L'article 6 du Règlement (UE) 2024/1689 établit les règles de classification permettant de déterminer si un système d'intelligence artificielle doit être considéré comme « à haut risque » et donc soumis aux exigences strictes du Titre III du règlement. Cette classification est fondamentale car elle détermine le niveau d'obligations applicables aux fournisseurs et déployeurs de systèmes d'IA.
Plutôt que de définir abstraitement la notion de « haut risque », le législateur européen a adopté une approche pragmatique en identifiant deux catégories principales de systèmes d'IA à haut risque : d'une part, les systèmes d'IA constituant des composants de sécurité de produits régulés par la législation d'harmonisation de l'Union ; d'autre part, les systèmes d'IA appartenant à des domaines d'application spécifiques énumérés à l'annexe III du règlement.
L'article 6 intègre également une clause d'exclusion permettant, dans certaines conditions strictement encadrées, de ne pas considérer comme à haut risque un système relevant pourtant de l'annexe III, lorsque ce système ne présente pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux des personnes.
Texte officiel de l'article 6 de l'AI Act
L'article 6 de l'AI Act dispose :
« 1. Un système d'IA est considéré comme présentant un risque élevé lorsqu'il relève de l'une des catégories suivantes :
a) le système d'IA est destiné à être utilisé en tant que composant de sécurité d'un produit, ou le système d'IA est lui-même un produit, couvert par la législation d'harmonisation de l'Union énumérée à l'annexe I, section A, et ce produit est soumis à une évaluation de la conformité par un tiers en vue de sa mise sur le marché ou de sa mise en service conformément à ladite législation d'harmonisation de l'Union ;
b) le système d'IA relève de l'un des domaines d'application énumérés à l'annexe III.
2. Un système d'IA visé au paragraphe 1, point b), n'est pas considéré comme présentant un risque élevé si le système d'IA n'entraîne pas de risque significatif de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, notamment en ne portant pas atteinte de manière significative à l'issue de la prise de décision.
3. Un système d'IA visé au paragraphe 1, point b), n'est pas considéré comme présentant un risque élevé lorsqu'il effectue une tâche procédurale étroite, lorsqu'il est destiné à améliorer le résultat d'une activité humaine précédemment achevée, lorsqu'il détecte les schémas de prise de décision ou les écarts par rapport à des schémas de prise de décision antérieurs et n'est pas destiné à remplacer ou à influencer le jugement humain précédemment achevé sans révision humaine substantielle, ou lorsqu'il effectue une tâche préparatoire à une évaluation pertinente aux fins des domaines d'application énumérés à l'annexe III.
Toutefois, un système d'IA visé au paragraphe 1, point b), est toujours considéré comme présentant un risque élevé lorsque le système d'IA effectue du profilage de personnes physiques. »
Cet article établit donc un système de classification en deux temps : identification des systèmes potentiellement à haut risque, puis application d'une clause d'exclusion sous conditions strictes.
Analyse juridique de l'article 6
Première catégorie : systèmes d'IA intégrés dans des produits régulés
L'article 6, paragraphe 1, point a), vise les systèmes d'IA qui constituent des composants de sécurité de produits couverts par la législation d'harmonisation de l'Union, ou qui sont eux-mêmes de tels produits. Cette catégorie concerne notamment les dispositifs médicaux, les machines, les jouets, les ascenseurs, les équipements sous pression et d'autres produits régulés énumérés à l'annexe I, section A, du règlement.
Pour relever de cette catégorie, deux conditions cumulatives doivent être remplies : le système d'IA doit être destiné à être utilisé comme composant de sécurité ou constituer lui-même un produit réglementé, et ce produit doit être soumis à une évaluation de la conformité par un tiers avant sa mise sur le marché. Cette approche permet d'assurer une cohérence entre les exigences de l'AI Act et celles des législations sectorielles existantes.
L'intégration de systèmes d'IA dans ces produits régulés présente des risques particuliers car toute défaillance de l'IA peut avoir des conséquences directes sur la sécurité des personnes. C'est pourquoi le législateur a considéré que ces systèmes devaient systématiquement être qualifiés de systèmes à haut risque, sans possibilité d'exclusion.
Deuxième catégorie : systèmes d'IA listés à l'annexe III
L'article 6, paragraphe 1, point b), vise les systèmes d'IA appartenant à des domaines d'application spécifiques énumérés à l'annexe III. Cette annexe identifie huit domaines sensibles : l'identification biométrique et la catégorisation des personnes physiques ; la gestion et l'exploitation d'infrastructures critiques ; l'éducation et la formation professionnelle ; l'emploi, la gestion des travailleurs et l'accès au travail indépendant ; l'accès aux services privés essentiels et aux services et prestations publics ; les services répressifs ; la gestion de la migration, de l'asile et des contrôles aux frontières ; l'administration de la justice et les processus démocratiques.
Ces domaines ont été identifiés comme particulièrement sensibles car les décisions prises par des systèmes d'IA dans ces contextes peuvent avoir un impact majeur sur la vie des personnes, leurs droits fondamentaux, leur sécurité ou leur accès à des services essentiels. L'article 7 du règlement prévoit d'ailleurs un mécanisme de révision permettant à la Commission européenne de modifier cette liste en fonction de l'évolution des technologies et des risques identifiés.
Clause d'exclusion et conditions d'application
L'article 6, paragraphe 2, introduit une clause d'exclusion permettant, dans certains cas, de ne pas considérer comme à haut risque un système relevant pourtant de l'annexe III. Cette exclusion n'est applicable que si le système d'IA n'entraîne pas de risque significatif de préjudice pour la santé, la sécurité ou les droits fondamentaux, notamment parce qu'il n'influe pas de manière significative sur l'issue d'une prise de décision.
Le paragraphe 3 précise les situations dans lesquelles un système peut bénéficier de cette exclusion : lorsqu'il effectue une tâche procédurale étroite, lorsqu'il améliore le résultat d'une activité humaine déjà achevée, lorsqu'il détecte des schémas sans remplacer le jugement humain, ou lorsqu'il effectue une tâche préparatoire à une évaluation. Dans tous ces cas, la caractéristique commune est que le système d'IA ne constitue qu'un outil d'assistance et non un système de prise de décision automatisée.
Toutefois, une exception importante subsiste : un système d'IA qui effectue du profilage de personnes physiques est toujours considéré comme à haut risque, même s'il remplit les conditions d'exclusion. Cette règle traduit la préoccupation particulière du législateur européen concernant les risques liés au profilage automatisé, déjà encadré par le RGPD.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 6 de l'AI Act
Cas 1 : Système d'IA dans un dispositif médical
Un fabricant développe un système d'IA intégré dans un dispositif médical de diagnostic par imagerie (scanner IRM avec analyse automatique des images). Ce système constitue un composant de sécurité d'un produit couvert par le règlement sur les dispositifs médicaux (règlement (UE) 2017/745), qui impose une évaluation de conformité par un organisme notifié.
Application de l'article 6, paragraphe 1, point a) : ce système d'IA est automatiquement considéré comme à haut risque car il constitue un composant de sécurité d'un dispositif médical soumis à une évaluation de conformité par un tiers. Le fabricant devra donc respecter l'ensemble des exigences du Titre III de l'AI Act, notamment en matière de gestion des risques, de qualité des données, de documentation technique et de surveillance humaine.
Cas 2 : Système d'IA de tri de candidatures
Une entreprise utilise un système d'IA pour analyser automatiquement les CV reçus dans le cadre d'un processus de recrutement et présélectionner les candidats qui seront invités à un entretien. Ce système relève du domaine « emploi » énuméré à l'annexe III.
Application de l'article 6, paragraphe 1, point b) : le système relève prima facie de la catégorie des systèmes à haut risque. Cependant, l'entreprise pourrait invoquer la clause d'exclusion si elle démontre que le système n'effectue qu'une tâche préparatoire (par exemple, simple classement des CV par mots-clés), que les décisions finales sont toujours prises par des recruteurs humains après une révision substantielle, et que le système n'effectue pas de profilage des candidats. En revanche, si le système effectue du profilage (analyse de la personnalité, prédiction du comportement futur du candidat, etc.), il reste un système à haut risque même s'il ne fait que préparer la décision humaine.
Cas 3 : Assistant IA pour la rédaction de documents juridiques
Un cabinet d'avocats utilise un système d'IA pour assister les avocats dans la rédaction de contrats en suggérant des clauses standards et en détectant des incohérences. Bien que le domaine juridique soit visé par l'annexe III, ce système effectue une tâche d'assistance à une activité humaine.
Application de l'article 6, paragraphe 3 : ce système peut bénéficier de la clause d'exclusion car il améliore le résultat d'une activité humaine (la rédaction du contrat) et détecte des schémas (incohérences) sans remplacer le jugement de l'avocat, qui conserve la responsabilité finale de la rédaction. Ce système ne sera donc pas considéré comme à haut risque, à condition qu'il n'effectue pas de profilage des parties au contrat.
Articulation avec les autres dispositions de l'AI Act
L'article 6 constitue la clé de voûte du système réglementaire de l'AI Act. C'est lui qui détermine l'applicabilité du Titre III et de l'ensemble des obligations strictes qu'il contient. Il doit être lu conjointement avec l'annexe I (législation d'harmonisation de l'Union) et l'annexe III (domaines d'application sensibles).
L'article 7 complète l'article 6 en prévoyant un mécanisme de révision de l'annexe III, permettant à la Commission d'ajouter ou de retirer des systèmes de la liste des systèmes à haut risque en fonction de l'évolution technologique et des risques identifiés. Cette flexibilité est essentielle pour assurer la pérennité du règlement dans un domaine en évolution rapide.
Les articles 8 à 15 définissent les exigences applicables aux systèmes d'IA à haut risque identifiés par l'article 6. Ces exigences portent sur le système de gestion des risques (article 9), la qualité des données (article 10), la documentation technique (article 11), la transparence (article 13), la surveillance humaine (article 14) et la robustesse (article 15).
L'article 6 s'articule également avec l'article 5, qui interdit certaines pratiques d'IA indépendamment de leur classification comme systèmes à haut risque. Un système peut ainsi être à la fois interdit au titre de l'article 5 et relever de la qualification de système à haut risque au titre de l'article 6.
Implications pratiques pour les organisations
Pour les organisations développant ou utilisant des systèmes d'IA, l'article 6 impose une première obligation fondamentale : procéder à une analyse de classification pour déterminer si leurs systèmes relèvent de la catégorie des systèmes à haut risque. Cette analyse doit être documentée et actualisée régulièrement, notamment en cas de modification du système ou de son utilisation.
Les fournisseurs de systèmes d'IA à haut risque doivent mettre en place un dispositif de conformité complet incluant l'ensemble des exigences du Titre III. Cette conformité représente un investissement significatif en termes de ressources humaines, techniques et organisationnelles. Les organisations doivent donc anticiper ces obligations dès la phase de conception des systèmes.
Pour les systèmes relevant de l'annexe III, les fournisseurs peuvent envisager d'invoquer la clause d'exclusion prévue à l'article 6, paragraphe 2. Toutefois, cette faculté doit être exercée avec prudence : le fournisseur doit être en mesure de démontrer objectivement que son système ne présente pas de risque significatif. Il est recommandé de documenter cette analyse et de la soumettre, le cas échéant, aux autorités compétentes pour validation.
Les déployeurs de systèmes d'IA doivent quant à eux s'assurer que les systèmes qu'ils mettent en œuvre ont bien été correctement classifiés par leurs fournisseurs. En cas de doute, ils peuvent interroger le fournisseur ou consulter l'autorité nationale compétente. L'utilisation d'un système à haut risque non conforme peut engager la responsabilité du déployeur.
L'article 6 de l'AI Act établit le mécanisme de classification des systèmes d'IA à haut risque, pierre angulaire du cadre réglementaire européen. En adoptant une approche pragmatique fondée sur deux catégories principales (produits régulés et domaines sensibles listés), il permet d'identifier les systèmes d'IA justifiant des exigences renforcées en raison de leur potentiel d'impact sur les personnes.
La clause d'exclusion prévue pour certains systèmes de l'annexe III témoigne du souci du législateur d'assurer une proportionnalité dans l'application du règlement. Toutefois, les conditions strictes d'application de cette clause, notamment l'exception relative au profilage, garantissent que les systèmes présentant des risques réels pour les droits fondamentaux demeurent soumis aux exigences du Titre III.
Pour les organisations, la maîtrise de l'article 6 est un préalable indispensable à toute démarche de conformité à l'AI Act. Une classification correcte des systèmes d'IA conditionne l'identification des obligations applicables et la mise en place des mesures de conformité appropriées.