Le piège classique
Le considérant 52 eclaire l'annexe III : un système d'IA autonome (non intégré comme composant de sécurité d'un produit) bascule en haut risque des qu'il opère dans un des domaines listes ET qu'il presente un risque eleve pour la santé, la sécurité ou les droits fondamentaux. Le piège classique : croire qu'un outil RH, un scoring crédit ou un triage médical est un simple SaaS de productivité, alors qu'il tombe automatiquement dans l'annexe III. L'EU AI Office et, pour le volet données personnelles, la CNPD luxembourgeoise, attendent une qualification motivee et documentee, pas une auto-declaration verbale.
La méthode de qualification que tout fournisseur ou deployeur doit tracer
Le considérant 52 impose implicitement une méthodologie reproductible de classification, car la Commission utilisera les mêmes critères pour faire evoluer l'annexe III via actes délégués. Concretement, pour chaque système d'IA dans votre parc :
- Identifier la destination (intended purpose) telle que documentee dans la notice et le marketing, pas l'usage théorique.
- Vérifier si le système entre dans un des huit domaines de l'annexe III (biometrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice et democratie).
- évaluer la gravité du préjudice potentiel (reversible / irréversible, individuel / collectif, discrimination systemique).
- évaluer la probabilité d'occurrence sur la base de données techniques (taux d'erreur, biais mesures, périmètre de deploiement).
- Conclure par une qualification motivee : haut risque, risque limite (art. 50) ou risque minimal.
- Reevaluer a chaque mise à jour substantielle du modèle ou changement d'usage, car l'article 6(3) prevoit des exceptions au haut risque qui peuvent disparaître.
Le test 'destination' versus 'usage reel' : la clé d'argumentation
Le considérant 52 raisonne sur la destination, pas sur l'usage marketing. Un même modèle LLM generaliste peut être haut risque chez un deployeur RH (tri de CV) et hors champ chez un deployeur marketing (generation de slogans). La qualification se fait par cas d'usage, pas par technologie. Cette distinction est decisive pour negocier avec vos fournisseurs : exigez d'eux une fiche de destination explicite, refusez les clauses vagues type 'usage general'.
Comment Luxgap automatise ce risque
Notre Luxgap AI Risk Classifier transforme la qualification AI Act d'un exercice juridique abstrait en une décision motivee, tracable et opposable a l'EU AI Office. L'outil scanne votre SI (Azure AI Foundry, AWS Bedrock, Google Vertex, OpenAI Enterprise, Hugging Face Spaces, Copilot M365, Salesforce Einstein) pour inventorier vos systèmes d'IA reels, puis applique automatiquement la méthodologie du considérant 52 pour proposer une classification motivee article par article.
- Detecte automatiquement chaque deploiement d'IA dans votre tenant Microsoft 365, vos workloads Azure / AWS / GCP et vos applications SaaS connectees, sans déclaration manuelle des metiers.
- Croise la destination declaree (extraite des contrats fournisseurs et fiches techniques) avec les huit domaines de l'annexe III pour determiner l'appartenance au haut risque.
- Calcule un score gravité x probabilité documente, base sur le taux d'erreur du modèle, la population impactee et la reversibilite du préjudice.
- Genere une fiche de qualification PDF horodatee et cryptographiquement scellee, prete a être produite a l'EU AI Office ou a la CNPD lors d'un contrôle.
- Alerte en temps reel via Teams ou Slack des qu'un nouveau modèle est deploye ou qu'une mise à jour substantielle modifie le profil de risque.
- Maintient une veille automatique sur les actes délégués de la Commission qui modifient l'annexe III et reclassifie votre parc en conséquence.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre parc d'IA reel, avec un audit blanc gratuit sous 48h pour cartographier vos systèmes haut risque avant tout engagement.
