Le piège classique
L'Annexe III est la liste qui requalifie votre projet IA. Beaucoup d'organisations deploient un outil de tri de CV, un score de crédit, un système de détection de triche en examen ou une camera de reconnaissance d'emotions en pensant être dans un cas d'usage banal. Des qu'un cas tombe dans un des 8 domaines de l'Annexe III, le système bascule en haut risque et déclenche l'intégralité du chapitre III (gestion des risques, qualité des données, documentation technique, journalisation, transparence, supervision humaine, robustesse, enregistrement dans la base UE). L'EU AI Office et la CNPD pour le volet données personnelles regarderont d'abord cette qualification avant tout le reste.
La grille de qualification Annexe III : les 8 domaines a auditer chez vous
- Biometrie : identification a distance, categorisation sur attributs sensibles, reconnaissance d'emotions (la vérification 1:1 d'identité n'est PAS visée).
- Infrastructures critiques : composants de sécurité pour eau, gaz, electricite, chauffage, trafic routier, infrastructure numérique critique.
- éducation et formation : accès, admission, évaluation des acquis, orientation, surveillance d'examens.
- Emploi et RH : recrutement, tri de candidatures, décisions de promotion ou licenciement, allocation de taches, évaluation de performance.
- Services essentiels : eligibilite aux prestations sociales, scoring de crédit (hors détection de fraude), tarification assurance vie et santé, dispatching d'appels d'urgence.
- Repression : évaluation du risque de victimisation, polygraphes, fiabilite des preuves, risque de recidive, profilage au sens de la directive 2016/680.
- Migration, asile, frontières : évaluation de risques migratoires, examen de demandes d'asile et de visa.
- Justice et processus democratiques : aide a la décision judiciaire, influence sur les elections.
Les pièges concrets de qualification
Trois erreurs frequentes : penser qu'un chatbot RH est neutre alors qu'il filtre les candidatures (Annexe III.4.a) ; croire qu'un outil d'antifraude bancaire échappe a l'Annexe III alors qu'il sert aussi a refuser un crédit (bascule en III.5.b) ; deployer un outil de proctoring universitaire en SaaS sans réaliser qu'il s'agit de surveillance d'examen (III.3.d). La derogation de l'article 6(3) (tache préparatoire, amelioration mineure, pas d'influence sur la décision finale) est etroite et doit être documentee avant mise sur le marché, pas après un contrôle.
Comment Luxgap automatise ce risque
Notre Luxgap AI Risk Classifier elimine la zone grise de qualification Annexe III en quelques heures, la ou les cabinets traditionnels facturent des semaines d'analyse juridique. L'outil combine un agent LLM spécialisé entraine sur l'intégralité du AI Act, des Q&A de l'EU AI Office et des guidelines EDPB, avec des connecteurs natifs vers votre cartographie SI (Azure AI Foundry, AWS Bedrock, Vertex AI, Hugging Face, registres Odoo et ServiceNow) pour aller chercher tout seul vos systèmes d'IA reels et non ceux declares.
- Scanne automatiquement vos environnements cloud et SaaS pour détecter les modèles IA en production (Azure OpenAI, Bedrock, Vertex, Mistral, Anthropic, modèles internes) et reconstitue leur cas d'usage metier reel via les logs d'appel.
- Classifie chaque système selon les 4 niveaux du AI Act (interdit, haut risque Annexe III, transparence, risque minimal) en argumentant chaque qualification avec citation de l'article et du considérant.
- Teste automatiquement la derogation article 6(3) en posant les 4 questions clés (tache préparatoire, amelioration de résultat humain, détection de patterns sans influence décisionnelle, exception profilage) et genere la documentation de non-applicabilite opposable.
- Detecte les bascules silencieuses : un chatbot interne qui devient outil RH, un detecteur antifraude qui sert au scoring crédit, un dashboard analytique qui finit en outil de décision automatisée.
- Genere le dossier de conformité Annexe IV (documentation technique) pre-rempli pour chaque système qualifié haut risque, avec lien vers la base de données UE de l'article 71.
- Produit un rapport PDF horodate, cryptographiquement scelle, opposable a l'EU AI Office et a la CNPD lors d'un contrôle.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes d'IA reels, avec un audit blanc gratuit sous 48h pour qualifier votre exposition Annexe III avant tout engagement.