Définitions officielles de l'EU AI Act (Art. 3) et termes couramment utilisés dans la réglementation IA européenne. Comprendre ce que l'AI Act entend par 'système IA', 'fournisseur', 'haut risque', 'modification substantielle' et 'modèle GPAI' est essentiel pour la conformité.
Définitions fondamentales (Art. 3)
L'EU AI Act contient 65 termes définis à l'Art. 3. Les plus importants pour les besoins de conformité sont résumés ci-dessous.
Système IA (Art. 3(1))
Un système basé sur des machines qui :
- Fonctionne avec différents niveaux d'autonomie
- Peut faire preuve d'adaptabilité après son déploiement
- Déduit des entrées la manière de générer des sorties (prédictions, contenu, recommandations, décisions) pouvant influencer des environnements physiques ou virtuels
Implication clé : La définition est technologiquement neutre. Elle n'exige pas l'apprentissage profond ni les réseaux de neurones — un système à base de règles avec des composantes adaptatives peut être qualifié. À l'inverse, un simple arbre de décision si-alors sans capacité d'apprentissage ne l'est probablement pas.
Fournisseur (Art. 3(3))
Toute personne physique ou morale, autorité publique, agence ou organisme qui développe un système IA ou le fait développer et le place sur le marché ou le met en service sous son propre nom ou sa propre marque — que ce soit à titre onéreux ou gratuit.
Implication clé : Responsabilité de développement + mise sur le marché = statut de fournisseur. Une entreprise qui commande un développement IA sur mesure auprès d'un prestataire externe est le fournisseur si le système est mis sur le marché sous la marque de l'entreprise.
Déployeur (Art. 3(4))
Toute personne physique ou morale, autorité publique, agence ou organisme qui utilise un système IA sous son autorité à des fins professionnelles — sauf lorsque l'utilisation s'inscrit dans une activité personnelle non professionnelle.
Implication clé : La grande majorité des entreprises utilisant une IA achetée auprès de tiers sont des déployeurs. Les obligations du déployeur sont moins lourdes que celles du fournisseur, mais restent significatives pour les systèmes à haut risque.
Mandataire autorisé (Art. 3(5))
Toute personne physique ou morale établie dans l'Union qui a reçu un mandat écrit d'un fournisseur de système IA établi hors de l'Union pour s'acquitter des obligations en son nom.
Implication clé : Les fournisseurs non-UE de systèmes IA placés sur le marché européen doivent désigner un mandataire autorisé établi dans l'UE. Ce mandataire peut être tenu légalement responsable des obligations du fournisseur au titre de l'EU AI Act.
Importateur (Art. 3(6))
Toute personne physique ou morale établie dans l'Union qui place sur le marché de l'UE un système IA portant le nom ou la marque d'une personne physique ou morale établie hors de l'Union.
Distributeur (Art. 3(7))
Toute personne physique ou morale dans la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système IA à disposition sur le marché de l'Union sans le modifier.
Opérateur (Art. 3(8))
Terme collectif couvrant les fournisseurs, mandataires autorisés, importateurs, distributeurs, déployeurs et toute autre personne soumise aux obligations de l'AI Act.
Finalité prévue (Art. 3(12))
L'utilisation pour laquelle un système IA est prévu par le fournisseur, y compris le contexte spécifique et les conditions d'utilisation spécifiés dans les informations fournies par le fournisseur dans les instructions d'utilisation, les supports promotionnels ou commerciaux, ou les déclarations.
Implication clé : La finalité prévue détermine la catégorie de risque applicable et les exigences à respecter. Un système destiné au scoring de crédit est à haut risque (Annexe III) ; le même modèle sous-jacent destiné au filtrage des spams peut ne pas l'être. Les fournisseurs ne peuvent pas échapper à la classification à haut risque en laissant la finalité prévue vague — l'AI Act tient compte de toutes les informations sur la conception et le marketing du système.
Mauvaise utilisation raisonnablement prévisible (Art. 3(13))
L'utilisation d'un système IA d'une manière non conforme à sa finalité prévue mais qui peut résulter d'un comportement humain raisonnablement prévisible ou d'une interaction avec d'autres systèmes.
Implication clé : Les fournisseurs doivent évaluer et traiter les mauvaises utilisations prévisibles dans leurs systèmes de gestion des risques — pas seulement le cas d'usage prévu. Un système de reconnaissance faciale destiné au contrôle d'accès doit aborder le risque prévisible qu'il pourrait être utilisé pour la surveillance en temps réel.
Composant de sécurité (Art. 3(14))
Un composant d'un produit ou d'un système IA qui remplit une fonction de sécurité pour ce produit ou ce système IA, ou dont la défaillance ou le dysfonctionnement met en danger la santé et la sécurité des personnes ou des biens.
Implication clé : Les systèmes IA qui sont des composants de sécurité de produits couverts par la législation sectorielle de l'Annexe I sont automatiquement soumis aux exigences relatives aux systèmes à haut risque, que l'IA elle-même présente ou non un risque direct.
Mise sur le marché (Art. 3(9))
La première mise à disposition d'un système IA ou d'un modèle GPAI sur le marché de l'Union.
Mise en service (Art. 3(11))
La fourniture d'un système IA pour une première utilisation directement au déployeur ou pour usage propre sur le marché de l'Union dans sa finalité prévue.
Implication clé : Aussi bien la "mise sur le marché" (vente à des tiers) que la "mise en service" (utilisation propre) déclenchent les obligations du fournisseur. Une entreprise qui construit un système IA pour usage interne le met en service et est un fournisseur soumis à toutes les obligations.
Système IA à haut risque
Non défini en une seule phrase — classifié par référence à l'Annexe I (composants de sécurité dans des produits réglementés) et à l'Annexe III (cas d'usage à haut risque standalone). Le niveau de risque dépend de la finalité prévue et du contexte de déploiement, pas de la technologie sous-jacente.
Catégories à haut risque de l'Annexe III :
- Identification biométrique et catégorisation
- Gestion des infrastructures critiques
- Éducation et formation professionnelle
- Emploi, gestion des travailleurs, accès au travail indépendant
- Accès et jouissance de services privés essentiels et de services et prestations publics
- Application de la loi
- Migration, asile et gestion du contrôle aux frontières
- Administration de la justice et processus démocratiques
Modèle GPAI (Art. 3(63))
Un modèle IA, y compris lorsqu'il est entraîné sur de grandes quantités de données en utilisant l'auto-supervision à grande échelle, qui fait preuve d'une généralité significative et est capable d'effectuer de manière compétente une large gamme de tâches distinctes quelle que soit la manière dont le modèle est mis sur le marché — et qui peut être utilisé dans diverses applications en aval.
Distinction clé avec le système IA : Un modèle GPAI n'est pas encore un système IA. Il fait partie d'un système IA lorsqu'il est intégré dans un produit ou une application. L'AI Act impose des obligations aux fournisseurs de modèles GPAI séparément de (et en plus de) celles des fournisseurs de systèmes IA construits à l'aide de modèles GPAI.
Modèle GPAI à risque systémique (Art. 3(65))
Un modèle GPAI désigné comme présentant un risque systémique parce qu'il possède des capacités à fort impact évaluées selon des outils et méthodologies techniques appropriés, ou en raison de sa portée réelle ou raisonnablement prévisible à fort impact.
L'indicateur actuel est un calcul d'entraînement cumulatif dépassant 10^25 FLOPs. Des critères supplémentaires peuvent être appliqués par acte délégué de la Commission.
Incident grave (Art. 3(49))
Tout incident ou dysfonctionnement d'un système IA qui conduit directement ou indirectement à :
- Le décès d'une personne ou un préjudice grave à la santé d'une personne
- Une perturbation grave et irréversible de la gestion et du fonctionnement des infrastructures critiques
- Une violation des obligations découlant du droit de l'Union destinées à protéger les droits fondamentaux
- Des dommages graves aux biens ou à l'environnement
Modification substantielle (Art. 3(23))
Une modification apportée à un système IA après sa mise sur le marché ou sa mise en service qui n'est pas prévue ou planifiée dans l'évaluation de conformité initiale et qui affecte la conformité du système IA aux exigences de l'AI Act ou entraîne une modification de la finalité prévue.
Évaluation de la conformité (Art. 3(20))
Le processus de vérification de la conformité d'un système IA à haut risque aux exigences énoncées au Chapitre III, Section 2 de l'AI Act. Les évaluations de conformité peuvent être réalisées par le fournisseur (auto-évaluation) ou par un organisme notifié (évaluation par un tiers), selon le type de système.
Organisme notifié (Art. 3(22))
Un organisme d'évaluation de la conformité désigné par un État membre pour mener des activités d'évaluation de la conformité par un tiers pour les systèmes IA à haut risque. Les organismes notifiés sont l'équivalent au sein de l'AI Act des organismes de marquage CE utilisés dans la réglementation traditionnelle des produits.
Autorité de surveillance du marché (Art. 3(26))
L'autorité nationale responsable de la surveillance du marché au titre de l'AI Act. Les États membres doivent désigner au moins une autorité de surveillance du marché par État membre.
Marquage CE (Art. 3(30))
Le marquage par lequel un fournisseur indique qu'un système IA à haut risque est conforme aux exigences de l'EU AI Act et de toute autre législation de l'Union applicable prévoyant son apposition.
Termes sectoriels
Données biométriques (importées du RGPD)
Données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment l'identification unique de cette personne physique.
Système d'identification biométrique à distance (Art. 3(40))
Un système IA destiné à l'identification de personnes physiques à distance par la comparaison des données biométriques d'une personne avec les données biométriques contenues dans une base de données de référence, sans que l'utilisateur du système IA sache à l'avance si la personne sera présente et pourra être identifiée.
Implication clé : L'identification biométrique à distance en temps réel dans des espaces accessibles au public est interdite à des fins répressives, avec des exceptions étroites (Art. 5).
Modèle de fondation
Non défini dans l'AI Act — l'AI Act utilise plutôt "modèle GPAI". Modèle de fondation est un terme industriel couramment utilisé pour les modèles pré-entraînés à grande échelle. À des fins réglementaires, utiliser "modèle GPAI."
Ajustement fin (Fine-tuning)
Non défini dans l'AI Act. Adaptation d'un modèle GPAI à un domaine ou une tâche spécifique grâce à un entraînement supplémentaire. Si l'ajustement fin aboutit à un modèle substantiellement différent mis sur le marché, l'entité qui l'a effectué peut devenir fournisseur de ce nouveau modèle.
Termes procéduraux
Documentation technique (Annexe IV)
Le dossier de documentation structuré que les fournisseurs de systèmes IA à haut risque doivent préparer avant la mise sur le marché et maintenir tout au long du cycle de vie du système. Il comprend la description du système, la logique de conception, les informations sur les données d'entraînement, les résultats des tests, la documentation de gestion des risques et le plan de surveillance après commercialisation.
Déclaration UE de conformité (Art. 3(37))
Document formel signé par le fournisseur attestant que le système IA à haut risque est conforme à toutes les exigences applicables de l'AI Act. Il constitue la base juridique de l'apposition du marquage CE.
Instructions d'utilisation (Art. 3(15))
Informations fournies par le fournisseur pour informer le déployeur de la finalité prévue du système IA, ses performances, ses spécifications techniques et ses conditions d'utilisation — y compris toute restriction et risque prévisible.
Plan de surveillance après commercialisation (Art. 3(32))
Le plan documenté établi par un fournisseur pour collecter et examiner l'expérience acquise dans l'exploitation d'un système IA à haut risque après sa mise sur le marché ou sa mise en service.
Évaluation d'impact sur les droits fondamentaux (Art. 27)
Une évaluation que les déployeurs du secteur public (et certains déployeurs privés) doivent réaliser avant de déployer un système IA à haut risque, évaluant l'impact sur les droits fondamentaux des personnes concernées.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
L'Art. 3(1) définit un système IA comme 'un système basé sur des machines qui est conçu pour fonctionner avec différents niveaux d'autonomie et qui peut faire preuve d'adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit des informations qu'il reçoit la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels.' Cette définition, alignée sur la définition de l'IA de l'OCDE, est intentionnellement large et couvre pratiquement tous les modèles d'apprentissage automatique, les systèmes d'apprentissage profond et les systèmes à base de règles avec composantes d'apprentissage.
Un modèle GPAI (Art. 3(63)) est un modèle IA entraîné sur de grandes quantités de données avec une applicabilité générale large sur un large éventail de tâches distinctes. Il peut être utilisé pour diverses tâches en aval, directement ou lorsqu'il est intégré dans un autre système IA. Les exemples incluent les grands modèles de langage (GPT-4, Claude, Gemini, Llama), les grands modèles de génération d'images (Stable Diffusion, DALL-E) et les modèles multimodaux. La caractéristique déterminante est l'applicabilité générale — pas l'entraînement spécifique à une tâche.
L'EU AI Act fixe le seuil initial à un calcul d'entraînement cumulatif dépassant 10^25 FLOPs (opérations en virgule flottante). Ce seuil peut être révisé par la Commission via des actes délégués à mesure que la technologie évolue. De plus, un modèle peut être désigné à risque systémique sur d'autres bases s'il présente des capacités à fort impact ou un déploiement généralisé susceptible de créer des risques significatifs indépendamment du calcul d'entraînement.
Une modification substantielle (Art. 3(23)) est une modification apportée à un système IA après sa mise sur le marché ou sa mise en service qui affecte la conformité du système IA aux exigences de l'AI Act ou qui entraîne une modification de la finalité prévue pour laquelle le système IA a été évalué. Déterminer si une modification est 'substantielle' requiert que le fournisseur évalue si elle modifie le profil de risque, les caractéristiques de performance ou l'utilisation prévue de manière à avoir affecté l'évaluation de conformité initiale.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.