Dans le cadre de l’AI Act européen, la classification est la première étape — et la plus déterminante. Le même modèle peut être non réglementé dans un usage et à haut risque dans un autre — le risque est attaché au cas d’usage, pas à l’algorithme. Ce guide vous propose un chemin de décision pratique. Pour le contexte général, les délais et les sanctions, commencez par l’AI Act pour les entreprises belges.
TL;DR — les quatre questions
- L’usage constitue-t-il une pratique interdite (Art. 5) ? → Stop. Le système ne peut pas être déployé.
- Est-il visé par l’Annexe III ou constitue-t-il un composant de sécurité d’un produit réglementé ? → Probablement à haut risque.
- Interagit-il avec des personnes ou génère-t-il du contenu ? → Risque limité (obligations de transparence).
- Aucune des situations ci-dessus ? → Risque minimal — aucune obligation obligatoire.
Étape 1 — S’agit-il d’une pratique interdite ? (Art. 5)
Une courte liste d’usages de l’IA est simplement interdite dans l’UE car considérée comme une menace manifeste pour les droits fondamentaux. Ces interdictions s’appliquent depuis le 2 février 2025. Elles comprennent :
- Les techniques subliminales, manipulatrices ou trompeuses qui altèrent matériellement le comportement et causent un préjudice.
- L’exploitation des vulnérabilités liées à l’âge, au handicap ou à la situation socio-économique.
- La notation sociale des personnes entraînant un traitement défavorable injustifié ou disproportionné.
- La prédiction du comportement criminel fondée uniquement sur le profilage ou les traits de personnalité.
- La collecte non ciblée d’images de visages pour constituer des bases de données de reconnaissance faciale.
- L’inférence des émotions sur le lieu de travail et dans les établissements scolaires (sauf exceptions médicales/sécurité strictement définies).
- La catégorisation biométrique visant à déduire des attributs sensibles ; et la identification biométrique à distance en temps réel dans les espaces publics à des fins répressives.
Si votre usage relève de cette catégorie, la classification est terminée — le système ne peut pas être mis sur le marché ni utilisé.
Étape 2 — Est-il à haut risque ? (Annexe III & Art. 6)
Le haut risque est le régime le plus contraignant. Deux voies y conduisent. Premièrement, une IA qui est un composant de sécurité d’un produit déjà couvert par la législation d’harmonisation de l’UE (machines, dispositifs médicaux, jouets, véhicules…). Deuxièmement — celle que rencontrent la plupart des entreprises belges — une IA utilisée dans les domaines de l’Annexe III :
| Domaine de l’Annexe III | Exemples typiques |
|---|---|
| Emploi & travailleurs | Tri de CV, classement de candidats, allocation de tâches, suivi des performances. |
| Éducation & formation professionnelle | Score d’admission, surveillance d’examens, évaluation des résultats d’apprentissage. |
| Services privés & publics essentiels | Score de crédit, éligibilité aux prestations, tarification du risque assurance vie/santé. |
| Biométrie | Identification biométrique à distance, catégorisation biométrique (lorsqu’elle n’est pas interdite). |
| Infrastructure critique | Gestion de la sécurité des services publics, du trafic, de l’eau, du gaz, de l’électricité. |
| Forces de l’ordre, migration, justice | Évaluations des risques, expertise de preuves, aide visa/asile, assistance judiciaire. |
Il existe une nuance importante : en vertu de l’Art. 6(3), un système relevant de l’Annexe III n’est pas à haut risque s’il ne présente pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux — par exemple, lorsqu’il accomplit une tâche procédurale étroite ou améliore seulement le résultat d’une activité humaine déjà achevée. Mais vous devez documenter et justifier cette évaluation, et les systèmes qui profilent des personnes ne bénéficient jamais de l’exception. Considérez la dérogation comme quelque chose que vous prouvez, non comme quelque chose que vous supposez.
Étape 3 — Risque limité : transparence (Art. 50)
De nombreux systèmes métier ordinaires se retrouvent ici. Si votre IA interagit directement avec des personnes (un chatbot) ou génère ou manipule du contenu (texte, images, audio, vidéo — y compris les deepfakes), vous êtes soumis à une obligation de transparence : les personnes doivent être informées qu’elles interagissent avec une IA, et le contenu généré ou manipulé par l’IA doit être étiqueté comme tel (de manière lisible par machine pour les médias synthétiques). Pas d’évaluation de conformité, pas de marquage CE — juste une divulgation claire.
Étape 4 — Risque minimal
Tout le reste — filtres anti-spam, moteurs de recommandation, prévisions de stocks, la plupart des copilotes de productivité — ne comporte aucune obligation obligatoire au titre de l’AI Act. Des codes de conduite volontaires sont encouragés, et l’obligation d’alphabétisation en matière d’IA (Art. 4) s’applique toujours à votre personnel, mais vous n’êtes pas soumis au régime de conformité.
Note sur l’IA à usage général
Les modèles de fondation relèvent d’une filière distincte. Si vous vous contentez d’utiliser un modèle à usage général via une API, vous êtes un déployeur de l’application que vous construisez. Si vous affinez, rebrandez ou modifiez substantiellementun modèle et le mettez sur le marché, vous pouvez hériter des obligations du fournisseur — y compris les règles GPAI. En cas de doute, documentez la modification et vérifiez avant de supposer le rôle le plus léger.
Exemple concret
Une société belge de RH-tech propose un outil qui classe les candidats à un emploi. Le classement de candidats est un usage emploi Annexe III → haut risque. La même société ajoute un chatbot pour répondre aux questions des candidats : c’est un risque limité → transparence uniquement. Son filtre anti-spam interne est un risque minimal. Une entreprise, trois classifications — c’est précisément pourquoi vous classifiez par système et par usage, puis construisez le plan de conformité autour des éléments à haut risque en premier.
Information générale, pas de conseil juridique. Les décisions de classification comportent une réelle exposition — en particulier la dérogation Art. 6(3). ICTLAB aide les organisations belges à inventorier et classer leurs IA et à mettre en place la gouvernance correspondante ; consultez nos services de conformité ou parlez à notre équipe.