La Commission européenne publie ce 19 mai ses lignes directrices sur la classification des IA à haut risque. Avec 107 jours de retard sur le calendrier légal et un Omnibus qui vient de repousser les obligations de seize mois, autant dire que le timing est un art.
L'article 6 de l'AI Act oblige la Commission à fournir une liste d'exemples concrets de systèmes d'IA qui sont (ou ne sont pas) considérés comme « à haut risque ». L'échéance légale pour cette publication était le 2 février 2026. Bruxelles a livré la copie ce 19 mai, accompagnée d'une consultation ouverte aux parties prenantes jusqu'au 23 juin. Le document est découpé en trois sections téléchargeables sur la plateforme d'information unique de l'AI Act, et il détaille pour la première fois l'interprétation officielle de la Commission sur ce qui tombe (ou non) dans le périmètre des obligations les plus lourdes du règlement européen sur l'intelligence artificielle. Trois mois et demi de retard, donc. Mais au rythme de la mécanique bruxelloise, on a connu pire.
Huit domaines dans le viseur, et une trappe de sortie
Les lignes directrices distinguent deux grandes catégories de systèmes à haut risque, calquées sur la structure de l'article 6. La première concerne les IA intégrées dans des produits déjà soumis à la législation européenne de sécurité (l'Annexe I, pour les intimes) : dispositifs médicaux, jouets, machines industrielles, ascenseurs. La seconde vise huit domaines sensibles listés en Annexe III, et là, ça touche nettement plus de monde. Identification biométrique à distance, gestion d'infrastructures critiques (réseaux électriques, eau, gaz, trafic routier), éducation, emploi et gestion du personnel, accès aux services essentiels (crédit, assurance, prestations sociales), forces de l'ordre, contrôle aux frontières et administration de la justice.
En France, la liste percute des pans entiers de l'économie numérique. Le tri automatisé de CV, le scoring de crédit bancaire, la tarification assurantielle pilotée par algorithme, la notation automatisée dans l'enseignement supérieur : autant d'usages déjà bien installés chez les fournisseurs et déployeurs français, des fintechs aux grands groupes RH. L'écosystème IA hexagonal compte plus de 1 100 startups (premier d'Europe continentale en volume, selon France Digitale), et une part significative d'entre elles opère précisément dans les huit domaines de l'Annexe III. Autant le dire clairement : beaucoup d'entreprises sont concernées sans forcément le savoir.
Le passage le plus attendu par l'industrie se trouve dans l'article 6(3), qui prévoit une échappatoire (le mot est un peu fort, mais c'est l'idée). Un système listé en Annexe III n'est pas classé haut risque s'il remplit simultanément trois conditions : il effectue une tâche procédurale étroite ou préparatoire, il ne profile pas de personnes physiques, et il ne pose pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux. En clair, un outil qui extrait des mots-clés d'un CV sans classer les candidats pourrait passer entre les mailles. Un outil qui les classe et les note, non. Les lignes directrices fournissent des exemples pratiques pour tracer cette frontière, et c'est précisément ce que les juristes et les DPO attendaient depuis des mois.
Le mode d'emploi arrive après le report de l'examen
Le calendrier mérite qu'on s'y attarde, parce qu'il raconte une histoire assez savoureuse. L'accord Omnibus du 7 mai a repoussé l'application des obligations pour les systèmes haut risque autonomes (Annexe III) du 2 août 2026 au 2 décembre 2027, soit seize mois de sursis. Pour les systèmes intégrés dans des produits régulés (Annexe I), la nouvelle échéance glisse au 2 août 2028. L'Omnibus attend encore son adoption formelle par le Parlement et le Conseil (prévue avant le 2 août, date à laquelle les obligations originales s'appliqueraient sans lui). Bref, la Commission demande aujourd'hui aux entreprises leur avis sur la classification des IA à haut risque alors même que l'échéance de mise en conformité vient de reculer d'un an et demi. Le sens du timing est remarquable.
Côté institutionnel français, la CNIL a été désignée autorité de référence pour l'application de l'AI Act, après le vote du projet de loi DDADUE volet numérique au Sénat en février 2026. L'architecture de contrôle concrète (qui surveille quoi, comment, avec quels moyens) reste en cours de construction. Les entreprises françaises disposent donc à la fois de la clarification juridique qu'elles réclamaient et du temps qu'elles n'espéraient plus. Les lignes directrices ne sont pas contraignantes (seule la Cour de justice de l'UE peut trancher en dernier ressort), mais elles constituent la boussole la plus précise disponible pour arbitrer les investissements de conformité dès maintenant.
