📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 7 IA ACT : Modification de l'annexe III

Table des matières

Explication de l’article

L’article 7 de l‘IA ACT  définit la procédure permettant à la Commission européenne de modifier l’Annexe III, qui liste les systèmes d’IA considérés comme à haut risque.

La technologie évolue très rapidement. De nouveaux systèmes d’IA peuvent émerger avec des risques significatifs pour la sécurité ou les droits fondamentaux. L’article 7 permet donc à la liste des systèmes à haut risque de s’adapter aux nouvelles réalités technologiques, tout en maintenant un cadre légal stable et protecteur.

Principes clés :

Procédure de modification encadrée :

  • La Commission européenne ne peut pas modifier la liste de manière unilatérale.
  • Toute modification doit respecter des critères stricts et suivre une procédure consultative, impliquant notamment les États membres et les parties prenantes concernées.

Équilibre entre innovation et sécurité :

  • L’article 7 permet à l’UE de réagir rapidement aux nouveaux risques tout en garantissant que les décisions soient transparentes et justifiées.
  • Les entreprises peuvent ainsi continuer à innover, tout en sachant quels systèmes sont soumis à des obligations strictes de conformité lorsqu’ils deviennent à haut risque.

L’article 7 assure que l’Annexe III reste à jour et pertinente, protégeant les citoyens contre les risques émergents tout en permettant aux entreprises de développer de nouvelles technologies de manière responsable.

Notions clés à comprendre

Annexe III : Liste officielle des catégories de systèmes d’IA considérés comme à haut risque. Elle sert de référence pour déterminer les obligations de conformité strictes.

Modification de l’Annexe III : Processus permettant à la Commission européenne d’ajouter, de retirer ou de modifier des catégories de systèmes d’IA à haut risque.

Critères stricts : Conditions à remplir pour justifier l’ajout ou la suppression d’un système de l’Annexe III, basées sur :

  • L’impact potentiel sur la sécurité, la santé ou les droits fondamentaux des personnes,
  • La probabilité et la gravité des risques associés à l’utilisation du système,
  • La nécessité de protéger les valeurs démocratiques et la dignité humaine.

Procédure consultative : Obligation de consulter les États membres, les autorités nationales et les parties prenantes concernées avant toute modification, afin d’assurer transparence et légitimité.

Réactivité aux innovations : L’article permet de mettre à jour la liste rapidement face à l’émergence de nouvelles technologies ou pratiques à risque.

Équilibre innovation / sécurité : Garantit que l’UE peut protéger les citoyens tout en permettant aux entreprises de continuer à innover sans surprises réglementaires injustifiées.

Exemple pratique

Une entreprise européenne utilise un système d’IA pour la sélection et l’évaluation automatique des candidats, classé dans l’Annexe III comme système à haut risque.

Le système analyse les CV, les entretiens vidéo et d’autres données pour proposer des recommandations d’embauche.

Il est soumis aux obligations strictes de l’IA Act depuis son entrée en vigueur.

Nouveaux risques identifiés

  • De nouvelles fonctionnalités d’IA permettent maintenant de prévoir la compatibilité culturelle ou la probabilité de turnover.
  • Ces fonctionnalités peuvent accentuer les biais existants et créer des discriminations indirectes, même si le système était déjà à haut risque

Application de l’article 7 : 

La Commission européenne décide d’adapter l’Annexe III pour préciser que les systèmes d’IA de recrutement incluant des fonctionnalités de prédiction comportementale sont explicitement à haut risque.

Elle suit la procédure consultative : consultation des États membres, des experts en IA et des associations professionnelles.

Ainsi pour l’entreprise, le système reste classé haut risque, mais certaines fonctionnalités supplémentaires doivent désormais :

  • Faire l’objet d’une évaluation approfondie des risques
  • Être documentées dans la documentation technique,
  • Respecter des obligations supplémentaires de transparence et de surveillance.

Cet exemple montre que l’article 7 permet à la Commission de mettre à jour l’Annexe III même pour des systèmes déjà classés haut risque, afin de tenir compte des évolutions technologiques et des nouveaux risques. Cela garantit une protection continue des droits fondamentaux tout en maintenant un cadre clair pour les entreprises. 

Votre système d’IA pourrait-il devenir « à haut risque » demain sans que vous le sachiez ?
L'article 7 prévoit que la Commission européenne puisse modifier la liste des systèmes d’IA à haut risque en fonction de l’évolution des usages et des risques.
Échanger avec un expert

Texte original de l’IA Act

Article 7 – Modification de l’annexe III 

1. La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier l’annexe III en y ajoutant des cas d’utilisation de systèmes d’IA à haut risque, ou en les modifiant, lorsque les deux conditions suivantes sont remplies:

a) les systèmes d’IA sont destinés à être utilisés dans l’un des domaines énumérés à l’annexe III;

b) les systèmes d’IA présentent un risque de préjudice pour la santé et la sécurité, ou un risque d’incidence négative sur les droits fondamentaux, et ce risque est équivalent ou supérieur au risque de préjudice ou d’incidence négative que présentent les systèmes d’IA à haut risque déjà visés à l’annexe III.

2. Lorsqu’elle évalue les conditions visées au paragraphe 1, point b), la Commission tient compte des critères suivants:

a) la destination du système d’IA;

b) la mesure dans laquelle un système d’IA a été utilisé ou est susceptible de l’être;

c) la nature et la quantité des données traitées et utilisées par le système d’IA, en particulier le traitement ou l’absence de traitement des catégories particulières de données à caractère personnel;

d) la mesure dans laquelle le système d’IA agit de manière autonome et la mesure dans laquelle l’homme peut intervenir pour annuler une décision ou des recommandations susceptibles de causer un préjudice potentiel;

e) la mesure dans laquelle l’utilisation d’un système d’IA a déjà causé un préjudice à la santé et à la sécurité, a eu une incidence négative sur les droits fondamentaux ou a suscité de graves préoccupations quant à la probabilité de ce préjudice ou de cette incidence négative, tel que cela ressort, par exemple, des rapports ou allégations documentées soumis aux autorités nationales compétentes ou d’autres rapports, le cas échéant;

f) l’ampleur potentielle d’un tel préjudice ou d’une telle incidence négative, notamment en ce qui concerne son intensité et sa capacité d’affecter plusieurs personnes ou d’affecter un groupe particulier de personnes de manière disproportionnée;

g) la mesure dans laquelle les personnes ayant potentiellement subi un préjudice ou une incidence négative dépendent des résultats obtenus au moyen d’un système d’IA, notamment parce qu’il n’est pas raisonnablement possible, pour des raisons pratiques ou juridiques, de s’affranchir de ces résultats;

h) la mesure dans laquelle il existe un déséquilibre de pouvoir, ou les personnes ayant potentiellement subi un préjudice ou une incidence négative se trouvent dans une situation vulnérable par rapport au déployeur d’un système d’IA, notamment en raison du statut, de l’autorité, de connaissances, de circonstances économiques ou sociales ou de l’âge;

i) la mesure dans laquelle les résultats obtenus en utilisant un système d’IA sont facilement corrigibles ou réversibles, compte tenu des solutions techniques disponibles pour les corriger ou les inverser, les résultats qui ont une incidence négative sur la santé, la sécurité ou les droits fondamentaux ne devant pas être considérés comme facilement corrigibles ou réversibles;

j) la probabilité que le déploiement du système d’IA présente des avantages pour certaines personnes, certains groupes de personnes ou la société dans son ensemble et la portée de ces avantages, y compris les améliorations éventuelles quant à la sécurité des produits;

k) la mesure dans laquelle le droit existant de l’Union prévoit:

i) des mesures de réparation efficaces en ce qui concerne les risques posés par un système d’IA, à l’exclusion des réclamations en dommages-intérêts;

ii) des mesures efficaces destinées à prévenir ou à réduire substantiellement ces risques.

3. La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier la liste figurant à l’annexe III en supprimant des systèmes d’IA à haut risque lorsque les deux conditions suivantes sont remplies:

a) le système d’IA à haut risque concerné ne présente plus de risques substantiels pour les droits fondamentaux, la santé ou la sécurité, compte tenu des critères énumérés au paragraphe 2;

b) la suppression ne diminue pas le niveau global de protection de la santé, de la sécurité et des droits fondamentaux en vertu du droit de l’Union.

Perspectives avec d’autres textes

Perspectives européennes

Étude du Parlement européen (2025) – Interplay between the AI Act and the EU digital legislative framework

Met en évidence la nécessité que l’actualisation de l’Annexe III reste cohérente avec d’autres régimes numériques européens (DSA, RGPD, NIS2, etc.), notamment pour les systèmes déployés dans les services en ligne à grande échelle.

Article 6 du règlement (UE) 2024/1689 (AI Act)

  • Définit la notion de système d’IA à haut risque et établit le lien avec l’Annexe III. L’article 7 s’appuie sur cette définition pour ajuster le champ des systèmes qualifiés de haut risque.

Article 97 du règlement (UE) 2024/1689 (AI Act)

  • Encadre l’exercice de la délégation de pouvoir accordée à la Commission européenne.
  • Précise les modalités de contrôle exercé par le Parlement et le Conseil sur les actes délégués, garantissant la légalité et l’équilibre institutionnel pour toute modification de l’Annexe III.

Article 290 du Traité sur le fonctionnement de l’Union européenne (TFUE)

  • Constitue le fondement juridique des actes délégués.
  • Permet de confier à la Commission le pouvoir de modifier des éléments non essentiels, comme l’Annexe III, sans réviser le règlement lui-même.

Perspectives françaises 

Recommandations CNIL 2025 – Développement des systèmes d’IA

Orientations sur la gestion des risques, qualité des données et analyse d’impact. Ces recommandations peuvent être rapprochées des critères de modification de l’Annexe III prévus à l’article 7(2).

FAQ CNIL “Entrée en vigueur du règlement européen sur l’IA”

Explique la logique des systèmes à haut risque et la possibilité d’actualiser la liste de l’Annexe III.

Votre système d’IA figure-t-il dans l’annexe III . L’équipe de DPO externe de Mon Expert RGPD vous accompagne.

← Article précédent - Article 6 : Pratiques interdites
Article suivant – Article 8 : Conformité aux exigences →

Menu IA Act

Besoin d’aide pour cet article ?

Comprendre les obligations liées à cet article et éviter les erreurs.

Échanger avec un expert

🔓 Échange confidentiel – Sans engagement

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.