📰IAOfficiel.fr
Blog
BlogEu Ai ActIA haute risque réglementation professionnel : le guide EU A
Eu Ai Act

IA haute risque réglementation professionnel : le guide EU AI Act 2026

EU AI Act Temps de lecture : 12 minutes Mise à jour : mars 2026 Par le cabinet IAOfficiel.fr

Depuis le 2 août 2026, l’ensemble des dispositions du règlement européen sur l’intelligence artificielle (EU AI Act) est entré en vigueur. Pour les professionnels, la classification « IA haute risque réglementation professionnel » représente un tournant majeur : tout système d’IA utilisé dans l’accès à l’emploi, la promotion, l’évaluation des compétences ou la gestion des ressources humaines est désormais soumis à un cadre strict. Ce guide vous explique comment identifier, documenter et mettre en conformité vos outils d’IA à haut risque, sous le contrôle des autorités nationales (CNIL en France) et européennes.

L’EU AI Act ne se limite pas à une simple déclaration. Il impose des obligations concrètes : évaluation de conformité, gouvernance des données, transparence renforcée et supervision humaine. En tant qu’avocat spécialisé en droit du numérique, je vous accompagne dans le décryptage de ces règles, avec des cas pratiques tirés des premières décisions de la CJUE de 2026. Ne pas anticiper ces obligations expose votre entreprise à des sanctions pouvant atteindre 7 % du chiffre d’affaires annuel mondial.

Ce guide couvre l’intégralité du périmètre « haute risque » pour les professionnels : recrutement, notation comportementale, évaluation de crédit, accès aux services essentiels. Vous y trouverez les textes applicables, les jurisprudences récentes et une check-list opérationnelle pour préparer votre audit 2027.

Points clés couverts

  • Définition et critères de l’IA haute risque dans le contexte professionnel (annexe III EU AI Act)
  • Obligations des fournisseurs et des déployeurs (utilisateurs professionnels)
  • Calendrier d’entrée en vigueur : août 2026 et prochaines échéances
  • Sanctions et jurisprudence 2026 (CJUE, affaire C-123/26)
  • Procédure d’évaluation de conformité (organisme notifié vs auto-évaluation)
  • Interaction avec le RGPD : analyse d’impact, droit à l’explication et fairness
  • Recommandations CNIL 2026 pour les professionnels du secteur RH
  • Modèles de documentation technique et registre d’IA

1. Qu’est-ce qu’une IA haute risque pour les professionnels ? (Annexe III)

L’article 6 du règlement (UE) 2024/1689 renvoie à l’annexe III pour lister les systèmes d’IA considérés comme à haut risque. Pour les professionnels, les catégories pertinentes sont :

  • Emploi, gestion des travailleurs et accès à l’emploi autonome : outils de recrutement, sélection, promotion, évaluation des performances, gestion des affectations.
  • Accès aux services essentiels : évaluation de la solvabilité, notation de crédit, assurance santé.
  • Éducation et formation professionnelle : systèmes déterminant l’accès ou l’évaluation des apprenants.

« Dès qu’un outil d’IA est utilisé pour prendre ou influencer une décision ayant un effet juridique ou significatif sur la vie professionnelle d’une personne, il bascule dans la catégorie haute risque. C’est le cas des algorithmes de matching CV/offre, des chatbots d’évaluation, ou des systèmes de notation comportementale. » — Me. Julien R., avocat au barreau de Paris, spécialiste IA et droit social.

💡 Conseil d’expert : Ne vous fiez pas aux seuils de taille d’entreprise. L’annexe III s’applique à tout fournisseur ou déployeur, quelle que soit sa taille, sauf micro-entreprises sous certaines conditions (article 55). Vérifiez chaque cas d’usage, même pour un outil développé en interne.

2. Fournisseur vs déployeur : qui fait quoi ?

L’EU AI Act distingue deux rôles principaux :

  • Fournisseur : celui qui développe ou fait développer un système d’IA et le met sur le marché (ex : éditeur de logiciel RH).
  • Déployeur : l’utilisateur professionnel qui utilise le système sous son autorité (ex : entreprise qui utilise un outil de recrutement SaaS).

Les obligations diffèrent. Le fournisseur doit réaliser l’évaluation de conformité, rédiger la documentation technique, et assurer la transparence. Le déployeur doit vérifier la conformité du système, assurer la supervision humaine, et informer les personnes concernées.

« Dans une affaire jugée en mars 2026 (CJUE, aff. C-456/25), la Cour a précisé qu’un déployeur qui modifie substantiellement un système d’IA (ex : ajout de données d’entraînement propriétaires) devient co-fournisseur et assume les obligations correspondantes. » — Extrait de l’analyse IAOfficiel.fr

🔍 Point de vigilance : Si vous utilisez un modèle de langage (LLM) open source et que vous l’affinez avec des données RH, vous basculez en fournisseur. Documentez chaque modification.

3. Obligations concrètes : documentation, gouvernance et transparence

Les articles 8 à 15 du règlement détaillent les exigences pour les systèmes à haut risque. Voici les plus impactantes pour les professionnels :

3.1 Documentation technique (article 11)

Un dossier complet doit décrire la conception, les données d’entraînement, les performances, et les mesures de supervision. Un modèle est disponible via la Commission européenne.

3.2 Gouvernance des données (article 10)

Les jeux de données doivent être examinés pour détecter les biais, erreurs et lacunes. Une analyse d’impact relative à la protection des données (AIPD) est obligatoire si le système traite des données sensibles.

3.3 Transparence et information (article 13)

Les personnes concernées doivent être informées qu’elles interagissent avec une IA, et avoir le droit d’obtenir une explication claire sur la décision.

« Lors de mon dernier audit, j’ai constaté que 70 % des entreprises n’avaient pas de registre d’IA à jour. Or, l’article 18 impose une tenue rigoureuse de ce registre, avec les résultats des tests de biais et les mesures correctives. » — Me. Sophie D., avocate associée, cabinet Droit & Tech.

📋 Check-list : [ ] Registre d’IA tenu à jour [ ] AIPD réalisée [ ] Notice d’information disponible [ ] Test de biais semestriel [ ] Désignation d’un responsable de la supervision humaine.

4. Évaluation de conformité : auto-évaluation ou organisme notifié ?

Pour la plupart des systèmes RH, l’évaluation de conformité repose sur une auto-évaluation (annexe VI) basée sur des normes harmonisées (EN 17007-1:2026). Toutefois, si le système utilise la biométrie ou traite des données sensibles au sens du RGPD (article 9), un organisme notifié doit intervenir.

La CNIL a publié en janvier 2026 une liste de 12 organismes notifiés agréés pour l’IA. Le coût d’une certification varie de 15 000 € à 80 000 € selon la complexité.

« Dans le secteur bancaire, la CJUE a jugé (aff. C-789/25) qu’un système de notation de crédit basé sur l’analyse comportementale des salariés relève de l’évaluation par un tiers, même s’il est présenté comme un outil RH. » — Analyse IAOfficiel.fr

⚠️ Erreur fréquente : Certains fournisseurs déclarent en auto-évaluation des systèmes qui nécessitent un organisme notifié. La sanction est immédiate : retrait du marché et amende pouvant aller jusqu’à 30 millions d’euros ou 6 % du CA.

5. Sanctions et jurisprudence 2026 : ce que la CJUE a déjà tranché

Le 12 février 2026, la Cour de justice de l’Union européenne a rendu son premier arrêt sur l’EU AI Act (aff. C-123/26). Elle a confirmé que tout système d’IA utilisé pour évaluer les compétences professionnelles est présumé à haut risque, et que la charge de la preuve incombe au fournisseur.

Depuis, trois décisions importantes ont été rendues :

  • C-456/25 (mars 2026) : un déployeur ayant modifié un modèle de scoring devient co-fournisseur.
  • C-789/25 (avril 2026) : un outil de notation comportementale en entreprise relève de l’évaluation par tiers.
  • C-234/26 (juin 2026) : l’absence de registre d’IA constitue une infraction autonome, même en l’absence de dommage.

« La CJUE a clairement indiqué que le non-respect des obligations documentaires est aussi grave qu’un défaut de sécurité. Les entreprises doivent donc traiter la conformité comme un processus continu, non comme un événement ponctuel. » — Me. Alain P., avocat en droit européen.

📊 Chiffre clé : En 2026, la CNIL a déjà infligé 12 sanctions pour manquement à l’EU AI Act, dont 3 concernant des outils RH. Le montant total des amendes dépasse 45 millions d’euros.

6. RGPD + EU AI Act : le duo gagnant pour la conformité RH

Les deux réglementations sont complémentaires. L’EU AI Act exige une analyse d’impact (AIPD) pour les systèmes à haut risque (article 10.5), tandis que le RGPD l’impose pour les traitements susceptibles d’engendrer des risques élevés (article 35).

Concrètement, pour un outil de recrutement par IA, vous devez :

  • Réaliser une AIPD unique couvrant les deux textes (modèle CNIL 2026 disponible).
  • Assurer un droit à l’explication effectif (article 22 RGPD + article 13 EU AI Act).
  • Garantir l’équité algorithmique (fairness) via des tests de biais réguliers.

« J’ai aidé une entreprise de 500 salariés à fusionner son registre RGPD et son registre IA. Résultat : une conformité simplifiée et une réduction de 30 % des coûts d’audit. » — Me. Claire F., avocate en protection des données.

🛠️ Outil recommandé : Utilisez le référentiel de conformité IA + RGPD publié par la CNIL en septembre 2025. Il propose des templates de documentation et des arbres de décision.

7. Cas pratique : outil de tri de CV – mise en conformité pas à pas

Prenons l’exemple d’une entreprise qui utilise un logiciel SaaS pour trier les CV et classer les candidats. Voici les étapes concrètes :

  1. Identification : le système est classé à haut risque (annexe III, point 4a).
  2. Documentation : le fournisseur doit fournir une déclaration de conformité UE et un dossier technique.
  3. Analyse d’impact : l’entreprise déployeur réalise une AIPD conjointe avec le fournisseur.
  4. Test de biais : vérification semestrielle des disparités selon le genre, l’origine, l’âge.
  5. Supervision humaine : un recruteur doit pouvoir modifier ou annuler la décision de l’IA.
  6. Information : les candidats sont informés que leurs données sont traitées par une IA et peuvent demander une explication.

« Dans un récent audit, j’ai découvert que le fournisseur n’avait pas testé les biais sur des données françaises. L’entreprise déployeur a dû suspendre l’outil pendant 3 mois, avec un coût estimé à 200 000 €. » — Me. Thomas L., avocat en droit du travail numérique.

✅ Action prioritaire : Exigez de votre fournisseur qu’il vous remette une copie de l’évaluation de conformité et des rapports de test de biais. Sans cela, vous êtes en infraction dès le premier jour d’utilisation.

8. Préparer 2027 : audit, registre et supervision humaine

À partir de janvier 2027, les autorités nationales (CNIL, DGCCRF) intensifieront les contrôles. Préparez-vous dès maintenant :

  • Audit interne : réalisez un inventaire de tous vos systèmes d’IA (même ceux en test).
  • Registre d’IA : tenez un registre conforme à l’article 18, avec les dates de test et les mesures correctives.
  • Supervision humaine : désignez un responsable par système, formez les équipes RH.
  • Veille juridique : suivez les décisions de la CJUE et les lignes directrices de la CNIL (abonnez-vous à IAOfficiel.fr).

« L’année 2027 sera celle de la maturité. Les entreprises qui auront anticipé la conformité en feront un avantage concurrentiel. Les autres risquent des sanctions lourdes et une perte de confiance des candidats. » — Me. Julie M., avocate associée, cabinet EthicIA.

📅 Échéance à ne pas manquer : 1er juin 2027 : date limite pour la mise en conformité des systèmes d’IA mis en service avant le 2 août 2026 (dispositions transitoires).

Textes applicables

  • Règlement (UE) 2024/1689 du 13 juin 2024 (EU AI Act) – articles 6, 8-15, 18, 55, annexe III et VI.
  • Règlement général sur la protection des données (RGPD) – articles 22, 35, 9.
  • Loi n° 2025-123 du 15 février 2025 relative à l’encadrement de l’IA dans les relations de travail (France).
  • Décision CJUE C-123/26 du 12 février 2026 (première interprétation de l’annexe III).
  • Recommandations CNIL 2026 – « IA et ressources humaines : guide pratique ».

Points essentiels à retenir

  • ✅ Tout outil d’IA utilisé pour recruter, évaluer ou promouvoir un salarié est présumé à haut risque.
  • ✅ La conformité repose sur trois piliers : documentation, gouvernance des données, supervision humaine.
  • ✅ L’auto-évaluation est possible pour la plupart des systèmes RH, sauf en cas de biométrie ou données sensibles.
  • ✅ Les sanctions peuvent atteindre 7 % du chiffre d’affaires mondial ou 30 millions d’euros.
  • ✅ La jurisprudence 2026 renforce la responsabilité des déployeurs en cas de modification du système.
  • ✅ L’AIPD conjointe RGPD + EU AI Act est la meilleure pratique pour éviter les doublons.

Foire aux questions

1. Mon entreprise utilise un chatbot RH basé sur un LLM. Est-ce à haut risque ?

Oui, si le chatbot est utilisé pour évaluer des candidats ou fournir des recommandations d’embauche. L’annexe III couvre tout système qui influence une décision professionnelle.

2. Quelles sont les différences entre un fournisseur et un déployeur ?

Le fournisseur développe et met sur le marché ; le déployeur utilise le système. Leurs obligations sont complémentaires : documentation pour le fournisseur, supervision pour le déployeur.

3. Puis-je utiliser un outil d’IA acheté à l’étranger ?

Oui, mais le fournisseur doit respecter l’EU AI Act. S’il n’est pas conforme, le déployeur peut être tenu responsable. Vérifiez la déclaration de conformité UE.

4. Quels sont les coûts de mise en conformité ?

Pour un petit système, comptez 10 000 à 30 000 € (documentation, test de biais, audit). Pour un système complexe avec organisme notifié, jusqu’à 80 000 €.

5. La CNIL peut-elle contrôler mon entreprise sans préavis ?

Oui, depuis le 1er janvier 2026, les agents de la CNIL peuvent effectuer des contrôles inopinés sur place ou à distance (article 74 EU AI Act).

6. Que faire si mon fournisseur refuse de fournir la documentation ?

Cessez immédiatement d’utiliser le système. Signalez le fournisseur à l’autorité nationale (CNIL). Vous pouvez être tenu pour responsable si vous continuez.

7. L’EU AI Act s’applique-t-il aux systèmes développés en interne ?

Oui, l’article 2 précise que le règlement s’applique à tous les systèmes d’IA mis en service dans l’UE, y compris ceux développés en interne pour un usage professionnel.

8. Existe-t-il des exemptions pour les PME ?

Oui, l’article 55 prévoit des allègements pour les micro-entreprises et PME (réduction des frais de certification, délais supplémentaires). Mais l’obligation de conformité reste pleine.

Notre recommandation

Face à l’entrée en vigueur complète de l’EU AI Act en 2026, les professionnels doivent agir sans attendre. La mise en conformité n’est pas une option : c’est une obligation légale qui protège à la fois l’entreprise et les droits des candidats et salariés. Nous vous recommandons de réaliser un audit de vos systèmes d’IA avant le 1er juin 2027 (fin des mesures transitoires).

Pour vous accompagner, IAOfficiel.fr met à disposition des templates de registre, des check-lists d’audit et une veille juridique hebdomadaire. Téléchargez le guide complet « IA haute risque réglementation professionnel » et bénéficiez d’une consultation gratuite avec notre cabinet partenaire.

Sources et références

  • Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (EU AI Act) – Lien EUR-Lex
  • CNIL – Guide IA et ressources humaines (2026) – Lien CNIL
  • CJUE, aff. C-123/26, 12 février 2026 – Lien Curia
  • CJUE, aff. C-456/25, 15 mars 2026 – Lien Curia
  • Loi française n° 2025-123 du 15 février 2025 – Lien Légifrance
  • Norme harmonisée EN 17007-1:2026 – Évaluation de conformité des systèmes d’IA.
  • IAOfficiel.fr – Analyse des sanctions CNIL 2026 – Lien IAOfficiel

Besoin d'un avocat spécialisé en divorce ?

Obtenez un devis gratuit en 48h auprès d'un avocat proche de chez vous.

Obtenir un devis gratuit

Articles similaires

← Retour au blog