EU AI Act · Règlement (UE) 2024/1689 · BPM gouverné

EU AI Act et automatisation des processus : votre workflow est-il à haut risque ?

C'est la question que se pose chaque responsable de processus : « si j'intègre de l'IA dans mon workflow, est-ce que je deviens un système à haut risque ? » La réponse ne dépend pas de la technologie, mais de sur quoi et sur qui l'IA décide.

Ce guide traduit l'EU AI Act en workflows réels et montre comment un BPM gouverné fait de la conformité une propriété du processus, et non un projet à part.

Demander une démo guidée Voir les capacités IA
EU AI Act appliqué à l'automatisation des processus : niveaux de risque de l'IA dans un workflow BPM gouverné
D
Équipe IA Dokuflex
Mis à jour : 5 juin 2026

Pour les responsables de processus, DPO et conformité. Ce guide est informatif et ne remplace pas un conseil juridique. La classification finale de chaque système d'IA exige d'analyser son usage concret à la lumière du Règlement (UE) 2024/1689.

Qu'est-ce que l'EU AI Act et quand vous concerne-t-il

L'EU AI Act est le Règlement (UE) 2024/1689, le premier cadre juridique horizontal au monde pour l'intelligence artificielle. Il est entré en vigueur le 1er août 2024 et s'applique de manière échelonnée, pas d'un seul coup.

Le calendrier qui compte pour vos projets d'automatisation :

  • 2 février 2025 : application des interdictions (pratiques à risque inacceptable) et des obligations de culture de l'IA du personnel.
  • 2 août 2025 : obligations pour les modèles d'IA à usage général (GPAI).
  • 2 août 2026 : application générale, y compris le haut risque de l'annexe III. C'est la date clé pour la plupart des workflows d'entreprise.
  • 2 août 2027 : systèmes à haut risque intégrés dans des produits réglementés de l'annexe I.

Le règlement distingue deux rôles : le fournisseur, qui développe ou met sur le marché le système d'IA, et le déployeur (utilisateur professionnel), qui l'utilise sous sa responsabilité. La plupart des entreprises qui automatisent des processus agissent comme déployeurs, et cela change les obligations qui leur incombent.

Les quatre niveaux de risque, appliqués à des processus réels

L'EU AI Act classe les systèmes selon le risque de leur usage, pas selon la puissance du modèle. Il y a quatre niveaux :

  • Risque inacceptable (interdit) : scoring social, manipulation subliminale et certains usages biométriques. Ne peuvent pas être déployés dans l'UE.
  • Haut risque (annexe III) : emploi et gestion des travailleurs (présélection de candidatures, décisions de promotion ou de licenciement, attribution algorithmique de tâches), accès aux services essentiels, éducation, biométrie… Obligations complètes.
  • Risque limité : obligation de transparence. Un chatbot doit s'identifier comme une IA.
  • Risque minimal : tout le reste. Bonnes pratiques, sans obligations spécifiques.

C'est plus clair sur des processus concrets. Quatre workflows courants et leur niveau :

Haut risque

Présélection de CV en RH

Un workflow qui utilise l'IA pour filtrer ou noter des candidatures décide de l'accès des personnes à l'emploi. C'est l'annexe III : haut risque, avec toutes les obligations du fournisseur et du déployeur.

Haut risque

Scoring de crédit

Accorder ou refuser l'accès à un service essentiel via l'IA affecte la personne de façon importante. Haut risque : exige supervision humaine, gestion des risques et traçabilité.

Risque limité

Chatbot interne

Un assistant conversationnel qui oriente les employés est à risque limité. Seule obligation matérielle : s'identifier comme une IA auprès de qui l'utilise.

Risque minimal

OCR de factures

Extraire et classer des données de factures ne décide pas sur des personnes. Risque minimal : bonnes pratiques, sans obligations spécifiques du règlement.

La règle mentale : si l'IA décide sur des personnes dans un domaine sensible, elle passe en haut risque. Si l'IA se contente de traiter des documents ou de préparer des brouillons qu'une personne valide, le risque réglementaire baisse fortement car la décision reste humaine.

Ce que cela signifie pour vos automatisations BPM

Lorsqu'un workflow utilise l'IA pour décider sur des personnes — filtrer des candidats, évaluer des employés, accorder ou refuser quelque chose d'important — il entre probablement dans le haut risque. Et le haut risque répartit les obligations entre deux rôles :

  • Fournisseur du système : gestion des risques, gouvernance des données, documentation technique, journalisation, supervision humaine by design, et garanties d'exactitude, de robustesse et de cybersécurité.
  • Déployeur / utilisateur : usage conforme aux instructions, supervision humaine effective, surveillance du fonctionnement et conservation des journaux.

La nuance qui change le projet : si l'IA se contente d'extraire ou de classer des documents, ou de rédiger des brouillons qu'une personne valide, la décision est humaine et le risque réglementaire baisse considérablement. C'est pourquoi la conception du processus — et non le modèle — détermine votre exposition.

C'est exactement la logique des agents d'IA gouvernés au sein du BPM : l'IA propose, exécute des tâches cadrées et laisse une trace ; la personne décide aux points sensibles.

Obligations si vous êtes déployeur d'un système à haut risque

La plupart des entreprises sont déployeurs, pas fournisseurs. Voici les obligations que le règlement vous assigne dans ce rôle lorsque le système est à haut risque :

  • Usage conforme : utiliser le système selon la notice d'utilisation du fournisseur, sans le détourner vers des finalités pour lesquelles il n'a pas été évalué.
  • Supervision humaine effective : désigner des personnes dotées d'une compétence et d'une autorité réelles pour examiner, annuler ou ne pas appliquer la sortie de l'IA. Un « approuver » automatique ne suffit pas.
  • Surveillance : surveiller le fonctionnement et signaler les incidents graves ou les risques détectés au fournisseur et à l'autorité.
  • Conservation des journaux : conserver les journaux générés automatiquement par le système pendant la période applicable, afin de pouvoir reconstituer ce qu'il a décidé et pourquoi.
  • Information des personnes concernées : le cas échéant, informer les personnes qu'elles sont soumises à un système d'IA à haut risque.

Presque toutes ces obligations partagent le même dénominateur : supervision humaine et trace auditable. Et c'est là que le BPM fait la différence.

Comment se conformer avec un BPM gouverné

La thèse de Dokuflex est directe : le BPM gouverné n'est pas un complément à la conformité, c'est le mécanisme de conformité. Lorsque l'IA vit à l'intérieur d'un processus modélisé, les obligations de l'EU AI Act cessent d'être des documents et deviennent des propriétés du workflow.

Exigence de l'EU AI Act Comment le BPM gouverné la résout
Supervision humaine Human-in-the-loop natif : l'IA propose, une personne valide aux étapes qui affectent des personnes avant que le processus ne progresse.
Conservation des journaux Journal auditable par exécution : entrée, sortie du modèle, utilisateur ayant validé et horodatage.
Documentation et gouvernance Versionnage du processus : chaque modification du workflow et de ses règles est enregistrée et reconstituable.
Traçabilité du modèle Enregistrement du modèle qui a décidé quoi, avec quel niveau de confiance et quelles sources utilisées à chaque étape.

Le même principe gouverne l'IA documentaire : pour voir comment il s'applique à un LLM d'entreprise avec des données dans l'UE, lisez LLM et RAG dans Dokuflex sous RGPD européen, où la traçabilité et la citation de la source remplissent la même fonction probante.

Checklist en 6 points pour votre workflow IA

Avant l'application générale du 2 août 2026, passez en revue chaque automatisation IA face à ces six points :

  1. Sur quoi décide-t-elle ? Si elle influence des décisions importantes sur des personnes (emploi, crédit, services essentiels), traitez-la comme candidate au haut risque.
  2. Y a-t-il une supervision humaine réelle ? Assurez un point de validation humaine doté de l'autorité d'annuler la sortie de l'IA.
  3. Les décisions sont-elles journalisées ? Chaque exécution doit laisser un journal avec entrée, sortie, modèle et personne responsable.
  4. Le processus est-il versionné ? Les modifications de règles et de flux doivent être tracées et reconstituables.
  5. Êtes-vous transparent ? S'il s'agit d'un chatbot ou d'un système qui interagit avec des personnes, il doit s'identifier comme une IA.
  6. Votre rôle est-il documenté ? Définissez si vous agissez comme fournisseur ou déployeur et documentez les obligations que vous assumez dans chaque workflow.

Questions fréquentes

Mon workflow IA est-il à haut risque selon l'EU AI Act ? +

Cela dépend de ce sur quoi l'IA décide. Si le workflow utilise l'IA pour décider sur des personnes dans des domaines de l'annexe III (présélection de candidatures, décisions de promotion ou de licenciement, attribution algorithmique de tâches, accès à des services essentiels, scoring de crédit, éducation ou biométrie), il est probablement à haut risque. Si l'IA se contente d'extraire ou de classer des documents ou de rédiger des brouillons qu'une personne valide, le risque baisse fortement car la décision reste humaine.

Quand l'EU AI Act s'applique-t-il ? +

Le Règlement (UE) 2024/1689 est entré en vigueur le 1er août 2024 avec une application échelonnée : les interdictions et la culture de l'IA s'appliquent à partir du 2 février 2025 ; les obligations pour les modèles d'IA à usage général (GPAI) à partir du 2 août 2025 ; l'application générale, y compris le haut risque de l'annexe III, le 2 août 2026 ; et les systèmes à haut risque intégrés dans des produits réglementés de l'annexe I jusqu'au 2 août 2027.

Quelles obligations ai-je en tant que déployeur (utilisateur) d'un système d'IA à haut risque ? +

En tant que déployeur, vous devez utiliser le système conformément aux instructions du fournisseur, garantir une supervision humaine effective, surveiller le fonctionnement et conserver les journaux générés automatiquement pendant la période applicable. Le fournisseur, de son côté, assume la gestion des risques, la gouvernance des données, la documentation technique, la journalisation, l'exactitude, la robustesse et la cybersécurité du système.

Un OCR de factures ou un chatbot interne sont-ils à haut risque ? +

Non. Un OCR qui extrait des données de factures est généralement à risque minimal : il ne décide pas sur des personnes. Un chatbot interne est à risque limité et n'a qu'une obligation de transparence : il doit s'identifier comme une IA auprès de l'utilisateur. Le haut risque apparaît lorsque l'IA influence des décisions importantes sur des personnes, comme présélectionner des candidatures ou accorder ou refuser un crédit.

Comment un BPM gouverné aide-t-il à respecter l'EU AI Act ? +

Le BPM gouverné est le mécanisme de conformité. Il apporte un human-in-the-loop natif pour qu'une personne valide toute décision affectant des personnes, un journal auditable par exécution, le versionnage du processus et la traçabilité du modèle qui a décidé quoi et avec quel niveau de confiance. Cela couvre les exigences de supervision humaine, de conservation des journaux et de documentation que le règlement impose au fournisseur comme au déployeur.

Quelles sont les sanctions en cas de non-respect de l'EU AI Act ? +

Le règlement prévoit des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, et jusqu'à 15 millions d'euros ou 3 % pour le non-respect d'autres obligations, le montant le plus élevé étant retenu. C'est pourquoi il convient de classifier chaque workflow IA et de documenter les mesures de gouvernance avant l'application générale d'août 2026.

Prochaine étape

Faites de l'EU AI Act une propriété de vos processus

Nous réservons une session guidée de 60 minutes pour examiner vos workflows IA, classer leur niveau de risque et voir comment le BPM gouverné de Dokuflex apporte human-in-the-loop, journaux auditables et versionnage du processus.

Réserver une démo guidée Voir les capacités IA Commencer gratuitement