Blog
Conformité RGPD et bonnes pratiques

Les IA à haut risque selon l’AI Act : comment les identifier ?

Contrairement aux systèmes interdits, les IA à haut risque définies par l'AI Act (recrutement automatisé, services publics, biométrie) sont autorisées, mais soumises à des obligations strictes. Identifier, documenter et sécuriser chaque cas d'usage est désormais obligatoire pour constituer un dossier de conformité robuste.

Par
Anne-Angélique de Tourtier
1
Min
Partagez cet article
Tête humaine Intelligence artificielle

Après avoir exploré les IA interdites dans notre premier article, il est temps de s’intéresser aux IA à haut risque. L’AI Act, entré en vigueur le 1er août 2024, distingue les systèmes à haut risque car leur usage peut avoir un impact important sur les droits fondamentaux ou la sécurité des personnes.

Ces systèmes ne sont pas interdits, mais ils sont soumis à des obligations strictes. La mise sur le marché ou l’utilisation de ces IA exige de répondre à un ensemble d'obligations que nous centralisons au sein d’un dossier de conformité, de suivre des procédures de contrôle et de documenter les cas d’usage.

Qu'est-ce qu'une IA à haut risque ? Exemples et définition

Pour comprendre ce qui relève du haut risque, posez-vous la question : « Mon IA peut-elle affecter des droits fondamentaux, la sécurité, ou la vie privée de manière significative ? ».

Chaque usage doit être évalué selon l’impact potentiel, l’exposition des personnes et la criticité des décisions automatisées.

Systèmes de recrutement automatisé

Les systèmes de recrutement automatisé qui évaluent et trient des candidats à grande échelle, pouvant induire des biais discriminatoires.

IA utilisées dans les services publics

Les IA utilisées dans les services publics, comme l’octroi de prestations sociales ou la gestion de l’accès aux aides, où une erreur peut avoir un impact direct sur les droits des citoyens.

Outils d’authentification biométrique

Les outils d’authentification biométrique ou de contrôle d’accès dans les entreprises et administrations, où toute défaillance ou biais peut compromettre la sécurité et la confidentialité des données.

Modèles à usage général dans certains secteurs

Les modèles à usage général dans certains secteurs, comme la santé ou la finance, lorsqu’ils servent à produire des diagnostics, recommandations financières ou documents officiels.

Rôles et responsabilités selon l’AI Act

Le règlement distingue clairement les acteurs et leurs responsabilités :

Fournisseur

  • Vous développez ou vous faîtes développer un SIA et le mettez sur le marché ou le mettez en service sous votre propre nom ou votre propre marque, à titre onéreux ou gratuit
  • Vous commercialisez sous votre propre nom ou votre propre marque un SIA à risque élevé déjà mis sur le marché ou mis en service
  • Vous apportez une modification substantielle à un SIA à risque élevé qui a déjà été mis sur le marché ou a déjà été mis en service de telle manière qu'il reste un SIA à risque élevé
  • Vous modifiez la destination d’un SIA, y compris d'un SIA à usage général, qui n'a pas été classé à risque élevé et a déjà été mis sur le marché ou mis en service de telle manière que le SIA concerné devient un SIA à risque élevé

Les fournisseurs doivent fournir toutes les informations nécessaires aux déployeurs pour démontrer la conformité du SIA et du ou des modèles sur lesquels il repose.

Déployeur

Vous utilisez un SIA dans le cadre d’une activité non personnelle à caractère professionnel.

Mandataire

Vous êtes situé ou établis dans l'UE et avez reçu et accepté un mandat écrit d’un fournisseur de SIA ou de modèle d'IA à usage général pour vous acquitter en son nom des obligations et des procédure établies.

Importateur

Vous êtes situé ou établis dans l'UE et mettez sur le marché un SIA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers.

Distributeur

Vous n’êtes ni fournisseur ni importateur mais vous mettez à disposition un SIA sur le marché de l’UE.

L’objectif est que chaque acteur connaisse ses responsabilités et puisse justifier ses décisions en cas de contrôle par les autorités.

Bonnes pratiques pour les IA à haut risque

Pour gérer vos SIA à haut risque :

  • Évaluer systématiquement chaque cas d’usage avant mise en service
  • Constituer un dossier de conformité IA complet et évolutif, incluant modèles, jeux de données, tests et mesures de mitigation
  • Mettre en place des mécanismes de suivi et de contrôle post-déploiement pour détecter et corriger rapidement tout biais ou anomalie
  • Assurer la transparence et la documentation des décisions pour faciliter audits et contrôles

L’objectif est de réduire les risques, tout en restant pleinement conforme à l’AI Act et aux obligations du RGPD dans le cas où certains jeux de données contiendraient des données personnelles.

Anticipation et clartés attendues : FRIA et RGPD

Les IA à haut risque ne sont pas interdites, mais leur déploiement exige rigueur et documentation. Certaines incertitudes subsistent, notamment sur les nouvelles applications génératives, la convergence avec les règles RGPD, et l’harmonisation entre états-membres.

En France, les acteurs attendent encore la publication complète de la méthodologie FRIA (Fundamental Rights Impact Assessment), qui permettra d’évaluer plus précisément le risque d’un système d’IA sur les libertés fondamentales, un peu comme une AIPD pour les données personnelles. Cette méthodologie devrait devenir un outil clé pour les déployeurs et fournisseurs afin de documenter et justifier leurs décisions.

Adequacy permet désormais de se conformer au AI Act, en centralisant vos cas d’usage, en définissant clairement vos rôles et obligations pour chaque système d’IA, pour chaque modèle, et en documentant votre dossier de conformité de manière structurée et opérationnelle. (Demandez une démo !)

FAQ - Questions fréquentes sur les IA à haut risque

Quelle est la différence entre IA interdite et IA à haut risque ?

Une IA interdite est jugée inacceptable pour les droits fondamentaux et doit être stoppée. Une IA à haut risque est autorisée, mais son impact potentiel élevé exige une série d’obligations strictes de documentation, de tests (avant et après déploiement) et un dossier de conformité complet.

Qui est responsable de la conformité d'une IA à haut risque ?

L'AI Act distingue clairement les rôles. Le fournisseur (celui qui met le SIA sur le marché) et le déployeur (celui qui l'utilise) ont des obligations spécifiques. Les mandataires, importateurs et distributeurs ont également des responsabilités définies.

Quelles sont les principales obligations des IA à haut risque ?

Elles comprennent la constitution d'un dossier de conformité IA rigoureux, des mécanismes de surveillance post-déploiement, une bonne gestion des jeux de données (qualité et sécurité) et une transparence accrue vis-à-vis des utilisateurs.

Les dernières actus

Conformité RGPD et bonnes pratiques

Les IA à risque limité par l’AI Act : transparence et bonnes pratiques

La catégorie des systèmes d’IA à risque limité selon l’AI Act vise à encadrer l’innovation tout en protégeant les utilisateurs. Ces systèmes ne représentent pas de danger critique pour les droits fondamentaux, mais leur usage est soumis à des obligations de transparence strictes. L'article détaille comment les professionnels (fournisseurs et déployeurs) doivent garantir la traçabilité et l'information des utilisateurs, notamment par une documentation rigoureuse et une surveillance légère, des principes essentiels pour la conformité AI Act au sein des organisations.

Anne-Angélique de Tourtier
Conformité RGPD et bonnes pratiques

Intérêt légitime RGPD : sécurisez vos traitements de données personnelles

L'intérêt légitime RGPD est un fondement clé pour le traitement de données personnelles, mais il impose un test d'intérêt légitime rigoureux. Pour sécuriser vos opérations et éviter les sanctions, vous devez garantir la nécessité du traitement, la transparence et le respect du droit d'opposition. Découvrez dans cet article les exigences de conformité et les bonnes pratiques pour maîtriser ce pilier du RGPD avec des outils adaptés.

Guillemette Songy
Conformité RGPD et bonnes pratiques

Rédiger une politique de confidentialité et des mentions d’information conformes au RGPD, claires, transparentes et accessibles à tous

Rédiger une politique de confidentialité conforme au RGPD est un passage essentiel pour inspirer confiance et assurer la transparence dans le traitement des données personnelles. Ce guide pratique explique comment concevoir des documents lisibles, accessibles et efficaces pour vos utilisateurs.

Anne-Angélique de Tourtier

Ils nous font confiance depuis des années

Utilisé par plus de 10 000 entités juridiques

Découvrez Adequacy

Un de nos experts vous présente comment Adequacy s’adapte à votre réalité terrain.
Demander un devis