RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL RAPPORT ADOPTÉ EN APPLICATION DE L’ARTICLE 112, PARAGRAPHE 1, DU RÈGLEMENT (UE) 2024/1689, CONCERNANT LA NÉCESSITÉ DE RÉEXAMINER LA LISTE DES PRATIQUES D’IA INTERDITES ET DES SYSTÈMES D’IA À HAUT RISQUE FIGURANT À L’ANNEXE III

COMMISSION EUROPÉENNE

Bruxelles, le 20.5.2026

COM(2026) 234 final

RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL

RAPPORT ADOPTÉ EN APPLICATION DE L’ARTICLE 112, PARAGRAPHE 1, DU RÈGLEMENT (UE) 2024/1689, CONCERNANT LA NÉCESSITÉ DE RÉEXAMINER LA LISTE DES PRATIQUES D’IA INTERDITES ET DES SYSTÈMES D’IA À HAUT RISQUE FIGURANT À L’ANNEXE III

RAPPORT DE LA COMMISSION EUROPÉENNE AU PARLEMENT EUROPÉEN ET AU CONSEIL

RAPPORT ADOPTÉ EN APPLICATION DE L’ARTICLE 112, PARAGRAPHE 1, DU RÈGLEMENT (UE) 2024/1689, CONCERNANT LA NÉCESSITÉ DE RÉEXAMINER LA LISTE DES PRATIQUES D’IA INTERDITES ET DES SYSTÈMES D’IA À HAUT RISQUE FIGURANT À L’ANNEXE III

1. Contexte et informations générales

(1)Le règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant certains règlements (ci-après le «règlement sur l’IA» 1 ) est entré en vigueur le 1er août 2024. Ledit règlement établit un cadre juridique complet visant à réglementer l’intelligence artificielle (IA) dans l’Union. Ce cadre a pour but d’encourager l’innovation et l’adoption de l’IA, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux dans l’Union européenne (UE), y compris la démocratie et l’état de droit.

(2)Le règlement sur l’IA suit une approche fondée sur les risques, en classant les systèmes d’IA en quatre catégories de risque différentes: i) risque inacceptable; ii) haut risque; iii) risque pour la transparence; et iv) risque minimal, voire nul. Pour la catégorie des risques inacceptables, le règlement sur l’IA énumère des pratiques spécifiques en matière d’IA qui sont interdites dans l’UE (article 5 du règlement sur l’IA). Les systèmes d’IA sont classés comme «à haut risque» conformément à l’article 6 du règlement sur l’IA, en liaison avec l’annexe I («Liste de la législation d’harmonisation de l’Union») et l’annexe III de ce règlement. L’annexe III couvre huit domaines et énumère des cas d’utilisation concrets pour chaque domaine, que le Parlement européen et le Conseil ont considérés comme présentant un risque élevé de causer un préjudice à la santé et la sécurité des personnes ou aux droits fondamentaux.

(3)Le règlement sur l’IA est conçu comme un instrument juridique flexible et à l’épreuve du temps qui permet d’adapter certaines règles au rythme rapide des évolutions technologiques, ainsi qu’aux changements potentiels dans l’utilisation des systèmes d’IA et aux risques émergents. À cette fin, le règlement sur l’IA prévoit un suivi et une révision continus, afin de garantir que les règles restent pertinentes et efficaces. Cela s’applique avant même l’entrée en application de dispositions spécifiques, telles que les règles applicables aux systèmes d’IA à haut risque.

(4)L’article 112 du règlement sur l’IA prévoit un instrument de suivi spécifique pour évaluer et réexaminer le règlement sur l’IA. L’article 112, paragraphe 1, du règlement sur l’IA charge la Commission d’évaluer la nécessité de modifier la liste des systèmes d’IA à haut risque figurant à l’annexe III et la liste des pratiques d’IA interdites figurant à l’article 5 dudit règlement, une fois par an après l’entrée en vigueur du règlement et jusqu’à la fin de la période de délégation de pouvoir énoncée à son article 97. La Commission doit transmettre les conclusions de cette évaluation au Parlement européen et au Conseil.

(5)Le présent rapport est le premier adopté au titre de cette disposition. Son objectif est d’évaluer s’il est nécessaire de modifier la liste des cas d’utilisation figurant à l’annexe III ainsi que la liste des pratiques interdites en matière d’IA établie à l’article 5 du règlement sur l’IA afin de faire en sorte que ce règlement reste pertinent et efficace face à l’évolution rapide des technologies de l’IA. Le réexamen de la liste des domaines couverts par l’annexe III n’entre pas dans le cadre du présent rapport, étant donné que la Commission n’est tenue de procéder à ce réexamen que pour le 2 août 2028 au plus tard, conformément à l’article 112, paragraphe 2, du règlement sur l’IA.

(6)Le présent rapport commence par exposer la méthode utilisée pour son élaboration. Il applique ensuite cette méthode pour présenter une évaluation de la nécessité éventuelle de réexaminer la liste des cas d’utilisation à haut risque figurant à l’annexe III et la liste des pratiques interdites en matière d’IA figurant à l’article 5 du règlement sur l’IA.

(7)La portée de l’évaluation figurant dans le présent rapport est limitée car le règlement sur l'IA n'est entré en vigueur que récemment et son entrée en application était restreinte au moment de l’adoption du présent rapport. Le chapitre II du règlement sur l’IA («Pratiques interdites en matière d’IA») est entré en application le 2 février 2025. Toutefois, les règles relatives à l’application de ce chapitre ne s’appliqueront qu’à partir du 2 août 2026, et les autorités nationales compétentes sont toujours en cours de désignation. Les obligations relatives aux systèmes d’IA à haut risque énumérés à l’annexe III du règlement sur l’IA s’appliqueront à partir du 2 août 2026. Une éventuelle prolongation de ce délai est par ailleurs à l’examen 2 . En outre, si les lignes directrices de la Commission sur les pratiques interdites en matière d’IA ont été publiées en février 2025 3 , celles portant sur la classification des systèmes d’IA à haut risque sont toujours en cours d’élaboration. Par conséquent, des précisions concernant certaines notions et la classification de cas spécifiques d’utilisation de l’IA doivent encore être fournies dans ces lignes directrices et développées dans le cadre de l’application pratique de l’annexe III du règlement sur l’IA et des dispositions connexes.

2. Méthode adoptée pour le réexamen au titre de l’article 112, paragraphe 1, du règlement sur l’IA

(8)Conformément à l’article 112, paragraphe 11, du règlement sur l’IA, afin d’orienter les évaluations et les réexamens visés à son article 112, paragraphe 1, le Bureau de l’IA entreprendra de mettre au point une méthode objective et participative pour l’évaluation des niveaux de risque fondée sur les critères décrits dans les articles pertinents et l’inclusion de nouveaux systèmes dans la liste figurant à l’annexe III, y compris l’extension des rubriques de domaine existantes ou l’ajout de nouvelles rubriques de domaine dans ladite annexe, ainsi que dans la liste des pratiques interdites figurant à l’article 5 dudit règlement.

(9)La présente section du rapport présente l’approche méthodologique mise au point par le Bureau de l’IA pour garantir le respect de cette obligation lors de l’élaboration du présent rapport. Tout d’abord, elle donne un aperçu des critères juridiques applicables au réexamen de la liste des pratiques interdites en matière d’IA établie à l’article 5 du règlement sur l’IA et de la liste des systèmes d’IA à haut risque figurant à l’annexe III (section 2.1 ci-dessous). Ces critères juridiques éclairent l’évaluation plus approfondie de la nécessité d’un éventuel réexamen, en particulier s’agissant de systèmes d’IA spécifiques susceptibles de relever de ces deux catégories. Ensuite, le rapport décrit les méthodes participatives utilisées pour la collecte et l’analyse des éléments de preuve, ainsi que l’approche suivie tout au long du processus d’évaluation (section 2.2 ci-dessous).

2.1. Critères juridiques permettant d’évaluer la nécessité de modifier la liste des pratiques interdites en matière d’IA établie à l’article 5 du règlement sur l’IA et la liste des cas d’utilisation à haut risque figurant à l’annexe III du règlement sur l’IA

(10)L’évaluation de la nécessité de modifier la liste des pratiques interdites en matière d’IA au titre de l’article 5 du règlement sur l’IA, ainsi que les cas d’utilisation à haut risque énoncés à l’annexe III du règlement sur l’IA, est fondée sur des critères juridiques. Dans le cas de l’annexe III du règlement sur l’IA, ces critères sont explicitement prévus dans le règlement lui-même (article 7), tandis que pour l’article 5 du règlement sur l’IA, ils sont déduits de la logique qui sous-tend l’acte législatif.

2.1.1. Critères de révision de la liste des interdictions figurant à l’article 5

(11)L’article 5 du règlement sur l’IA interdit la mise sur le marché, la mise en service ou l’utilisation d’un nombre limité de systèmes d’IA à l’appui de pratiques de manipulation, d’exploitation, de contrôle social, de surveillance ou autres, qui, de par leur nature même, violent les droits fondamentaux et les valeurs de l’UE. Le considérant 28 du règlement sur l’IA précise que de telles pratiques sont particulièrement néfastes et abusives car elles sont contraires aux valeurs de l’Union relatives au respect de la dignité humaine, à la liberté, à l’égalité, à la démocratie et à l’état de droit, ainsi qu’aux droits fondamentaux consacrés dans la charte des droits fondamentaux de l’Union européenne (ci-après la «Charte») 4 . Par conséquent, un réexamen de l’article 5 du règlement sur l’IA peut être justifié chaque fois que des éléments de preuve substantiels donnent à penser que les interdictions actuelles ne prennent pas en compte de manière adéquate des pratiques d’IA nouvelles ou émergentes qui portent effectivement atteinte aux valeurs de l’Union ou aux droits fondamentaux consacrés par la Charte et sont considérées comme particulièrement néfastes et abusives.

(12)En outre, l’article 5, paragraphe 8, du règlement sur l’IA dispose que ledit règlement n’affecte pas les interdictions existantes au titre d’autres actes législatifs de l’Union. Cette disposition met l’accent sur les interactions qui se produisent entre le règlement sur l’IA et d’autres cadres juridiques du fait de la nature horizontale du règlement 5 . Dans l’ensemble, les interdictions prévues par le règlement sur l’IA visent principalement à traiter les cas qui ne sont prévus dans aucun autre acte législatif de l’UE et pour lesquels il convient d’adopter des règles fondées sur le marché et propres à l’IA. Toutefois, si d’autres actes juridiques de l’UE peuvent s’appliquer en parallèle, ils abordent inévitablement les questions sous des angles différents, avec des mécanismes d’application différents, et pourraient donc ne pas tenir suffisamment compte des risques globaux de certaines pratiques inacceptables en matière d’IA.

(13)En conséquence, l’approche adoptée par la Commission pour réexaminer la liste des pratiques interdites en matière d’IA figurant à l’article 5 du règlement sur l’IA consiste à évaluer la nécessité d’un réexamen, sous réserve d’au moins deux conditions cumulatives:

·il existe des pratiques d’IA nouvelles ou émergentes qui portent atteinte aux valeurs de l’Union ou aux droits et libertés énoncés dans la Charte et qui ne sont pas couvertes par la liste actuelle des pratiques interdites figurant à l’article 5 du règlement sur l’IA; et

·des lacunes réglementaires persistent malgré d’autres actes législatifs applicables de l’UE, ce qui nécessite un réexamen des interdictions du règlement sur l’IA afin de faire en sorte que les pratiques préjudiciables en matière d’IA soient couvertes de manière exhaustive.

(14)L’article 5 ne peut être modifié que par voie législative. Par conséquent, s’il s’avère nécessaire de modifier l’article 5 du règlement sur l’IA, la Commission présentera les conclusions de son évaluation au Parlement européen et au Conseil et examinera la nécessité de présenter une proposition législative à cet effet.

2.1.2. Critères de révision de la liste des systèmes d’IA à haut risque figurant à l’annexe III

(15)L’article 6 du règlement sur l’IA, en liaison avec les annexes I et III, traite de certaines utilisations des systèmes d’IA qui sont classées comme étant à haut risque en raison du risque important qu’elles présentent pour la santé et la sécurité, ou pour les droits fondamentaux des personnes. Les systèmes d’IA à haut risque ne devraient être mis sur le marché de l’Union, mis en service ou utilisés que s’ils satisfont à certaines exigences obligatoires énoncées dans le règlement sur l’IA et destinées à faire face à ces risques.

Limitation de l’examen aux cas d’utilisation des systèmes d’IA à haut risque énumérés à l’annexe III

(16)Le règlement sur l’IA établit une distinction entre deux catégories de systèmes d’IA qui sont classés comme «à haut risque» au sens de l’article 6, paragraphes 1 et 2, du règlement sur l’IA. La première catégorie est constituée des systèmes d’IA qui sont intégrés en tant que composants de sécurité dans des produits ou qui sont eux-mêmes des produits régis par la législation d’harmonisation de l’Union répertoriée à l’annexe I, qui pourraient avoir une incidence négative sur la santé et la sécurité des personnes, et qui sont donc classés comme étant à haut risque conformément à l’article 6, paragraphe 1, du règlement sur l’IA. La deuxième catégorie couvre des systèmes d’IA qui, compte tenu de leur destination, sont considérés comme présentant un risque important pour la santé, la sécurité ou les droits fondamentaux et qui sont donc classés comme étant à haut risque conformément à l’article 6, paragraphe 2, du règlement sur l’IA.

(17)Étant donné que l’article 112, paragraphe 1, du règlement sur l’IA met l’accent sur la nécessité éventuelle d’un réexamen des cas d’utilisation à haut risque énumérés à l’annexe III, les systèmes d’IA qui sont des composants de sécurité de produits, ou qui sont eux-mêmes des produits, relevant du champ d’application de certaines législations d’harmonisation de l’UE énumérées à l’annexe I, n’entrent pas dans le cadre du présent rapport. La référence aux systèmes d’IA à haut risque dans le présent rapport renvoie uniquement aux systèmes d’IA autonomes 6 relevant des domaines prédéfinis énumérés à l’annexe III.

Critères énumérés à l’article 7 pour la modification des cas d’utilisation de systèmes d’IA à haut risque

(18)L’article 7 du règlement sur l’IA habilite la Commission à modifier, par voie d’actes délégués, l’annexe III en ajoutant, modifiant ou supprimant des cas d’utilisation de systèmes d’IA à haut risque afin de tenir compte du rythme rapide de l’évolution technologique, ainsi que des changements potentiels dans l’utilisation des systèmes d’IA (voir également les considérants 52 et 173 du règlement sur l’IA). Cette habilitation est soumise aux conditions énoncées à l’article 7, paragraphes 1 à 3, du règlement sur l’IA.

(19)Tout d’abord, l’article 7, paragraphe 1, du règlement sur l’IA dispose que la Commission peut adopter des actes délégués pour ajouter de nouveaux cas d’utilisation à l’annexe III ou pour modifier ceux actuellement énumérés dans cette annexe, à condition i) que les systèmes d’IA soient destinés à être utilisés dans l’un des huit domaines énumérés à l’annexe III et ii) qu’ils présentent un risque de préjudice équivalent ou supérieur à ceux que présentent les systèmes déjà énumérés. Cette deuxième condition fixe un seuil d’évaluation comparative des risques: une condition essentielle pour dresser la liste des cas d’utilisation supplémentaires de systèmes d’IA à haut risque est qu’ils doivent présenter un risque de préjudice pour la santé et la sécurité, ou un risque d’incidence négative sur les droits fondamentaux, équivalent au risque que présentent les systèmes déjà visés à l’annexe III. Cela garantit la cohérence et la proportionnalité dans la classification des systèmes d’IA à haut risque.

(20)L’article 7, paragraphe 2, définit les critères à prendre en considération pour déterminer si ce seuil est atteint. Il s’agit notamment de la destination du système d’IA, de la mesure dans laquelle il est susceptible d’être utilisé, de la nature des données traitées, et de l’ampleur actuelle et potentielle du préjudice. Le considérant 52 du règlement sur l’IA précise la logique sous-jacente de ces critères en établissant qu’il convient de classer les systèmes d’IA autonomes comme étant à haut risque si, au vu de leur destination, ils présentent un risque élevé de causer un préjudice à la santé, à la sécurité ou aux droits fondamentaux des citoyens, en tenant compte à la fois de la gravité et de la probabilité du préjudice éventuel, et s’ils sont utilisés dans un certain nombre de domaines spécifiquement prédéfinis dans le règlement sur l’IA. La Commission dispose d’une certaine marge d’appréciation dans l’application des critères, pour autant qu’ils soient dûment pris en compte et considérés comme remplis dans l’évaluation globale.

(21)Par conséquent, la modification de la liste figurant à l’annexe III du règlement sur l’IA ne se fonde pas seulement sur la nouveauté technologique ou une préoccupation publique, mais sur l’existence d’un risque démontrable et comparable présenté par des systèmes d’IA pour la santé, la sécurité ou les droits fondamentaux, semblable à celui des systèmes d’IA actuellement énumérés à l’annexe III.

Suppression de cas d’utilisation de systèmes d’IA à haut risque de l’annexe III

(22)L’article 7, paragraphe 3, du règlement sur l’IA précise les conditions à remplir pour supprimer des systèmes d’IA à haut risque de la liste de l’annexe III. À cette fin, la Commission doit démontrer que le cas d’utilisation ne présente plus de risque élevé de préjudice et que sa suppression ne réduirait pas le niveau global de protection de la santé et de la sécurité ou des droits fondamentaux en vertu du droit de l’Union.

2.2. Méthode de collecte et d’analyse objective et participative d’éléments de preuve utilisée dans le présent rapport et procédures suivies

(23)Conformément à l’article 112, paragraphe 11, du règlement sur l’IA, le Bureau de l’IA doit entreprendre de mettre au point une méthode objective et participative pour l’évaluation de la nécessité d’un réexamen couverte par le rapport. En outre, conformément à l’article 112, paragraphes 8 et 9, du règlement sur l’IA, la Commission peut demander des informations au Comité européen de l’intelligence artificielle (ci-après le «Comité IA»), aux États membres et aux autorités nationales compétentes lors de l’élaboration de son rapport et elle doit tenir compte des positions et des conclusions du Comité IA, du Parlement européen, du Conseil et d’autres organismes ou sources pertinents lors de ses évaluations et réexamens.

(24)Conformément à ces dispositions, la Commission a appliqué la méthode suivante pour l’élaboration du présent rapport:

·Dialogue avec le Comité IA et consultation des États membres et des autorités nationales compétentes

La Commission a noué un dialogue avec les États membres et leurs autorités nationales compétentes respectives dans le cadre du processus de désignation, en soumettant des questions pertinentes par l’intermédiaire du Comité IA. Plusieurs sous-groupes du Comité IA ont participé à ce processus.

·Consultation des parties prenantes

Une consultation multipartite a été menée afin de recueillir les avis et les points de vue d’un large éventail de parties prenantes, y compris des représentants de l’industrie, du monde universitaire, de la société civile et du grand public.

·Recherches empiriques: analyse des bases de données sur les incidents liés à l’IA

La Commission a également analysé les bases de données pertinentes sur les incidents liés à l’IA afin de garantir une approche globale et fondée sur des données probantes, qui s’appuie sur des éléments de preuve empiriques pointant les préjudices causés par les systèmes d’IA.

(25)Les sections ci-dessous examinent plus en détail la méthode utilisée pour la collecte et l’analyse objectives et participatives des éléments de preuve utilisés dans le présent rapport. Elles détaillent les approches qui ont été adoptées pour faire en sorte que les informations recueillies soient complètes et intègrent les perspectives de diverses parties prenantes, favorisant ainsi une évaluation transparente, fondée sur des données probantes et bien étayée.

3. Analyse des informations recueillies

3.1. Analyse des contributions issues de la consultation avec les États membres et le Comité IA

(26)Le Bureau de l’IA a consulté les États membres par l’intermédiaire des sous-groupes concernés du Comité IA 7 et les a invités à apporter leur contribution directement au cours des réunions ou par écrit.

3.1.1. Position des États membres sur la nécessité de réexaminer la liste des pratiques interdites figurant à l’article 5 du règlement sur l’IA

Position générale

(27)Lors de la consultation du sous-groupe compétent du Comité IA, la majorité des États membres présents ont déclaré qu’à ce stade, ils ne voyaient pas la nécessité de modifier la liste des pratiques interdites en matière d’IA établie à l’article 5 du règlement sur l’IA. En outre, neuf États membres ont transmis des déclarations écrites par courrier électronique, confirmant eux aussi qu’ils ne jugeaient pas nécessaire de modifier cette liste. Des réponses comparables ont également été reçues de la part des deux observateurs du sous-groupe.

(28)Les représentants des États membres interrogés ont fait observer à plusieurs reprises que, étant donné que les dispositions du règlement sur l’IA concernant la définition des systèmes d’IA et des pratiques interdites n’ont commencé à s’appliquer que le 2 février 2025, que les règles d’exécution n’entreront en vigueur que le 2 août 2026 et que les mécanismes d’exécution ne sont pas encore opérationnels, l’évaluation des pratiques particulièrement néfastes et abusives qui sont contraires aux valeurs et aux droits fondamentaux de l’Union ne fait que commencer. En raison du peu de temps écoulé depuis l’entrée en application de l’article 5 du règlement sur l’IA, il existe actuellement un manque d’expérience pratique et de cas d’utilisation concrets sur la base desquels l’efficacité des interdictions prévues par le règlement sur l’IA peut être évaluée. Il a donc été estimé qu’une contribution plus significative pourrait être fournie lorsque les dispositions pertinentes auront été en vigueur pendant une période plus longue. Les États membres ont fait observer que, dans l’état actuel des choses, trop peu de données ou d’analyses concrètes étaient disponibles pour justifier une révision.

(29)À la lumière de ces considérations, la position générale des États membres était que tout effort visant à réviser ou à modifier la liste des pratiques interdites serait plus approprié à un stade ultérieur, une fois qu’une expérience suffisante en matière de mise en œuvre aura été acquise.

Problèmes signalés en vue d’un suivi plus approfondi

(30)Un État membre a suggéré qu’il serait peut-être pertinent d’évaluer la possibilité d’inclure dans la liste des pratiques interdites en matière d’IA les systèmes d’IA destinés à développer ou à distribuer des logiciels malveillants susceptibles de nuire à des infrastructures critiques, de compromettre des bases de données ou de créer des risques pour les droits fondamentaux. Après avoir analysé cette suggestion, la Commission a estimé que les risques auxquels une telle interdiction permettrait de remédier semblaient suffisamment couverts par diverses législations de l’Union 8 , mais a pris note de la question en vue d’un suivi et d’une évaluation plus approfondis.

3.1.2. Position des États membres sur la nécessité de modifier les cas d’utilisation à haut risque visés à l’annexe III du règlement sur l’IA

Position générale

(31)La nécessité de modifier la liste des cas d’utilisation à haut risque figurant à l’annexe III du règlement sur l’IA a été examinée lors de plusieurs réunions des sous-groupes du Comité IA. Au cours de ces réunions, de nombreux États membres présents ont déclaré ne pas voir pour l’instant la nécessité de modifier l’annexe III. En outre, sept États membres ont transmis des déclarations écrites par courrier électronique, confirmant qu’eux non plus ne jugeaient pas nécessaire de modifier l’annexe III à ce stade.

(32)À l’instar des considérations exposées ci-dessus en ce qui concerne d’éventuelles modifications de la liste des pratiques interdites en matière d’IA figurant à l’article 5 du règlement sur l’IA, les États membres répondants ont fait observer à plusieurs reprises qu’ils continuaient d’évaluer les implications du cadre législatif sur les cas actuels d’utilisation à haut risque de l’IA énumérés à l’annexe III. Les règles relatives aux systèmes d’IA à haut risque ne sont pas encore applicables, et les lignes directrices correspondantes de la Commission sur la classification des systèmes d’IA à haut risque n’ont pas encore été publiées. Compte tenu de ces considérations, les États membres ont estimé, de manière générale, qu’il était prématuré d’apporter des modifications à la liste actuelle des cas d’utilisation à haut risque figurant à l’annexe III du règlement sur l’IA.

Problèmes signalés en vue d’un suivi plus approfondi

(33)Deux États membres ont fait part de leurs préoccupations concernant certains cas spécifiques d’utilisation de l’IA 9 .

(34)L’une des préoccupations concernait la réglementation des dialogueurs d’auto-assistance (thérapie) 10 fondés sur l’IA qui ne relèvent pas du règlement relatif aux dispositifs médicaux 11 . Les dialogueurs d’auto-assistance (thérapie) fondés sur l’IA sont des outils numériques alimentés par l’IA et conçus pour fournir aux utilisateurs un soutien en matière de santé mentale et une aide émotionnelle au moyen d’interfaces conversationnelles. Bien qu’ils soient présentés comme des outils de bien-être plutôt que comme des dispositifs médicaux, ils ont néanmoins une incidence sur les décisions des utilisateurs en matière de santé mentale et peuvent traiter des données à caractère personnel sensibles. Par conséquent, il existe un risque que le soutien et l’aide émotionnelle fournis par ces dialogueurs puissent avoir une incidence négative sur la santé mentale des personnes. À la lumière de ce qui précède, un État membre a soulevé la question de savoir si ces systèmes devraient être classés comme systèmes d’IA à haut risque.

(35)Après avoir analysé cette question, la Commission considère que, lorsque les dialogueurs d’auto-assistance répondent à la définition d’un dispositif médical, ils sont soumis aux exigences et contrôles stricts prévus par le règlement relatif aux dispositifs médicaux. En outre, les dialogueurs d’auto-assistance fondés sur l’IA les plus préjudiciables relèvent potentiellement des interdictions énoncées à l’article 5, points a) et b), du règlement sur l’IA. En ce qui concerne la classification d’autres dialogueurs d’auto-assistance fondés sur l’IA comme étant à haut risque, la plupart de ces systèmes d’IA ne pourraient pas faire partie de l’un des cas d’utilisation figurant actuellement à l’annexe III, si ce n’est certaines exceptions spécifiques déjà couvertes par les cas d’utilisation 12 . En outre, au moins dans une certaine mesure, les obligations de divulgation énoncées à l’article 50 du règlement sur l’IA peuvent servir de mesure d’atténuation pour faire face à certains des risques associés aux dialogueurs d’auto-assistance fondés sur l’IA, en particulier ceux liés à une prise de décision éclairée et à l’incidence psychologique potentielle de l’interaction sur les personnes. Avant d’envisager toute modification de l’annexe III, la Commission évaluera donc la manière dont ces dispositions remédient aux risques susmentionnés dans la pratique. La Commission reconnaît néanmoins qu’à ce stade, l’utilisation et les risques potentiels associés à ce type de système d’IA devraient faire l’objet d’un suivi étroit et d’une collecte de preuves supplémentaires dans les années à venir, en particulier une fois que les dispositions du règlement sur l’IA relatives aux systèmes d’IA à haut risque commenceront à s’appliquer.

(36)Une autre préoccupation portait sur l’apprentissage personnalisé fondé sur l’IA. L’analyse actuelle fondée sur les critères énumérés à l’article 7 du règlement sur l’IA a conduit la Commission à conclure que les systèmes d’apprentissage autodidacte (indépendant) fondés sur l’IA ne présentent pas, dans la plupart des cas, de risques équivalents ou supérieurs à ceux posés par les systèmes d’IA énumérés à l’annexe III du règlement sur l’IA. En particulier, il existe peu de preuves empiriques d’un risque élevé de préjudice lié à ces systèmes et aucun incident impliquant ces systèmes n’a été recensé. La conclusion est sensiblement la même pour les systèmes d’IA utilisés en vue de développer des supports d’apprentissage à contenu personnalisé dans le contexte de l’apprentissage autodidacte (indépendant). D’autres cas d’utilisation de l’apprentissage personnalisé fondé sur l’IA sont recensés en vue d’une clarification ultérieure dans les prochaines lignes directrices de la Commission sur la classification des systèmes à haut risque.

(37)Enfin, un État membre a suggéré d’étendre l’annexe III du règlement sur l’IA afin de couvrir les cas d’utilisation de l’IA pour l’octroi d’autorisations par les autorités publiques dans les cas où une personne demande, par exemple, un permis de conduire, un permis en relation avec la détention d’armes à feu et de munitions, ou un permis pour la manipulation de substances chimiques ou pour le travail avec des explosifs. À ce stade, il n’existe que peu de preuves attestant que de tels cas d’utilisation justifient une classification à haut risque sur la base des critères énoncés à l’article 7 du règlement sur l’IA. À la lumière de ce qui précède, la Commission estime que ces risques méritent un suivi plus approfondi.

3.2. Analyse des contributions issues de la consultation des parties prenantes

(38)Du 6 juin au 18 juillet 2025, la Commission a organisé une consultation multipartite 13 afin de recueillir des contributions sur la mise en œuvre des dispositions du règlement sur l’IA relatives aux systèmes d’IA à haut risque. Cette consultation comprenait également plusieurs questions relatives à la nécessité éventuelle de modifier la liste des cas d’utilisation à haut risque figurant à l’annexe III du règlement sur l’IA et la liste des pratiques interdites en matière d’IA figurant à l’article 5 du règlement sur l’IA.

(39)Au total, 547 réponses ont été reçues de la part de diverses parties prenantes, dont des entreprises, des organisations de la société civile, les milieux universitaires, des institutions publiques et des personnes agissant à titre privé 14 .

3.2.1. Avis des parties prenantes quant à la nécessité de réexaminer la liste des interdictions figurant à l’article 5 du règlement sur l’IA

(40)Si bon nombre de parties prenantes ont estimé que la liste actuelle était suffisante 15 , d’autres ont proposé d’inclure des interdictions supplémentaires 16 . Aucune majorité des parties prenantes interrogées ne s'est dégagée en faveur de la suppression d’interdictions existantes.

(41)La Commission a évalué les pratiques que les parties prenantes suggéraient d'ajouter à la liste des interdictions en appliquant la méthode et les critères décrits à la section 2.1.1 ci-dessus. En particulier, elle a cherché à recenser, sur la base des suggestions reçues, les pratiques pouvant être considérées comme particulièrement néfastes et abusives, contraires aux valeurs et aux droits fondamentaux de l’Union, et insuffisamment prises en considération par la législation existante de l’Union. Cette approche a servi de base à l’évaluation visant à déterminer s'il était justifié d'ajouter ces pratiques à la liste des pratiques interdites en matière d’IA, ou s’il serait plus approprié de les traiter au moyen d’autres mécanismes réglementaires dans le cadre du règlement sur l’IA ou, éventuellement, d’autres actes législatifs de l’UE.

(42)L'évaluation a conclu que, parmi les pratiques faisant l'objet de suggestions, un nombre considérable était suffisamment pris en compte par les dispositions existantes du règlement sur l’IA, que ce soit dans le cadre des interdictions énoncées à l’article 5 du règlement sur l’IA, de la classification de certains systèmes d’IA comme étant à haut risque au titre de l’annexe III ou de l’annexe I du règlement sur l’IA, ou encore des exigences de transparence énoncées à l’article 50 du règlement sur l’IA. Certaines des suggestions, lorsqu’elles ont été évaluées à la lumière du stade actuel de développement et de déploiement de l’IA, ainsi qu’en tenant compte des incidents enregistrés en lien avec l’IA, ne semblaient pas atteindre le seuil d’interdiction prévu par le règlement sur l’IA 17 .

(43)Les préoccupations suivantes, exprimées à plusieurs reprises par les parties prenantes, ont été notées en vue d’un suivi et d’une évaluation plus approfondis des pratiques:

·dans le domaine de la biométrie, de nombreuses suggestions avaient trait à l’élargissement de l’interdiction de l’utilisation des technologies de reconnaissance des émotions prévue à l’article 5, paragraphe 1, point f), du règlement sur l’IA. Une telle utilisation est interdite sur le lieu de travail et dans les établissements d’enseignement 18 . L’utilisation de ces systèmes dans tous les autres domaines est classée comme à haut risque au titre de l’annexe III, point 1, du règlement sur l’IA. En outre, l’article 50, paragraphe 3, du règlement sur l’IA exige que les déployeurs de systèmes de reconnaissance des émotions informent les personnes physiques qui y sont exposées du fonctionnement de ces systèmes. Toutefois, plusieurs répondants ont fait part de leurs préoccupations concernant leur déploiement dans des contextes sensibles, tels que la migration, et ont proposé que, plutôt que d’être soumis à des exigences réglementaires applicables aux systèmes à haut risque, leur utilisation dans ces domaines spécifiques soit expressément interdite. En raison de l’absence de preuves empiriques selon lesquelles la classification de ces systèmes comme étant à haut risque ne suffit pas à garantir la protection des droits fondamentaux, la Commission ne voit pas la nécessité immédiate de modifier l’article 5 du règlement sur l’IA à cet égard. Toutefois, ce domaine doit faire l’objet d’un examen plus approfondi;

·la question de la classification des systèmes d’IA permettant de créer des interfaces trompeuses ou favorisant une conception addictive a été soulevée par plusieurs parties prenantes. Selon l’évaluation actuelle de la Commission, les cas les plus préjudiciables de telles pratiques sont déjà couverts par les interdictions existantes, en particulier celles énumérées à l’article 5, paragraphe 1, points a) et b), du règlement sur l’IA. En outre, ces pratiques, qu’elles soient ou non fondées sur l’IA, peuvent être couvertes par d’autres actes législatifs de l’Union, tels que la directive sur les pratiques commerciales déloyales 19 et la législation sur les services numériques 20 . Néanmoins, elles restent un sujet de préoccupation important. Il est jugé nécessaire de suivre de près leur évolution afin d’évaluer si la législation existante de l’UE continue d’offrir une protection adéquate, en particulier lorsque les systèmes d’IA permettent de créer des interfaces trompeuses ou favorisent une conception addictive;

·plusieurs parties prenantes ont attiré l’attention sur les systèmes d’IA qui facilitent les escroqueries et génèrent des images de personnes dénudées et d’autres hypertrucages malveillants et dégradants. Ces pratiques préjudiciables ont également été recensées dans l’analyse des incidents et sont examinées plus en détail à la section 3.3.3 ci-dessous.

3.2.2. Avis des parties prenantes sur la nécessité de modifier les cas d’utilisation visés à l’annexe III du règlement sur l’IA

(44)Bien qu’un nombre important de parties prenantes aient estimé que la liste existante des cas d’utilisation à haut risque figurant à l’annexe III du règlement sur l’IA était adéquate 21 , d’autres ont suggéré d’ajouter de nouveaux cas d’utilisation aux rubriques de domaines existantes ou d’étendre les cas d’utilisation actuels, ou se sont interrogés sur l'opportunité d’ajouter de nouvelles rubriques de domaines à ladite annexe 22 . Selon la majorité des parties prenantes, aucun des cas d’utilisation actuels de l’annexe III ne devrait être supprimé.

(45)La Commission a estimé qu’un nombre considérable des propositions étaient suffisamment prises en compte par les dispositions existantes du règlement sur l’IA 23 . Les autres propositions visant à inclure des cas d’utilisation et des rubriques de domaines supplémentaires ont été évaluées à la lumière des critères énumérés à l’article 7 du règlement sur l’IA (voir section 2.1.2 ci-dessus). Plusieurs cas d’utilisation proposés ont été examinés, mais ils n’ont pas été considérés comme présentant un risque de préjudice équivalent ou supérieur à ceux déjà énumérés à l’annexe III du règlement sur l’IA 24 . Il a été considéré que certaines des préoccupations soulevées par les parties prenantes étaient probablement déjà couvertes par la liste des cas d’utilisation à haut risque figurant à l’annexe III du règlement sur l’IA et qu'elles feraient l’objet de précisions supplémentaires dans les lignes directrices sur la classification des systèmes d’IA à haut risque qui sont en cours d’élaboration par la Commission 25 .

(46)Les préoccupations suivantes, soulevées à plusieurs reprises par les parties prenantes, ont été recensées par la Commission en vue d’un suivi et d’une évaluation continus à la lumière de l’évolution des pratiques:

·un nombre important de suggestions concernaient l’annexe III, point 5, du règlement sur l’IA. En ce qui concerne le point 5 a), plusieurs parties prenantes se sont interrogées sur l’absence de référence explicite aux systèmes d’IA utilisés dans l’administration publique pour gérer l’accès aux prestations sociales et au logement social. En ce qui concerne le point 5 b), les parties prenantes ont fait observer que les systèmes d’IA utilisés pour le filtrage des locataires et l’éligibilité des services privés (par exemple, télécommunications, services d’utilité publique) ne sont pas clairement couverts. En ce qui concerne le point 5 c), des préoccupations ont été exprimées quant au fait que le cas d’utilisation à haut risque actuel se limite à l’assurance-vie et à l’assurance maladie, sans mention d’autres assurances essentielles (par exemple, les assurances portant sur les véhicules automoteurs, la responsabilité civile professionnelle, les propriétaires de logements ou encore l’invalidité). Il est également suggéré d’étendre le point 5 d) afin d’y inclure les systèmes d’IA qui influencent les décisions d’intervention d’urgence ayant une incidence sur la sécurité et les droits (par exemple, l’évacuation forcée, les confinements). Bien qu’il ait été pris bonne note d’un grand nombre de suggestions en vue de leur prise en compte dans les futures lignes directrices de la Commission sur la classification des systèmes à haut risque, le Bureau de l’IA suivra de près le déploiement des systèmes d’IA dans le domaine couvert par l’annexe III, point 5, du règlement sur l’IA, notamment dans les situations où aucun cas d’utilisation à haut risque pertinent n’existe à l’annexe III en ce qui concerne des systèmes d’IA spécifiques. Une attention particulière sera accordée à la collecte de données empiriques sur les préjudices réels et au recensement des éventuelles lacunes réglementaires qui pourraient justifier de modifier ou de compléter la liste des cas d’utilisation à haut risque figurant à l’annexe III, point 5, ou, plus généralement, l’intitulé de la rubrique;

·confirmant la préoccupation exprimée par un État membre (voir section 3.1 ci-dessus), un problème récurrent dans la consultation des parties prenantes concernait les compagnons IA et les dialogueurs de soutien psychologique fondés sur l’IA. Ces systèmes d’IA ont été pointés par les parties prenantes dans le contexte de la nécessité potentielle de modifier les pratiques interdites en matière d’IA ainsi qu’en relation avec les cas d’utilisation visés à l’annexe III. Comme indiqué ci-dessus, si ces systèmes exercent une influence subliminale, manipulatrice ou trompeuse, ou exploitent des vulnérabilités de manière préjudiciable, ils peuvent relever des interdictions prévues à l’article 5, points a) et b), du règlement sur l’IA. Lorsqu’ils comportent des éléments de reconnaissance des émotions, ils peuvent être classés comme étant à haut risque en vertu de l’annexe III, point 1 c), du règlement sur l’IA. Des obligations de transparence s’appliquent également pour garantir que les utilisateurs sachent qu’ils interagissent avec un dialogueur fondé sur l’IA ou qu’ils sont soumis à des systèmes de reconnaissance des émotions ou de catégorisation biométrique. Des garanties supplémentaires sont prévues par la législation sur les services numériques 26 et la législation de l’UE en matière de protection des données, le cas échéant 27 . Néanmoins, compte tenu de la prolifération croissante des compagnons IA et des dialogueurs de soutien psychologique fondés sur l’IA, la Commission estime qu’il est important de suivre de près leur évolution dans les années à venir afin de recueillir de nouveaux éléments probants et d’évaluer si le cadre législatif existant reste adéquat pour parer aux risques qu’ils peuvent présenter;

·certaines parties prenantes ont suggéré de classer les systèmes d’IA utilisés dans le recouvrement et l’exécution des créances comme étant à haut risque, compte tenu de leur utilisation croissante par les fournisseurs d’énergie, de télécommunications et de services financiers. Ces systèmes d’IA pourraient potentiellement relever des rubriques de l’annexe III, point 5 ou 8, du règlement sur l’IA. Ces systèmes feront l’objet d’une surveillance supplémentaire de la part de la Commission afin de voir dans quelle mesure ils sont déployés de manière intensive et quels sont les préjudices qui peuvent survenir, en particulier en ce qui concerne les consommateurs vulnérables;

·plusieurs parties prenantes ont proposé d’étendre le champ d’application de l’annexe III, point 2, du règlement sur l’IA, qui concerne les systèmes d’IA utilisés dans le domaine des infrastructures critiques. Elles proposent que ce domaine couvre non seulement les systèmes d’IA fonctionnant comme des composants de sécurité, mais aussi un éventail plus large de systèmes faisant partie intégrante de la fiabilité et de la continuité de l’infrastructure. Compte tenu de ces suggestions, une surveillance plus approfondie des systèmes d’IA utilisés dans ce domaine est nécessaire pour évaluer l’intensité du déploiement et les préjudices que ces systèmes peuvent causer dans la pratique.

3.3. Recherches empiriques: analyse des bases de données sur les incidents liés à l’IA et d’autres sources

(47)Aux fins du présent rapport, les informations figurant dans les bases de données pertinentes sur les incidents liés à l’IA ont également été consultées et analysées. Cette recherche documentaire a été menée afin de recenser les pratiques dangereuses et les incidents passés causés par des systèmes d’IA qui pourraient fournir des preuves empiriques de risques pour la santé, la sécurité et les droits fondamentaux qui se seraient concrétisés afin d’éclairer l’évaluation de la nécessité d’une révision. Si la recherche empirique décrite dans la section suivante fournit une source supplémentaire pour la cartographie des données relatives aux préjudices et aux incidents dus aux systèmes d’IA, elle présente des limites intrinsèques puisque les bases de données analysées ne contiennent pas des informations complètes et vérifiées sur tous les incidents liés à l’IA. De nombreux incidents ont également une envergure mondiale et ne sont pas limités à l’Europe et les informations détaillées qui permettraient de catégoriser correctement les incidents relevant du règlement sur l’IA ne sont pas toujours disponibles.

3.3.1. Bases de données et calendrier

(48)Ces recherches documentaires s’appuyaient principalement sur la base de données AI Incidents and Hazards Monitor (AIM) 28 de l’Organisation de coopération et de développement économiques (OCDE). Cette base de données est un projet gratuit et ouvert consacré à l’indexation de l’historique des préjudices ou des quasi-préjudices qui se sont matérialisés dans le monde réel du fait du déploiement de systèmes d’IA. Elle est fondée sur l’IA et recueille des informations sur les incidents liés à l’IA auprès de sources publiques (principalement des incidents liés à l’IA couverts par les médias). La Commission a également consulté le répertoire des risques liés à l’IA 29 de l’Institut de technologie du Massachusetts (MIT) 30 . Cette base de données a été principalement consultée aux fins de l’élaboration de la méthode d’analyse des incidents.

(49)En raison de la nature des bases de données sur les incidents, qui ne publient que de brefs résumés des événements signalés, les analyses s’appuyant sur ces sources sont, dans une certaine mesure, limitées. Les descriptions concises ne permettent pas systématiquement d’évaluer avec précision les caractéristiques des incidents, pas plus qu’elles ne permettent toujours de les classer avec exactitude selon le cadre méthodologique utilisé dans le présent rapport, comme indiqué à la section 2.1 ci-dessus. Étant donné ces limitations et contraintes, le présent rapport emploie des termes quantitatifs généralisés (tels que «partie substantielle» ou «petite partie»), au lieu de fournir des proportions précises d’incidents.

(50)Afin de laisser suffisamment de temps pour l’analyse des incidents, le délai couvert a été limité aux incidents signalés entre le 1er janvier 2024 (après la finalisation des négociations relatives au règlement sur l’IA) et le 31 mai 2025. Au total, 3 791 incidents ont été signalés dans le système de suivi des incidents et des risques liés à l’IA de l’OCDE au cours de cette période.

3.3.2. Catégorisation des incidents signalés

(51)La première étape de l’analyse a consisté à classer les 3 791 incidents signalés en six catégories, à savoir:

1.les incidents ne relevant pas du champ d’application du règlement sur l’IA;

2.les incidents susceptibles d’être traités par l’annexe I du règlement sur l’IA;

3.les incidents susceptibles d’être couverts par l’article 50 du règlement sur l’IA;

4.les incidents qui présentent des risques hypothétiques, sans avoir causé de préjudice au moment du signalement;

5.les incidents qui sont (ou peuvent être) potentiellement traités par l’article 5 du règlement sur l’IA; et

6.les incidents qui sont (ou peuvent être) potentiellement traités par l’annexe III du règlement sur l’IA.

(52)Si les catégories 1 à 4 ont été incluses afin de mieux comprendre le paysage global des incidents liés à l’IA, seuls les incidents relevant des catégories 5 et 6 ont fait l’objet d’une analyse plus approfondie conformément à la méthode utilisée pour le présent rapport et aux critères susmentionnés (section 2.1).

(53)L’analyse a démontré que près de la moitié de tous les incidents signalés au cours de la période concernée ne relevaient pas du champ d’application du règlement sur l’IA ou étaient suffisamment couverts par d’autres instruments de l’UE 31 . En outre, environ 10 % des incidents signalés étaient susceptibles d’être traités par l’annexe I du règlement sur l’IA 32 et devraient donc voir leur incidence atténuée une fois que ces règles du règlement sur l’IA commenceront à s’appliquer. Une partie des incidents signalés semblait relever de l’article 50 du règlement sur l’IA 33 et, par conséquent, on peut également s’attendre à ce que leurs effets soient atténués lorsque le chapitre pertinent du règlement sur l’IA commencera à s’appliquer. Enfin, certains des incidents signalés étaient des incidents hypothétiques et n’ont donc pas fait l’objet d’une analyse plus approfondie, laquelle se limitait aux préjudices réels qui se sont produits ou qui étaient raisonnablement susceptibles de se produire en raison de l’incident.

(54)La Commission a jugé qu’environ 30 % des incidents signalés nécessitaient une analyse plus détaillée. Environ deux tiers de ces incidents relevaient du champ d’application de l’article 5 du règlement sur l’IA ou ont été considérés comme suffisamment pertinents pour justifier une évaluation visant à déterminer s’ils remplissaient les critères d’inscription sur la liste des pratiques interdites en matière d’IA (section 2.1.1 ci-dessus). Les autres incidents, à savoir un tiers des incidents recensés en vue d’une analyse plus détaillée, étaient susceptibles de relever des rubriques de domaines à haut risque énumérées à l’annexe III du règlement sur l’IA 34 . Toutefois, il a fallu vérifier si ces incidents étaient couverts par les cas d’utilisation à haut risque actuellement énumérés à l’annexe III ou, dans la négative, s’ils satisfaisaient aux critères d’inscription à l’annexe III du règlement sur l’IA (critères examinés à la section 2.1.2 ci-dessus).

3.3.3. Évaluation des incidents recensés en vue d’une évaluation plus approfondie

(55)La deuxième étape de l’analyse consistait à évaluer si les 30 % d’incidents jugés pertinents en vue d’une analyse plus détaillée étaient couverts par les interdictions prévues à l’article 5 ou par les cas d’utilisation énumérés à l’annexe III du règlement sur l’IA. Dans la négative, l’évaluation ultérieure visait à déterminer la nécessité éventuelle de modifier ces dispositions en ajoutant ou en supprimant des cas d’utilisation pertinents.

Incidents susceptibles de relever des pratiques interdites en matière d’IA énumérées à l’article 5 du règlement sur l’IA

(56)En ce qui concerne les incidents susceptibles de relever des interdictions énoncées à l’article 5 du règlement sur l’IA, il semble qu’une partie des incidents évalués étaient déjà couverts par cette disposition 35 . Faute d’informations suffisantes pour procéder à une évaluation précise, certains incidents n’ont pas pu être considérés comme relevant ou non des interdictions prévues à l’article 5 du règlement sur l’IA.

(57)Toutefois, la Commission a recensé un nombre considérable d’incidents potentiellement liés aux pratiques interdites prévues à l’article 5 du règlement sur l’IA ou constituant des pratiques similaires ayant un effet particulièrement néfaste et abusif, lesquelles n’étaient pas clairement couvertes par cette disposition. Ces incidents ont été évalués à la lumière des critères présentés à la section 2.1.1 ci-dessus. Cette analyse a mis en évidence les domaines suivants, dont la Commission a pris note:

·Systèmes d’IA destinés ou aptes à produire des images non consensuelles de personnes dénudées et des hypertrucages sexuellement explicites, représentant des personnes réelles, y compris des mineurs. La Commission a examiné si les systèmes d’IA produisant du matériel pédopornographique et des images sexuellement explicites non consensuelles pourraient relever des interdictions existantes ciblant les systèmes d’IA qui ont recours à des techniques subliminales, délibérément manipulatrices ou trompeuses [article 5, paragraphe 1, point a), du règlement sur l’IA] ou exploitent les vulnérabilités dues à l’âge, au handicap ou à une situation sociale ou économique spécifique [article 5, paragraphe 1, point b), du règlement sur l’IA], et qui sont susceptibles de causer un préjudice important. La Commission a conclu que ces pratiques ne relevaient ni de l’article 5, paragraphe 1, point a), ni de l’article 5, paragraphe 1, point b) du règlement sur l’IA, puisqu’il ne s’agit pas de techniques manipulatrices destinées à inciter les enfants et les victimes à adopter un comportement préjudiciable.

·les systèmes d’IA destinés à faciliter les escroqueries et la fraude financière peuvent potentiellement être couverts par l’article 5, paragraphe 1, points a) et b), du règlement sur l’IA, si les conditions de ces dispositions sont remplies, y compris si le seuil de préjudice financier important est atteint. Le respect de cette condition requiert également nécessairement un lien de causalité plausible entre le préjudice financier qui s’est produit ou est raisonnablement susceptible de se produire et l’utilisation du système d’IA (par exemple, un hypertrucage usurpant l’identité d’un membre de la famille). La Commission estime qu’il est important d’évaluer l’évolution de la pratique des États membres en ce qui concerne l’interprétation de l’exigence d’un préjudice financier important et la manière dont cela aura une incidence sur la couverture de ces pratiques d’IA préjudiciables et frauduleuses par les interdictions prévues à l’article 5 du règlement sur l’IA.

Incidents liés à des cas d’utilisation à haut risque visés à l’annexe III

(58)L’analyse des incidents relevant des rubriques de domaines à haut risque de l’annexe III du règlement sur l’IA a montré qu’une part importante de ceux-ci était déjà susceptible d’être couverte par les cas d’utilisation spécifiques énumérés dans cette annexe 36 . En outre, certains incidents signalés ont été évalués comme ne présentant pas un niveau de risque de préjudice équivalent à celui associé aux cas d’utilisation déjà énumérés à l’annexe III du règlement sur l’IA 37 . Il subsiste un petit nombre d’incidents qu'il a été impossible de classer de manière concluante faute d’informations suffisantes.

(59)Un nombre considérable d’incidents ont été recensés comme relevant des rubriques de domaine énumérées à l’annexe III du règlement sur l’IA; toutefois, ceux-ci n’étaient pas clairement couverts par les cas d’utilisation spécifiques qui y sont actuellement prévus. Ces incidents ont été évalués à la lumière des critères examinés à la section 2.1.2 ci-dessus. L’analyse a permis de recenser les domaines suivants, retenus comme devant faire l’objet d’un suivi et d’une collecte de données supplémentaires:

·un nombre important d’incidents étaient liés à des campagnes de désinformation politique, qui relèvent, sur le plan thématique, du domaine de l’administration de la justice et des processus démocratiques énumérés à l’annexe III, point 8, mais qui n’apparaissent pas clairement dans les cas d’utilisation qui y sont énumérés. Ces campagnes de désinformation concernaient en grande partie des hypertrucages de vidéos et d’images, dont les risques sont déjà traités dans une certaine mesure par l’article 50 du règlement sur l’IA. En outre, une partie de ces systèmes d’IA peut être couverte par les interdictions prévues à l’article 5, paragraphe 1, point a) ou b), du règlement sur l’IA, pour autant que toutes les conditions qui y sont énoncées soient remplies. Par ailleurs, le règlement sur les services numériques et le règlement relatif à la transparence et au ciblage de la publicité à caractère politique 38 traitent certaines des questions liées à la désinformation politique. Des mesures et initiatives supplémentaires sont prévues dans la communication récemment adoptée sur le bouclier européen de la démocratie 39 . La Commission évaluera et précisera dans ses futures lignes directrices sur la classification des systèmes d’IA à haut risque si certaines de ces pratiques d’IA pourraient être classées comme relevant des systèmes d’IA destinés à être utilisés pour influencer le résultat d’une élection ou d’un référendum ou le comportement électoral des personnes physiques dans l’exercice de leur vote lors d’élections ou de référendums.

Conclusion

(60)Le présent rapport est élaboré par la Commission et adressé au Parlement européen et au Conseil en exécution des obligations qui incombent à la Commission en vertu de l’article 112, paragraphe 1, du règlement sur l’IA. Les conclusions exposées dans le présent rapport sont soumises à l’examen de ces institutions.

(61)À la suite de l’évaluation réalisée sur la base de la méthode objective et participative pour l’examen requis au titre de l’article 112, paragraphe 1, du règlement sur l’IA, la Commission prend note d’une potentielle lacune réglementaire concernant les systèmes d’IA produisant du matériel pédopornographique et des images sexuellement explicites non consensuelles, qui ne sont pas interdits par l’article 5 du règlement sur l’IA, en vue d’une analyse plus approfondie. Étant donné que les dispositions du règlement sur l’IA relatives aux pratiques interdites en matière d’IA sont entrées en application le 2 février 2025 et que les règles d’exécution ne sont pas encore applicables, l’évaluation d’autres pratiques en matière d’IA qui sont particulièrement néfastes et abusives et qui sont contraires aux valeurs et aux droits fondamentaux de l’UE n’en est encore qu’à ses débuts et l’expérience pratique concernant les interdictions fait défaut. Il ne sera possible de procéder à une évaluation plus approfondie de l’application de l’article 5 du règlement sur l’IA qu’après que les interdictions auront été appliquées pendant au moins un an et que des difficultés communes ou des lacunes réglementaires commenceront à apparaître. De même, il sera plus facile d’évaluer le fonctionnement des règles relatives aux systèmes d’IA à haut risque et de recenser les éventuelles lacunes dans l’utilisation de ces systèmes qui présentent un risque élevé de préjudice pour la santé et la sécurité ou pour les droits fondamentaux une fois que les lignes directrices de la Commission sur la classification des systèmes d’IA à haut risque auront été publiées et qu’une expérience pratique aura été acquise. Les bacs à sable réglementaires mis en place conformément au règlement sur l’IA devraient également servir de mécanisme d’apprentissage réglementaire et de collecte de données probantes. Ils faciliteront le recensement des éventuelles lacunes et des difficultés réglementaires en matière d’interprétation. Sur la base des éléments de preuve recueillis et de l’évaluation effectuée dans le présent rapport, la Commission a néanmoins repéré certains systèmes d’IA qui devront faire l’objet d’un suivi et d’une analyse plus approfondie lors de réexamens ultérieurs.

(62)Dans les années à venir, les autorités de surveillance du marché chargées de superviser l’application du règlement sur l’IA sont encouragées à examiner si les interdictions énoncées à l’article 5 du règlement sur l’IA traitent de manière adéquate les applications malveillantes et spécifiques présentant un risque élevé d’utilisation abusive, en s’appuyant sur leur expérience pratique en matière de surveillance et de répression. De même, une fois que les règles relatives aux systèmes d’IA à haut risque commenceront à s’appliquer et que leur mise en œuvre commencera, il conviendra d’accorder une attention particulière aux systèmes d’IA qui pourraient relever de l’un des domaines énumérés à l’annexe III, mais qui ne sont pas explicitement mentionnés dans la liste actuelle des cas d’utilisation à haut risque. Cela permettra de fournir des données probantes aux futurs rapports que la Commission devra adopter sur la base de l’article 112, paragraphe 1, du règlement sur l’IA et d’aider la Commission à déterminer si le champ d’application de l’article 5 et de l’annexe III du règlement sur l’IA reste adéquat au fil du temps, ouvrant ainsi la voie à un réexamen éclairé, objectif et fondé sur des données probantes et à une éventuelle révision des dispositions pertinentes du règlement sur l’IA.

(63)Conformément à l’article 112, paragraphe 1, du règlement sur l’IA, la liste des pratiques interdites en matière d’IA établie à l’article 5 du règlement sur l’IA et la liste des cas d’utilisation de systèmes à haut risque établie à l’annexe III du règlement sur l’IA font l’objet d’un réexamen annuel jusqu’à la fin de la période de délégation de pouvoir prévue à l’article 97 du règlement sur l’IA. La prochaine évaluation de la Commission au titre de l’article 112 du règlement sur l’IA est donc prévue pour 2026; une fois qu’elle sera achevée, la Commission publiera ses conclusions dans un rapport.

(64)Afin de garantir une collecte cohérente et systématique des données pertinentes avant l’évaluation de 2026, la Commission a l’intention de coordonner les efforts de suivi en cours au niveau national et au niveau de l’UE. À cette fin, le Bureau de l’IA coopérera avec le Comité IA et les autorités nationales compétentes des États membres, et consultera, le cas échéant, les cadres de coopération déjà établis des points de contact nationaux dans les domaines concernés. Une attention particulière sera accordée aux domaines recensés dans le présent rapport en vue d’un suivi plus approfondi et de la collecte de données probantes. Toutefois, un suivi des évolutions technologiques, ainsi que des éventuels changements pertinents dans l’utilisation des systèmes d’IA, de leurs incidences et des risques émergents, sera également effectué.

(65)Lorsqu’il s’agira d’évaluer si les risques associés à l’IA sont traités de manière adéquate par la législation existante de l’UE, une fois que l’application du règlement sur l’IA aura commencé et que l’expérience pratique aura été acquise, l’analyse portera sur la manière dont le règlement sur l’IA interagit avec d’autres cadres de l’UE et les complète pour faire face aux risques pour la santé, la sécurité et les droits fondamentaux. Il conviendra d’être particulièrement attentif à la cohérence et à l’interaction pratique entre le règlement sur l’IA et des instruments tels que le règlement sur les services numériques, le règlement sur la gouvernance des données, le règlement sur la transparence et le ciblage de la publicité à caractère politique, ainsi que l’acquis en matière de protection des consommateurs et de libre circulation des marchandises. Cette analyse devrait viser à déterminer dans quelle mesure les règles horizontales, les obligations sectorielles, les mécanismes de gouvernance des données et les garanties liées aux produits atténuent collectivement les risques pertinents, ce qui permettrait de déterminer si une intervention réglementaire supplémentaire est nécessaire.

(1)

Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle («règlement sur l’intelligence artificielle») (JO L, 2024/1689, 12.7.2024).

(2)

Dans le train de mesures omnibus numérique sur l’IA, la Commission a proposé d’aligner le calendrier des règles en matière d’IA à haut risque sur la disponibilité de normes et d’autres outils de soutien. Une fois que la Commission aura confirmé que ces derniers sont disponibles en nombre suffisant, les règles commenceront à s’appliquer après une période de transition de six mois pour les systèmes d’IA à haut risque figurant à l’annexe III et, en tout état de cause, au plus tard le 2 décembre 2027. Cette proposition est toujours en cours de négociation et doit faire l’objet d’un accord entre le Parlement européen et le Conseil. Pour plus de détails, voir la proposition de règlement du Parlement européen et du Conseil modifiant les règlements (UE) 2024/1689 et (UE) 2018/1139 en ce qui concerne la simplification de la mise en œuvre des règles harmonisées concernant l’intelligence artificielle (train de mesures omnibus numérique sur l’IA). {SWD (2025) 836 final}, Bruxelles, 19.11.2025, COM(2025) 836 final, 2025/0359 (COD).

(3)

Disponible à l’adresse suivante: Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act. | Shaping Europe’s digital future [La Commission publie les lignes directrices sur les pratiques interdites en matière d’intelligence artificielle (IA) au sens du règlement sur l’IA) | Façonner l’avenir numérique de l’Europe].

(4)

Charte des droits fondamentaux de l’union européenne. JO C 326 du 26.10.2012, p. 391.

(5)

Voir à cet égard les sections 2.8, 3.6, 4.4, 5.4, 6.4 et 8.4 des lignes directrices sur les pratiques interdites en matière d’IA.

(6)

Les systèmes d’IA à haut risque autres que ceux qui constituent des composants de sécurité de produits, ou qui sont eux-mêmes des produits classés comme étant à haut risque en vertu de l’article 6, paragraphe 1.

(7)

Ainsi, des questions sur la nécessité de réexaminer la liste des cas d’utilisation figurant à l’annexe III et la liste des pratiques interdites en matière d’IA figurant à l’article 5 du règlement sur l’IA ont été soumises aux États membres lors de la quatrième réunion du sous-groupe du Comité IA sur les interdictions, qui s’est tenue le 13 mai 2025, de la troisième réunion du sous-groupe annexe III du Comité IA sur les systèmes d’IA à haut risque, qui s’est tenue le 16 mai 2025, de la troisième réunion du sous-groupe annexe III du Comité IA «activités répressives et sécurité», qui s’est tenue le 5 juin 2025, et de la deuxième réunion du sous-groupe «IA dans les services financiers» du Comité IA, qui s’est tenue le 13 mai 2025.

(8)

Par exemple, la législation de l’UE en matière de cybersécurité (tirée d’actes juridiques récents, voir le règlement de l’UE sur la cybersolidarité), la directive 2013/40/UE relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil.

(9)

Comme indiqué ci-dessus, les lignes directrices de la Commission sur les systèmes d’IA à haut risque ne seront publiées qu’en 2026. En conséquence, les évaluations des systèmes d’IA à haut risque qui ont spécifiquement été mentionnés par les États membres, les parties prenantes ou les bases de données sur les incidents liés à l’IA s'appuient uniquement sur le texte du règlement sur l’IA. Compte tenu du peu d’orientations disponibles au stade actuel, il n’a pas toujours été possible de procéder à des évaluations concrètes, et ces cas ont été consignés en vue d’un suivi ultérieur.

(10)

Des préoccupations similaires ont également été exprimées par diverses parties prenantes (voir la section 3.2 ci-dessous).

(11)

Si un dialogueur est commercialisé comme visant des troubles spécifiques de la santé mentale ou guidant les utilisateurs par des interventions thérapeutiques, il relèverait probablement du champ d’application du règlement relatif aux dispositifs médicaux, étant donné qu’il peut être considéré comme un logiciel destiné au traitement ou à l’atténuation d’une maladie [article 2, point 1), du règlement relatif aux dispositifs médicaux]. Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) nº 178/2002 et le règlement (CE) nº 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE (JO L 117 du 5.5.2017, p. 1).

(12)

Par exemple, les dialogueurs d’auto-assistance fondés sur l’IA dotés de fonctionnalités de reconnaissance des émotions. Les systèmes d’IA destinés à être utilisés pour la reconnaissance des émotions sont classés comme étant à haut risque conformément à l’annexe III, point 1 c).

(13)

La Commission lance une consultation publique sur les systèmes d’IA à haut risque | Portail e-Justice européen .

(14)

Au total, 409 répondants ont indiqué représenter une organisation. Parmi ceux-ci, le plus grand groupe de répondants représentait des entreprises (150 réponses), suivi par des associations (93 réponses) et des répondants ayant sélectionné «autres organisations» (81 réponses). Les organisations ou associations de la société civile représentaient 56 réponses, tandis que les instituts de recherche (11 réponses), les universités (7 réponses), les groupes de réflexion (6 réponses) et les organisations de consommateurs (5 réponses) représentaient la minorité des organisations. Au total, 138 répondants ont indiqué agir à titre personnel. Parmi ces derniers, les groupes les plus importants étaient ceux qui se décrivaient comme d’autres experts ou organisations indépendants possédant une expertise pertinente (35), fournisseurs de systèmes d’IA (34) et appartenant au monde universitaire (28), tandis que 14 ont sélectionné «autres» et 13 se sont présentés comme déployeurs de systèmes d’IA. Les quelques autres répondants ayant répondu qu’ils agissaient à titre personnel ont indiqué un lien avec une organisation de la société civile (7), d’autres opérateurs (3), une association d’entreprises (2) ou une autorité de contrôle (2).

(15)

Il a été considéré que tant les répondants qui ont explicitement exprimé cette position dans leurs réponses que ceux qui n’ont pas formulé d’observations à ce sujet estimaient que la liste actuelle des interdictions était suffisante.

(16)

Un peu plus de 10 % des répondants.

(17)

C’est le cas, par exemple, des suggestions visant à interdire les systèmes d’IA utilisés dans la gestion de la migration, les clones vocaux dans les applications d’IA destinées aux consommateurs, ou les personnages générés par l’IA utilisés pour la messagerie politique.

(18)

Sauf lorsque l’utilisation du système d’IA est destinée à être mise en place ou mise sur le marché pour des raisons médicales ou de sécurité.

(19)

Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) nº 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).

(20)

Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO L 277 du 27.10.2022, p. 1).

(21)

Il a été considéré que tant les répondants ayant explicitement exprimé cette position dans leurs réponses que ceux qui n’ont pas formulé d’observations à ce sujet estimaient que la liste actuelle des cas d’utilisation à haut risque de l’IA figurant à l’annexe III était adéquate.

(22)

Environ 20 % des répondants.

(23)

C’est notamment le cas, par exemple, des suggestions concernant l'ajout des systèmes biométriques spécifiques à la liste des systèmes à haut risque (ceux-ci étant déjà couverts par le point 1 de l’annexe III).

(24)

Par exemple, les systèmes d’IA conçus pour les fournisseurs de services en ligne afin de s’assurer que les services de médias audiovisuels d’intérêt public bénéficient d’une visibilité appropriée; certains systèmes d’IA utilisés dans l’élevage.

(25)

C’est notamment le cas des préoccupations exprimées en ce qui concerne les systèmes d’IA spécifiques utilisés dans le domaine de l’emploi et de la reconnaissance des émotions.

(26)

Le règlement sur les services numériques interdit la conception d’interfaces manipulatrices (interfaces trompeuses) et oblige les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne à recenser, évaluer et analyser tout risque systémique découlant de la conception ou du fonctionnement de leurs services et de leurs systèmes connexes, y compris des systèmes algorithmiques (article 34 du règlement sur les services numériques). Les fournisseurs sont également tenus de mettre en place des mesures d’atténuation raisonnables, proportionnées et efficaces, qui peuvent inclure le test et l’adaptation de leurs systèmes algorithmiques (article 35 du règlement sur les services numériques). Le règlement sur les services numériques impose en outre aux fournisseurs de plateformes en ligne accessibles aux mineurs de mettre en place des mesures appropriées et proportionnées pour garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service (article 28, paragraphe 1, du règlement sur les services numériques). Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO L 277 du 27.10.2022, p. 1).

(27)

Tels que les principes de traitement des données et les droits des personnes concernées établis par le RGPD qui seraient applicables en lien avec un système d’IA, par exemple parce que les données à caractère personnel sont utilisées pour développer un système d’IA ou constituent des entrées ou des sorties de ces systèmes durant leur déploiement. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(28)

Disponible à l’adresse suivante: https://oecd.ai/fr/incidents?search_terms=%5B%5D&and_condition=false&from_date=2014-01-01&to_date=2025-05-27&properties_config=%7B%22principles%22:%5B%5D,%22industries%22:%5B%5D,%22harm_types%22:%5B%5D,%22harm_levels%22:%5B%5D,%22harmed_entities%22:%5B%5D,%22languages%22:%5B%5D%7D&order_by=date&num_results=20 .

(29)

Disponible à l’adresse suivante: https://airisk.mit.edu/.

(30)

Ce répertoire se compose de trois parties: i) la base de données sur les risques liés à l’IA; ii) la taxinomie causale des risques liés à l’IA (qui répertorie comment, quand et pourquoi les risques liés à l’IA surviennent); et iii) la taxinomie des domaines des risques liés à l’IA [qui classe les risques liés à l’IA en sept domaines (par exemple, «désinformation») et 24 sous-domaines (par exemple, «informations fausses ou trompeuses»)].

(31)

Ces incidents concernaient généralement des questions qui sont traitées par d’autres actes législatifs pertinents de l’UE, telles que les violations de la confidentialité des données, qui sont régies par le RGPD. En outre, bon nombre de ces incidents concernaient des litiges en matière de droit d’auteur, traités par des instruments tels que la législation de l’UE sur le droit d’auteur. Par ailleurs, de nombreux incidents concernaient des domaines qui relèvent de la compétence des États membres, tels que l’utilisation de l’IA dans les applications militaires.

(32)

Ces incidents concernaient principalement des préjudices résultant de l’utilisation de l’IA dans des dispositifs médicaux ou des véhicules autonomes.

(33)

Ces incidents concernent des hypertrucages dépourvus de filigranes appropriés ou d’autres mesures de transparence.

(34)

Le plus souvent, ces incidents concernaient l’utilisation de l’IA par les services répressifs dans l’identification biométrique, la gestion des contrôles aux frontières, les services essentiels, les établissements d’enseignement et de formation professionnelle, ainsi que l’administration de la justice et les processus démocratiques.

(35)

Ces incidents, qui étaient potentiellement couverts par l’article 5 du règlement sur l’IA, avaient trait à divers sujets, tels que l’identification biométrique en temps réel ou la reconnaissance des émotions sur le lieu de travail.

(36)

Les incidents dans le domaine de la biométrie (annexe III, point 1) concernaient souvent des systèmes d’IA utilisés dans des caméras de surveillance pour la reconnaissance faciale à distance afin d’identifier des suspects. Dans le domaine de l’emploi, les incidents recensés étaient liés aux systèmes d’IA utilisés pour optimiser les processus d’embauche et de licenciement, tels que le scannage des CV, ou la surveillance des salariés sur les plateformes utilisées au travail. Dans le domaine de l’accès aux services essentiels et de leur utilisation, les incidents signalés avaient souvent trait à l’utilisation d’un algorithme fondé sur l’IA pour signaler des cas de fraudes potentielles chez les personnes percevant des allocations de logement, ce qui a conduit à des enquêtes inutiles et à des violations des droits. S’agissant du domaine répressif, les incidents recensés comprennent l’utilisation de l’IA pour évaluer les risques auxquels sont confrontées les victimes de violence domestique. En ce qui concerne la gestion des contrôles aux frontières, les incidents étaient liés au pistage et à l’identification faciale des migrants au moyen de caméras.

(37)

Plusieurs incidents ont révélé l’utilisation de caméras d’IA pour détecter des infractions routières ou pour suivre la densité des foules et garantir la sécurité lors d’événements publics. Ces applications de l’IA relèvent des services répressifs; toutefois, elles ne semblent pas présenter un risque de préjudice équivalent ou supérieur au risque de préjudice ou d’incidence négative que présentent d’autres systèmes d’IA à haut risque déjà énumérés à l’annexe III, point 6. Cela s’explique principalement par le fait qu’elles concernent généralement des infractions administratives, dont les conséquences sont moins intrusives que celles liées aux infractions pénales, ou qu’elles sont utilisées pour garantir la sécurité sans effet direct sur les droits fondamentaux. En conséquence, ces cas d’utilisation de l’IA ne nécessitent actuellement pas de modification de l’annexe III.

(38)

Règlement (UE) 2024/900 du Parlement européen et du Conseil du 13 mars 2024 relatif à la transparence et au ciblage de la publicité à caractère politique (JO L, 2024/900, 20.3.2024).

(39)

Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Bouclier européen de la démocratie: renforcer la position de démocraties fortes et résilientes. Bruxelles, 12.11.2025. JOIN(2025) 791 final.