AI Act – Annexe III: passer au haut risque sans se tromper

Résumé: Les systèmes d’IA “à haut risque” (Annexe III) déclenchent des obligations lourdes: gestion des risques, documentation Annexe IV (art. 11), journalisation (art. 12), supervision humaine (art. 14), marquage CE (art. 48). Voici comment décider si vous êtes en Annexe III et quoi mettre dans votre dossier, au Luxembourg, en mai 2026.

La règle générale

Le règlement (UE) 2024/1689 “AI Act” classe certains systèmes comme “à haut risque” selon l’article 6 et l’Annexe III (ex. recrutement, notation de crédit, accès à des services essentiels, éducation/examens, biométrie, justice et maintien de l’ordre, gestion d’infrastructures critiques). Ce classement déclenche des exigences techniques et organisationnelles précises: système de gestion des risques (art. 9), gouvernance des données (art. 10), journalisation (art. 12), transparence et instructions d’utilisation (art. 13), supervision humaine (art. 14), exactitude/robustesse/cybersécurité (art. 15), système de management de la qualité (art. 17), documentation technique conforme à l’Annexe IV (art. 11), évaluation de conformité (art. 43 s.), déclaration UE de conformité (art. 47) et marquage CE (art. 48). Texte officiel: Règlement (UE) 2024/1689, JO du 12.07.2024, CELEX 32024R1689 (Publications Office). Voir aussi les fiches articles de la Commission: art. 9, 10, 12, 14, 17, 47, 48 sur l’AI Act Service Desk.

• Règlement (UE) 2024/1689 (AI Act), Publications Office.
• Art. 9 gestion des risques; art. 10 gouvernance des données; art. 12 tenue de registres; art. 14 supervision humaine; art. 17 SMQ; art. 47 déclaration UE; art. 48 marquage CE (AI Act Service Desk):
  • Article 9
  • Article 10
  • Article 12
  • Article 14
  • Article 17
  • Article 11 + Annexe IV
  • Article 47
  • Article 48

Calendrier au 9 mai 2026: l’AI Act est entré en vigueur le 1 août 2024. La Commission indique un phasage d’application, avec des dates spécifiques pour les systèmes à haut risque (Annexe III) et une possible adaptation via le “Digital Omnibus” liée à la disponibilité des normes harmonisées. La page “Standardisation” de la Commission et sa FAQ précisent ces jalons et l’art. 113 (entrée en vigueur et application). Un report conditionnel des règles “haut risque” Annexe III vers fin 2027 est discuté; l’EDPB et l’EDPS l’ont commenté dans leur Avis conjoint 1/2026. En pratique, anticipez une exigence de conformité structurée dès 2026, tout en suivant les annonces officielles.

• Commission, Navigating the AI Act (FAQ) et Standardisation/Calendrier.
• EDPB/EDPS, Avis conjoint 1/2026.

Ce que dit le régulateur

• Commission européenne (texte contraignant): l’Annexe III “référencée à l’art. 6(2)” liste les domaines de haut risque; l’art. 11 impose une documentation technique détaillée (Annexe IV) avant mise sur le marché/mise en service; l’art. 47 exige une déclaration UE de conformité; l’art. 48 impose le marquage CE pour les systèmes à haut risque conformes. Références: Règlement (UE) 2024/1689 (Publications Office) ; art. 11/Annexe IV, art. 47, art. 48 (AI Act Service Desk.
• Commission (FAQ/standardisation): la classification est fondée sur l’objectif prévu et renvoie à des exigences “risk management, data quality, documentation & traceability, transparency, human oversight, accuracy/robustness/cybersecurity”. Référence: Navigating the AI Act (Commission).
• CNPD (Luxembourg): la CNPD a publié des dossiers thématiques IA et un avis sur le projet de loi n° 8476 transposant/organisant des aspects nationaux de l’AI Act. Elle rappelle que, même en dehors de son rôle spécifique dans l’AI Act, les déploiements impliquant des données personnelles restent soumis au RGPD et peuvent faire l’objet de plaintes/enquêtes. Références: CNPD – Dossier thématique IA; “Systèmes d’IA prohibés”; Avis CNPD sur PL 8476.
• EDPB/EDPS: dans l’Avis conjoint 1/2026 (Digital Omnibus), les autorités soulignent les risques d’un report généralisé des obligations “haut risque” et rappellent l’articulation avec les droits fondamentaux et la protection des données. Référence: EDPB/EDPS Joint Opinion 1/2026.

Comment l’appliquer en pratique

Étape 1 – Cartographier vos cas d’usage et décider “Annexe III ou pas”

• Identifiez si votre système relève d’un des blocs de l’Annexe III (p.ex. recrutement/gestion du parcours pro, scoring de crédit/assurance, triage à l’hôpital, proctoring d’examens, gestion d’infrastructures critiques, biométrie). Basez-vous sur l’objectif prévu, la population affectée et les effets juridiques/équivalents.
• Appliquez le test d’exemption de l’art. 6(3): même listé en Annexe III, un système n’est pas “haut risque” s’il ne génère pas de risque significatif pour la santé/sécurité/droits fondamentaux. Documentez cette analyse.

Réf.: Règlement (UE) 2024/1689; FAQ Commission.

Exemple: un ATS luxembourgeois qui “note” les CV et filtre les candidats pour des postes en banque relève a priori de l’Annexe III (emploi). S’il n’envoie jamais de rejet automatisé et ne décide pas sans vérification humaine significative, il restera tout de même dans le champ “haut risque” dès lors que la sortie influence la sélection. Documentez l’évaluation art. 6 et vos garde-fous de supervision (art. 14).

Réfs.: Navigating the AI Act; art. 14 (AI Act Service Desk).

Étape 2 – Monter le dossier de conformité (avant mise sur le marché/mise en service)

• Système de gestion des risques (art. 9): cycle itératif couvrant conception → tests → déploiement → surveillance post‑marché; scénarios d’usage/mésusage raisonnablement prévisible, évaluation des biais/erreurs et mesures d’atténuation.
• Gouvernance des données (art. 10): qualité, pertinence et représentativité des jeux d’entraînement/validation/test; procédures de nettoyage/annotation; suivi des biais; traçabilité des sources.
• Journalisation (art. 12): capacités de logs adaptées à l’objectif; p.ex. pour l’ATS: identifiants d’exécution, version du modèle, entrées pertinentes, scores/explications, actions humaines, horodatages.
• Supervision humaine (art. 14): définissez les points de contrôle, critères de déclenchement d’un examen humain, possibilité d’annuler ou corriger la décision, formation des opérateurs.
• SMQ (art. 17): politique qualité IA, rôles, procédures de validation/évolution de modèles, contrôle des changements, gestion des incidents graves.
• Documentation technique Annexe IV (art. 11): description du système, objectif prévu, architecture, données, métriques de performance/robustesse, gestion des risques, résultats des tests, instructions d’utilisation, limites connues.
• Évaluation de conformité (chap. IV) et Déclaration UE (art. 47), puis marquage CE (art. 48).

Réfs.: AI Act Service Desk – art. 9, 10, 12, 14, 17, 11/Annexe IV, 47, 48.

Étape 3 – Pendant l’utilisation (déployeur)

• Utilisez le système selon les instructions d’utilisation du fournisseur; si vous fournissez les données d’entrée (ex. données RH ou bancaires), assurez leur qualité/représentativité (la FAQ Commission le rappelle).
• Mettez en place la surveillance post‑marché, la gestion des incidents graves et la tenue de registres continus.

Réf.: Navigating the AI Act (Commission).

Étape 4 – Après la mise en marché (cycle de vie et audits)

• Conservez la déclaration UE pendant 10 ans (art. 47) et tenez la documentation à jour (art. 11 + Annexe IV). Toute évolution “significative” du modèle peut exiger une réévaluation de conformité.
• Préparez-vous au contrôle de l’autorité compétente nationale et/ou du marché (en LU, la CNPD intervient dès qu’il y a données personnelles et droit national applicable; d’autres autorités sectorielles peuvent être désignées par la loi de mise en œuvre).

Réfs.: art. 47 (AI Act Service Desk); CNPD – dossiers IA et avis PL 8476.

Pièges fréquents

1. Se limiter au “binaire Annexe III oui/non” sans appliquer l’art. 6(3). Beaucoup de projets tentent d’“échapper” à l’Annexe III en minimisant la portée; il faut une analyse écrite, structurée et motivée du risque significatif. Réf.: Règlement (UE) 2024/1689; FAQ Commission.
2. Dossier Annexe IV incomplet. Les autorités attendent une traçabilité bout‑en‑bout (données, entraînement, versioning, tests, limites connues, mesures de supervision). Un “whitepaper” marketing ne remplace pas l’Annexe IV. Réf.: art. 11 et Annexe IV (AI Act Service Desk).
3. Confusion “fournisseur/déployeur”. Les obligations diffèrent. Au Luxembourg, de nombreux groupes sont à la fois éditeurs internes (fournisseurs) et utilisateurs (déployeurs). Cartographiez vos rôles par système. Réf.: Navigating the AI Act (Commission).
4. Oublier la gouvernance des données d’entrée côté déployeur. Si vous alimentez un système à haut risque (p.ex. scores de crédit), la qualité/pertinence/représentativité des données d’entrée vous incombe aussi opérationnellement. Réf.: Navigating the AI Act (Commission); art. 10 (AI Act Service Desk).
5. Sous‑estimer le marquage CE et la déclaration UE. Le marquage CE (art. 48) n’est pas une formalité graphique: il atteste la conformité aux exigences de la section “haut risque”. Sans cela, la mise sur le marché est à risque de blocage/retrait. Réf.: art. 47 et 48 (AI Act Service Desk).
6. Ignorer l’articulation RGPD. L’AI Act n’écarte pas le RGPD (bases légales, art. 6, art. 9 si données sensibles; droits art. 15‑22; décision automatisée art. 22). La CNPD rappelle que les déploiements impliquant des données personnelles restent contrôlables au titre du RGPD. Réfs.: CNPD – dossier IA; EDPB/EDPS 1/2026.

Sources officielles

• Règlement (UE) 2024/1689 (AI Act), JO L 12.07.2024, CELEX 32024R1689 – Publications Office.
• Commission européenne – AI Act Service Desk (texte officiel par article):
  • Art. 9 (gestion des risques)
  • Art. 10 (données/gouvernance)
  • Art. 12 (journalisation)
  • Art. 14 (supervision humaine)
  • Art. 17 (SMQ)
  • Art. 11 + Annexe IV (documentation technique)
  • Art. 47 (déclaration UE)
  • Art. 48 (marquage CE)
• Commission européenne – Navigating the AI Act (FAQ)
• Commission européenne – Standardisation/Calendrier AI Act
• EDPB/EDPS – Avis conjoint 1/2026 sur le “Digital Omnibus”
• CNPD (Luxembourg) – Dossier thématique “Intelligence artificielle” et note sur systèmes d’IA prohibés:
  • Portail IA (intro)
  • Systèmes d’IA prohibés
  • Avis CNPD sur PL 8476

Remarque calendrier (au 9 mai 2026): l’application initiale des obligations “haut risque” Annexe III autour du 2 août 2026 fait l’objet d’un ajustement législatif proposé (Digital Omnibus) conditionné notamment à la disponibilité de normes harmonisées; l’EDPB/EDPS a formellement commenté ces reports potentiels. Suivez les mises à jour officielles de la Commission et de la CNPD pour vos jalons internes.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.