Retour aux insights
eu-ai-acthaut-risquebelgiqueconformite

Qu'est-ce que l'IA à haut risque selon le règlement IA européen ? Un guide en langage clair pour les dirigeants belges

Stéphane WillemsStéphane Willems7 min de lecture

De tout le jargon du règlement IA européen, un terme décide presque tout : haut risque. Si votre IA est à haut risque, un ensemble substantiel d'obligations s'applique. Si elle ne l'est pas, vous avez une poignée d'obligations légères et vous pouvez vaquer à vos occupations.

La question pratique pour chaque dirigeant belge n'est donc pas "que dit l'ensemble du règlement" — c'est "une partie de mon IA est-elle à haut risque ?" Voici le guide que j'aimerais que plus de gens lisent avant de paniquer ou de hausser les épaules.

Je suis un ingénieur qui classifie et audite ces systèmes, pas un juriste — ceci n'est pas un avis juridique. Mais la logique de classification est plus apprenable qu'elle n'en a l'air.

D'abord : "haut risque" concerne l'usage, pas la sophistication

Le malentendu le plus courant est de penser que haut risque signifie "avancé" ou "puissant". Ce n'est pas le cas. Le règlement classifie selon ce à quoi l'IA sert et qui elle affecte, pas selon l'intelligence de la technologie.

Un modèle basique de type tableur qui décide qui obtient un prêt est à haut risque. Une IA véritablement sophistiquée qui rédige des textes marketing ne l'est pas. La question est toujours : ce système prend-il ou façonne-t-il matériellement des décisions qui affectent significativement la vie, les droits ou la sécurité des personnes ?

Les quatre niveaux de risque, brièvement

Le règlement trie l'IA en quatre catégories :

  1. Risque inacceptable — interdit. Notation sociale par les autorités, certaines manipulations, collecte non ciblée de données faciales. Presque aucune entreprise normale ne les construit.
  2. Haut risque — fortement réglementé. La catégorie dont parle cet article.
  3. Risque limité — transparence uniquement. Chatbots et contenu généré par IA : vous devez surtout dire aux gens que c'est de l'IA.
  4. Risque minimal — essentiellement libre. Filtres anti-spam, moteurs de recommandation, résumeurs de documents. La plupart de l'IA d'entreprise est ici.

Tout l'enjeu est de déterminer si vous êtes dans la catégorie 2 ou la catégorie 4. La plupart des PME belges sont dans la catégorie 4 et n'ont pas à s'inquiéter — mais celles de la catégorie 2 doivent vraiment le faire.

Les catégories à haut risque qui surprennent réellement les PME belges

Le règlement liste les usages à haut risque. Réduits à ceux qui apparaissent réellement dans une entreprise belge de marché intermédiaire :

Emploi et travailleurs (la grande)

L'IA utilisée pour le recrutement (tri de CV, classement de candidats, ciblage d'offres d'emploi) ou pour les décisions concernant les travailleurs (promotion, licenciement, attribution de tâches, surveillance de performance) est à haut risque.

C'est la catégorie que je vois prendre les entreprises au dépourvu le plus souvent. Les équipes RH adoptent un outil de tri de CV parce qu'il fait gagner du temps, sans idée que c'est le déclencheur à haut risque le plus courant pour une PME. Si vous utilisez l'IA quelque part dans le recrutement ou la gestion du personnel, supposez haut risque jusqu'à confirmation du contraire.

Accès aux services essentiels

L'IA qui décide de l'éligibilité au crédit / prêts, tarifie l'assurance selon le risque, ou contrôle l'accès à des services essentiels privés ou publics. Si vous êtes dans les services financiers ou l'assurance, c'est carrément vous.

Éducation et formation

L'IA qui détermine l'accès à l'éducation ou note des examens et évaluations. Pertinent si vous gérez de la formation, de la certification, ou un produit edtech.

Composants de sécurité

L'IA agissant comme fonction de sécurité dans un produit, ou dans la gestion d'infrastructures critiques (énergie, eau, transport). Si la défaillance de votre IA pouvait blesser quelqu'un, c'est probablement ici.

Biométrie

L'IA qui identifie les gens biométriquement, ou en infère des choses à partir de données biométriques. Moins courant dans les PME ordinaires, mais si vous faites de la reconnaissance faciale ou similaire, c'est à haut risque (et chevauche les usages interdits — soyez très prudent).

Le test honnête pour "suis-je à haut risque ?"

Passez vos systèmes d'IA par ces questions :

  1. Touche-t-il au recrutement ou à la gestion du personnel ? → Probablement haut risque.
  2. Décide-t-il qui obtient crédit, assurance ou service essentiel ? → Probablement haut risque.
  3. Note-t-il des personnes en éducation ou évaluation ? → Probablement haut risque.
  4. Pourrait-il blesser quelqu'un en cas de défaillance (sécurité / infrastructure critique) ? → Probablement haut risque.
  5. Identifie-t-il ou profile-t-il des personnes via la biométrie ? → Probablement haut risque (et vérifiez la liste des interdits).

Si vous avez répondu non aux cinq, votre IA n'est presque certainement pas à haut risque. Elle est à risque minimal ou limité : maintenez une bonne pratique des données, dites aux gens quand ils interagissent avec une IA, et c'est terminé.

Si vous avez répondu oui à l'une, vous n'avez pas nécessairement un problème — mais vous avez une classification à confirmer et documenter, et si confirmée, un véritable ensemble d'obligations à remplir avant l'échéance d'août 2026.

Ce que le haut risque vous oblige réellement à faire

Si un système est confirmé à haut risque, les obligations sont substantielles — c'est pourquoi vous ne voulez pas y mal classer inutilement, et pourquoi vous ne pouvez pas l'ignorer si vous y êtes vraiment. En gros :

  • Gestion des risques — un processus documenté et continu, pas ponctuel.
  • Gouvernance des données — vos données d'entraînement/d'entrée examinées pour la qualité et les biais, avec provenance enregistrée.
  • Documentation technique — rédigée avant le déploiement, décrivant le système, ses données, ses tests.
  • Journalisation — des registres qui permettent de reconstruire les décisions a posteriori.
  • Supervision humaine — une vraie personne capable de comprendre, contredire et arrêter le système.
  • Exactitude et robustesse — testées et documentées.

Cela prend du temps à mettre en place correctement. L'erreur est de les traiter comme de la paperasse à générer la semaine avant un audit. Ce sont des décisions de conception — surtout la supervision humaine, qui doit être intégrée dans le fonctionnement du système, pas ajoutée après coup.

Les deux modes d'échec à éviter

Je vois les entreprises échouer dans deux directions opposées :

Surclassifier. Une entreprise prend peur, décide que tout est à haut risque, et dépense de l'argent en consultants et documentation pour un chatbot qui n'a jamais été à haut risque. Du gaspillage, et étonnamment courant quand des fournisseurs jouant sur la peur sont impliqués.

Sous-classifier. Une entreprise suppose que son IA de recrutement est "juste un outil" et ne vérifie jamais, puis découvre lors d'une plainte RGPD ou d'un audit qu'elle exploitait un système à haut risque sans aucune des garanties requises. Coûteux d'une autre manière.

Le remède pour les deux est le même et il est bon marché : classifiez réellement vos systèmes, écrivez le raisonnement, et conservez la note. Une classification courte et honnête est votre meilleure protection dans les deux sens.

La conclusion

"Haut risque" n'est pas une impression — c'est une liste définie, et pour la plupart des PME belges, la réponse honnête est "nous ne sommes pas à haut risque, mais deux de nos systèmes devaient être vérifiés et nous avons maintenant écrit pourquoi." Cette note vaut plus que n'importe quelle plateforme coûteuse.

Celles qui le sont véritablement — généralement à cause du recrutement, du crédit ou d'une fonction de sécurité — devraient traiter août 2026 comme une véritable échéance et mettre les obligations en place dès maintenant.

J'écris une newsletter courte et pratique qui traduit ce genre de réglementation en langage clair pour les entreprises belges — le règlement IA, le RGPD et l'IA, et l'ingénierie senior, sans battage. Abonnez-vous ci-dessous si c'est utile.

Si vous souhaitez que la classification soit faite correctement — vos systèmes cartographiés et le niveau de risque de chacun confirmé par écrit — c'est exactement à cela que sert l'Audit de Préparation IA de WDC. Et si vous planifiez une nouvelle IA et voulez réussir la classification dès le départ, l'Évaluation des Opportunités IA l'intègre.

Prêt à démarrer ?

Parlons de votre projet.

La plupart des missions commencent par une conversation de 30 minutes.

Réserver un appel

Abonnez-vous à notre newsletter

Inscrivez-vous pour recevoir des écrits occasionnels et pratiques sur l'intégration IA, le règlement IA européen et l'ingénierie senior pour les entreprises belges.