La pyramide des risques de l'IA Act : 4 niveaux pour situer chacun de vos outils

Introduction

L'IA Act ne réglemente pas « l'intelligence artificielle » en bloc. Il aurait été absurde d'imposer les mêmes règles à un filtre anti-spam et à un algorithme qui décide d'accorder ou non un crédit. Le législateur européen a donc choisi une approche par les risques : plus un usage de l'IA peut affecter la sécurité, les droits ou les libertés des personnes, plus il est encadré.

Résultat : une pyramide à quatre niveaux. Savoir situer chacun de vos outils dans cette pyramide, c'est 80 % du travail de conformité. C'est l'objet de cet article.

Cet article fait partie de notre série IA Act pour les PME.

Niveau 1. Risque inacceptable : interdit, point final

Au sommet de la pyramide, huit pratiques sont purement et simplement interdites depuis le 2 février 2025 : manipulation comportementale causant un préjudice, exploitation des vulnérabilités (enfants, personnes en situation de handicap ou de précarité), notation sociale, reconnaissance des émotions au travail et à l'école, catégorisation biométrique déduisant des caractéristiques sensibles, prédiction criminelle par profilage seul, collecte massive non ciblée d'images faciales, et identification biométrique en temps réel dans l'espace public (hors exceptions très limitées pour les forces de l'ordre).

Pour une PME, le piège n'est pas de développer ces systèmes (vous ne le faites pas) mais d'en utiliser un sans le savoir, par exemple un outil de visioconférence qui « analyse l'engagement » des participants. Nous y consacrons l'article de demain.

Niveau 2. Haut risque : autorisé, mais très encadré

Le deuxième étage concerne les systèmes d'IA utilisés dans des domaines où une erreur peut sérieusement affecter la vie des personnes. L'Annexe III du règlement en dresse la liste : recrutement et gestion RH (tri de CV, évaluation des salariés, promotion, licenciement), accès au crédit et à l'assurance, éducation et formation (notation, admission), services publics essentiels, infrastructures critiques, justice, migration.

Ces systèmes ne sont pas interdits, mais soumis à des obligations lourdes : système de gestion des risques, données de qualité, documentation technique, supervision humaine, enregistrement dans la base de données européenne, marquage CE. Bonne nouvelle pour les PME : ces obligations, initialement prévues pour août 2026, sont repoussées au 2 décembre 2027 (voir notre calendrier mis à jour).

Point clé souvent ignoré : c'est l'usage qui détermine le niveau, pas l'outil. Un même assistant d'IA générative est à risque minimal quand il reformule vos emails, et bascule en haut risque si vous l'utilisez pour présélectionner des candidats.

Niveau 3. Risque limité : la transparence obligatoire

Le troisième étage regroupe les systèmes qui interagissent avec des personnes ou génèrent du contenu, sans prendre de décisions lourdes de conséquences. C'est ici que vivent la plupart des usages PME : chatbots, assistants conversationnels, générateurs de texte, d'images ou de vidéo.

L'obligation est simple à comprendre : ne pas tromper. Vos clients doivent savoir qu'ils parlent à une machine, et les contenus générés par IA doivent être identifiables comme tels. Ces règles (article 50) s'appliquent à partir du 2 août 2026 : c'est l'échéance la plus proche pour la majorité des PME. Checklist complète dans notre article de la semaine prochaine.

Niveau 4. Risque minimal : la liberté (responsable)

La base de la pyramide, et de loin la plus large : filtres anti-spam, correcteurs orthographiques, IA des jeux vidéo, systèmes de recommandation internes, maintenance prédictive, tri de documents… Aucune obligation spécifique, hormis le socle commun : la littératie IA de vos équipes (article 4, déjà en vigueur) et, bien sûr, le respect du RGPD qui ne disparaît pas.

L'immense majorité des usages d'IA en PME se situe à ce niveau. Autrement dit : pour la plupart de vos outils, l'IA Act ne vous demande quasiment rien. Encore faut-il l'avoir vérifié, et documenté.

Comment classer vos outils en pratique : la méthode en 3 questions

Question 1 : l'usage touche-t-il à une pratique interdite ? Reconnaissance d'émotions au travail, notation de personnes, manipulation… Si oui : arrêt immédiat.

Question 2 : l'usage influence-t-il des décisions importantes sur des personnes ? Embauche, évaluation, crédit, accès à un service essentiel… Si oui : haut risque, préparez décembre 2027.

Question 3 : l'outil interagit-il avec des humains ou génère-t-il du contenu ? Si oui : transparence obligatoire dès août 2026. Sinon : risque minimal, documentez et passez à autre chose.

Appliquez ces trois questions à chaque outil de votre inventaire IA. Et si vous n'avez pas encore d'inventaire IA, c'est le vrai point de départ (nous y reviendrons dans le plan d'action qui clôt cette série).

Ce qu'il faut retenir

La pyramide des risques est la grille de lecture centrale de l'IA Act : interdit / haut risque / transparence / liberté. Pour une PME, l'essentiel des usages relève des deux niveaux du bas, avec une obligation de transparence dès août 2026 et un socle de formation déjà en vigueur.

Le vrai risque n'est pas d'avoir des outils haut risque : c'est de ne pas savoir où se situent vos outils. Un inventaire et une classification, c'est précisément le premier livrable d'un diagnostic hIAppy Vision.

Demain : zoom sur les huit pratiques interdites depuis février 2025, dont certaines se cachent dans des outils du quotidien.