5 Min. de lecture<\/p>\n
Le 2 ao\u00fbt 2026 reste la date limite juridiquement contraignante pour les IA \u00e0 haut risque de l’Annexe III selon le r\u00e8glement europ\u00e9en sur l’IA (EU-AI-Act). Huit des 27 \u00c9tats membres ont officiellement d\u00e9sign\u00e9 leurs points de contact nationaux, la Commission europ\u00e9enne a manqu\u00e9 son d\u00e9lai de f\u00e9vrier pour ses lignes directrices, et le Conseil a vot\u00e9 le 13 mars 2026<\/a> en faveur d’un report au 2 d\u00e9cembre 2027 (syst\u00e8mes autonomes) et au 2 ao\u00fbt 2028 (syst\u00e8mes int\u00e9gr\u00e9s dans des produits). Quiconque exploite aujourd’hui un outil de screening RH ou un mod\u00e8le de scoring cr\u00e9dit planifie face \u00e0 une date limite incertaine avec une obligation de conformit\u00e9 totale.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n Qu’est-ce qu’un syst\u00e8me de l’Annexe III selon le r\u00e8glement europ\u00e9en sur l’IA ?<\/strong> L’Annexe III \u00e9num\u00e8re huit domaines dans lesquels l’IA est class\u00e9e comme \u00e0 haut risque : identification biom\u00e9trique, infrastructures critiques, \u00e9ducation et formation professionnelle, emploi et gestion des ressources humaines, acc\u00e8s \u00e0 des services essentiels tels que le scoring cr\u00e9dit et les prestations sociales, application de la loi, migration ainsi que l’administration judiciaire. Les syst\u00e8mes \u00e0 haut risque de l’Annexe III doivent respecter l’int\u00e9gralit\u00e9 des obligations du r\u00e8glement, y compris la gestion des risques, la gouvernance des donn\u00e9es, la documentation technique et l’\u00e9valuation de la conformit\u00e9 avec marquage CE.<\/p>\n Le Conseil a justifi\u00e9 sa position le 13 mars 2026 : en l’absence d’orientations techniques officielles et de structures nationales de supervision op\u00e9rationnelles dans la plupart des \u00c9tats membres, l’application des obligations relatives aux syst\u00e8mes \u00e0 haut risque \u00e0 compter du 2 ao\u00fbt 2026 reviendrait \u00e0 imposer une r\u00e8gle dans le vide. La Commission europ\u00e9enne avait d\u00e9j\u00e0 manqu\u00e9 l’\u00e9ch\u00e9ance de f\u00e9vrier pour publier ces orientations.<\/p>\n Au 28 avril : huit \u00c9tats membres ont officiellement d\u00e9sign\u00e9 leurs points de contact nationaux en mati\u00e8re d’IA. 19 font d\u00e9faut. Cette d\u00e9signation formelle en dit peu sur la capacit\u00e9 op\u00e9rationnelle de surveillance du march\u00e9 ; elle constitue toutefois la condition pr\u00e9alable \u00e0 toute \u00e9tape suivante. Les n\u00e9gociations en trilogue sur le \u00ab Digital Omnibus \u00bb sont en cours, et le texte final devrait \u00eatre arr\u00eat\u00e9 sous la pr\u00e9sidence chypriote du Conseil en mai 2026.<\/p>\n En attendant, le 2 ao\u00fbt 2026 reste la date d’application en vigueur. L’Allemagne mise, conform\u00e9ment \u00e0 sa loi sur la surveillance du march\u00e9 de l’IA, sur un mod\u00e8le de supervision hybride : la Bundesnetzagentur assure la coordination en tant qu’autorit\u00e9 centrale, compl\u00e9t\u00e9e par des organismes sectoriels selon le contexte du syst\u00e8me. Le BfDI est comp\u00e9tent pour les syst\u00e8mes \u00e0 haut risque li\u00e9s \u00e0 la protection des donn\u00e9es, la BaFin pour l’IA financi\u00e8re, tandis que le BSI apporte un soutien en mati\u00e8re de cybers\u00e9curit\u00e9 et de KRITIS. Les pouvoirs de surveillance du march\u00e9 incluent les amendes, les interdictions d’exploitation et les ordres de rappel.<\/p>\n L’annexe III de l’EU-AI-Act<\/a> d\u00e9finit huit domaines \u00e0 haut risque pr\u00e9sentant un lien direct avec la zone DACH : l’identification et la cat\u00e9gorisation biom\u00e9triques, les infrastructures critiques, l’\u00e9ducation et la formation professionnelle (par exemple l’\u00e9valuation des examens), l’emploi et la gestion du personnel (HR-Screening, Performance-Management), l’acc\u00e8s aux services essentiels (Kreditscoring, prestations sociales), la r\u00e9pression p\u00e9nale, les migrations et la justice.<\/p>\n Dans la pratique de mise en \u0153uvre en zone DACH, trois obligations passent r\u00e9guli\u00e8rement \u00e0 travers les mailles du filet. La gestion des risques au titre de l’art. 9 est souvent r\u00e9duite \u00e0 un document d’audit ponctuel, et non trait\u00e9e comme un processus continu sur l’ensemble du cycle de vie. La gouvernance de la qualit\u00e9 des donn\u00e9es vis\u00e9e \u00e0 l’art. 10 est formul\u00e9e sous forme de politique, mais rarement mesur\u00e9e objectivement au regard de la repr\u00e9sentativit\u00e9, des caract\u00e9ristiques statistiques et de la d\u00e9tection des biais. La surveillance post-commercialisation pr\u00e9vue \u00e0 l’art. 72 fait carr\u00e9ment d\u00e9faut dans la plupart des impl\u00e9mentations.<\/p>\n C’est l\u00e0 que r\u00e9side le c\u0153ur de la faille op\u00e9rationnelle. Le d\u00e9ficit r\u00e9glementaire au sein de l’appareil de supervision europ\u00e9en pourrait reporter l’\u00e9ch\u00e9ance de 16 mois. La faille op\u00e9rationnelle dans les entreprises ne dispara\u00eet pas pour autant.<\/p>\n \nL’application des obligations relatives aux syst\u00e8mes \u00e0 haut risque, en l’absence d’orientations officielles et d’infrastructures de supervision dans la plupart des \u00c9tats membres, reviendrait \u00e0 imposer une r\u00e8gle dans le vide. Les t\u00e2ches peuvent \u00eatre condens\u00e9es dans une liste minimale d’artefacts qui doivent \u00eatre disponibles avant le 2 ao\u00fbt 2026. Ce n’est qu’alors que des normes et des lignes directrices harmonis\u00e9es peuvent \u00eatre appliqu\u00e9es de mani\u00e8re significative.<\/p>\n Trois t\u00e2ches op\u00e9rationnelles ont un impact direct sur le domaine du CISO et de la conformit\u00e9. Premi\u00e8rement : le syst\u00e8me de gestion des risques conform\u00e9ment \u00e0 l’article 9 doit \u00eatre document\u00e9 en tant que processus continu, et non en tant qu’audit ponctuel. Identification, \u00e9valuation et mesures contre les risques pour la sant\u00e9, la s\u00e9curit\u00e9 et les droits fondamentaux tout au long du cycle de vie.<\/p>\n Deuxi\u00e8mement : la gouvernance de la qualit\u00e9 des donn\u00e9es conform\u00e9ment \u00e0 l’article 10. Les donn\u00e9es de formation, de validation et de test doivent \u00eatre pertinentes, repr\u00e9sentatives et exemptes d’erreurs dans la mesure du possible. Les propri\u00e9t\u00e9s statistiques des ensembles de donn\u00e9es par rapport aux groupes de personnes concern\u00e9s doivent \u00eatre prouv\u00e9es.<\/p>\n Troisi\u00e8mement : la surveillance post-march\u00e9 conform\u00e9ment \u00e0 l’article 72. Les fournisseurs doivent \u00e9tablir un syst\u00e8me de surveillance document\u00e9 pour la p\u00e9riode apr\u00e8s la mise sur le march\u00e9, y compris la journalisation, la notification d’incident et les mesures correctives.<\/p>\n\n
Les frictions ne se situent pas principalement au niveau des entreprises<\/h2>\n
Ce que recouvre l’annexe III et o\u00f9 se situe v\u00e9ritablement la faille op\u00e9rationnelle<\/h2>\n
\n– Position du Conseil de l’Union europ\u00e9enne, 13.03.2026 (r\u00e9sum\u00e9 non exhaustif, source : consilium.europa.eu<\/a>)<\/cite>\n<\/p><\/blockquote>\nCe dont les \u00e9quipes de s\u00e9curit\u00e9 et de conformit\u00e9 ont besoin dans les 90 prochains jours<\/h2>\n
\n