le shadow AI, qui est infiniment plus dangereux qu'un cas d'usage bien encadré.
Sources juridiques : Art. 6 · Annexe III · Art. 14 · Art. 50 · Considérant 57 · Considérant 58 · CNIL Guide IA