Annexe III AI Act : les 8 catégories de systèmes IA haut risque en PME
Mis à jour le 15 mai 2026 · 10 min de lecture · Sources : règlement UE 2024/1689, CNIL, AI Office
L'Annexe III est probablement la liste la plus importante à connaître pour une PME qui utilise de l'IA. C'est elle qui identifie les huit grandes catégories de systèmes considérés comme haut risque au sens du règlement UE 2024/1689. En pratique, elle sert de filtre : tant que vous n'avez pas comparé vos usages métier à cette liste, vous ne savez pas vraiment si vous êtes dans une zone de simple transparence ou dans un champ réglementaire beaucoup plus exigeant.
Le sujet n'est pas théorique. Les PME utilisent déjà des outils de tri de CV, de scoring, de reconnaissance biométrique, d'analyse de dossiers, de recommandation ou d'aide à la décision dans des processus sensibles. Le risque n'est pas seulement juridique. Il touche aussi la qualité des décisions, la relation client, l'acceptabilité sociale et la capacité à répondre à une revue fournisseur ou à une demande d'autorité.
À J-80, comprendre l'Annexe III permet de répondre à la seule question qui compte : "notre outil est-il concerné, et si oui, quelles preuves devons-nous préparer avant août 2026 ?".
Les 8 catégories de systèmes haut risque avec exemples PME
Catégorie 1
Biométrie : reconnaissance faciale, contrôle d'accès par empreinte, vérification d'identité biométrique. Pour une PME, le sujet apparaît vite dans la sûreté, le contrôle d'accès ou des solutions de vérification à distance.
Catégorie 2
Infrastructures critiques : IA pour gérer l'énergie, l'eau, les flux logistiques ou des systèmes industriels essentiels. Une PME industrielle ou de services techniques peut être concernée dès lors que l'outil influence la continuité d'un service critique.
Catégorie 3
Éducation et formation : outils de notation automatique, classement de candidats à une formation, évaluation algorithmique de compétences. Les PME de formation professionnelle et d'edtech doivent regarder cette catégorie de près.
Catégorie 4
Emploi et RH : CV screening, chatbot RH, évaluation de performance, recommandation de mobilité interne. C'est la catégorie la plus fréquemment rencontrée dans les PME.
Catégorie 5
Services essentiels : scoring crédit, évaluation assurance, priorisation d'accès à certains services. Les fintechs, courtiers, assurbanques et plateformes de services sont directement exposés.
Catégorie 6
Application de la loi : analyse de risque, support à des enquêtes, outils de détection. Cette catégorie concerne rarement une PME, sauf sous-traitance spécialisée ou technologie vendue au secteur public.
Catégorie 7
Migration et asile : traitement de demandes, vérification documentaire ou évaluation de dossiers. Là encore, les PME sont rarement en première ligne, mais certains intégrateurs peuvent l'être.
Catégorie 8
Justice et démocratie : aide à la décision judiciaire, outils liés à l'administration de la justice. C'est la catégorie la moins courante en PME, mais elle rappelle que l'Annexe III raisonne par impact sociétal majeur.
Tableau pratique : mon outil est-il concerné ?
| Outil ou usage | Probable statut | Pourquoi |
|---|---|---|
| Chatbot RH de présélection | Haut risque | Catégorie emploi / RH |
| Reconnaissance faciale accès site | À analyser de près | Catégorie biométrie |
| Copilote rédaction marketing | Pas haut risque en principe | Usage non listé à l'Annexe III |
| Scoring de solvabilité | Haut risque | Services essentiels |
| FAQ support client | Risque limité ou minimal | Sauf effet décisionnel significatif |
J-80 avant l'échéance AI Act
Évaluez votre conformité en 10 minutes avec notre Quick Check gratuit.
Commencer l'évaluation gratuite →Digital Omnibus et seuil 750 salariés : ce qui change, ce qui ne change pas
L'accord politique du 7 mai 2026 prévoit d'étendre certaines simplifications aux structures allant jusqu'à 750 salariés et de réduire la charge documentaire pour les micro-entreprises. Pour les PME, c'est un signal fort : la conformité doit devenir plus accessible et plus proportionnée.
Mais l'Annexe III, elle, ne disparaît pas. Les huit catégories restent le cœur de l'identification du haut risque. Si votre outil entre dans une de ces catégories, vous devez continuer à documenter l'usage, le rôle de déployeur, la surveillance humaine, l'évaluation des risques et les interactions avec le fournisseur. La simplification éventuelle porte sur le chemin, pas sur le diagnostic initial.
Concrètement, cela signifie que la meilleure façon de bénéficier du contexte de simplification est d'avoir déjà qualifié vos usages. Une PME qui sait quels outils relèvent ou non de l'Annexe III pourra adapter plus facilement son niveau de documentation finale.
Ce qui n'est pas haut risque et comment éviter les faux positifs
Tous les usages IA ne doivent pas être dramatisés. Un copilote rédactionnel, une assistance à la synthèse interne, un moteur de recherche documentaire ou un chatbot de support non décisionnel ne sont pas automatiquement haut risque. Les traiter comme tels crée une inflation documentaire inutile et détourne les équipes des sujets vraiment critiques.
Le bon test consiste à regarder la finalité réelle. L'outil influence-t-il l'accès à un emploi, à un crédit, à un service essentiel, à une note, à un droit ou à une évaluation sensible ? Traite-t-il de la biométrie ou soutient-il une infrastructure critique ? Si la réponse est non, vous êtes probablement hors Annexe III, même si d'autres règles, comme la transparence ou le RGPD, restent applicables.
En résumé, l'Annexe III n'est pas faite pour paniquer les PME. Elle est là pour trier vite et bien. Savoir dire "cet outil est concerné" ou "cet outil ne l'est pas" est déjà l'un des gains les plus précieux d'un audit AI Act.
Méthode rapide de qualification en 4 questions
Pour qualifier un outil, posez d'abord la question de la finalité : influence-t-il l'accès à un emploi, un service essentiel, une note, une identité ou une décision publique ? Ensuite, regardez qui est affecté : candidats, salariés, clients, assurés, usagers, personnes surveillées. Troisième question : y a-t-il une intervention humaine réelle ou l'outil impose-t-il en pratique sa recommandation ? Enfin, demandez-vous si l'usage correspond à une catégorie explicitement citée par l'Annexe III.
Si vous répondez oui à plusieurs de ces questions, vous n'avez probablement pas besoin d'un débat théorique supplémentaire : vous avez besoin d'un audit ciblé. Cette méthode est particulièrement utile pour les dirigeants de PME qui doivent arbitrer vite entre des outils très différents. Elle évite de noyer l'équipe dans une lecture purement juridique et la ramène à l'usage réel.
C'est aussi une bonne manière de dialoguer avec les fournisseurs. Au lieu de demander de façon abstraite "êtes-vous conformes à l'AI Act ?", vous pouvez poser des questions opérationnelles : dans quelle catégorie vous situez-vous, quelle documentation fournissez-vous, quelle supervision recommandez-vous, et quels cas d'usage déconseillez-vous ? La qualité des réponses obtenues est souvent le meilleur indicateur du niveau de maturité du prestataire.
Questions fréquentes
Tous les outils IA utilisés en PME sont-ils haut risque ?
Non. Beaucoup d'usages relèvent d'un risque minimal ou d'obligations de transparence seulement. L'Annexe III cible des contextes précis où l'impact sur les personnes et la société est considéré comme particulièrement élevé.
Un outil RH SaaS acheté sur étagère peut-il entrer dans l'Annexe III ?
Oui. Le fait que l'outil soit standard ou fourni par un tiers ne change pas la qualification si l'usage réel touche au recrutement, à l'évaluation ou à la gestion des travailleurs.
Que change le Digital Omnibus pour les PME ?
Il annonce une simplification documentaire et une extension des mesures PME jusqu'à 750 salariés, mais il ne retire pas les catégories de l'Annexe III. Il modifie surtout la manière d'accéder à la conformité, pas la nécessité de qualifier les usages.
Que faire si je ne sais pas si mon outil est concerné ?
Commencez par documenter sa finalité, les personnes concernées, la décision influencée et le niveau de contrôle humain. Cette fiche d'usage permet en général de trancher rapidement ou d'identifier les zones à expertiser.
Sources
- Règlement UE 2024/1689 (JOUE L 2024/1689), Annexe III
- CNIL - IA, risques et traitement des données
- European AI Office - classification et gouvernance
- Accord politique Digital Omnibus du 7 mai 2026
Prêt à évaluer votre conformité AI Act ?
10 minutes · Gratuit · Rapport personnalisé immédiat
Démarrer l'évaluation gratuite →Audit complet PDF 16 pages disponible à 199€