Article 3 IA ACT : Définitions
Table des matières
Explication de l’article
L’article 3 de l‘IA ACT est l’un des articles les plus importants de l’IA Act car il fournit toutes les définitions nécessaires pour comprendre et appliquer le règlement.
L’IA Act s’adresse à de nombreux acteurs : fournisseurs, utilisateurs, autorités de surveillance et chercheurs. Pour que tout le monde parle le même langage, il est essentiel de définir clairement des termes comme : « système d’IA », « modèle d’IA à usage général », « risque » ou « usage interdit ».
Une mauvaise interprétation des définitions peut entraîner :
- une mauvaise classification des systèmes d’IA (ex. un système à haut risque considéré comme faible risque),
- et donc une non-conformité au règlement, avec des conséquences légales et financières.
Que définit l’article 3 ?
Systèmes d’IA : tout programme ou logiciel capable de réaliser des tâches qui normalement nécessitent l’intelligence humaine
Modèles d’IA à usage général : des systèmes pouvant être appliqués à différentes tâches ou secteurs.
Risques liés à l’IA : les effets potentiellement dangereux sur la sécurité, la santé, les droits fondamentaux ou la société.
Acteurs impliqués : définitions des rôles comme fournisseur, utilisateur, importateur ou distributeur.
Autres termes techniques : termes relatifs à l’évaluation de la conformité, à la documentation et à la transparence des systèmes d’IA.
Objectif de ces définitions :
- Créer un vocabulaire commun pour tous les acteurs.
- Assurer une application cohérente du règlement dans tous les États membres de l’UE.
- Permettre une classification précise des systèmes d’IA selon leur niveau de risque et les obligations qui s’appliquent.
L’article 3 est comme un dictionnaire officiel de l’IA Act. Sans ces définitions, il serait impossible de savoir exactement ce qui est concerné par le règlement et comment appliquer correctement les obligations légales.
Notions clés à comprendre
Système d’IA : Un programme ou une machine capable de fonctionner de manière autonome et d’apprendre après son utilisation. Il peut analyser des informations pour produire des résultats comme des prédictions, des recommandations, du contenu ou des décisions qui influencent son environnement.
Risque : La combinaison de la probabilité qu’un problème survienne et de la gravité de ce problème. C’est ce critère qui permet de classer les systèmes d’IA selon leur niveau de danger potentiel.
Modèle d’IA à usage général (General-Purpose AI – GPAI) : Un système d’IA entraîné sur de grandes quantités de données et pouvant être utilisé pour de nombreuses tâches ou intégré dans d’autres systèmes. Exemples : ChatGPT, GPT-4, Claude.
Prestataire : L’entreprise ou l’organisation qui développe ou commercialise un système d’IA. C’est elle qui est responsable de la conformité du système aux règles.
Utilisateur : L’entité qui utilise un système d’IA dans le cadre de ses activités professionnelles. Les usages purement personnels ne sont pas concernés par l’IA Act.
Composant de sécurité : Une partie d’un système d’IA qui protège les personnes ou dont le mauvais fonctionnement pourrait mettre leur sécurité en danger.
Données de formation : Les informations utilisées pour entraîner ou améliorer un système ou un modèle d’IA.
Incident grave : Tout problème ou dysfonctionnement d’un système d’IA qui entraîne :
- un décès ou un préjudice grave à la santé,
- des perturbations majeures dans des infrastructures critiques,
- une atteinte aux droits fondamentaux,
- des dommages importants aux biens ou à l’environnement.
Capacités à impact systémique : Les capacités des modèles d’IA les plus avancés qui peuvent avoir des effets très larges et nécessitent une supervision renforcée.
Risque systémique : Les risques associés aux modèles d’IA à usage général ayant un impact significatif sur l’UE, pouvant toucher la santé, la sécurité, les droits fondamentaux ou la société.
Évaluation d’impact sur les droits fondamentaux : Une analyse systématique pour identifier comment un système d’IA pourrait affecter les droits et libertés des personnes, particulièrement pour les systèmes considérés à haut risque.
Exemple pratique
Une entreprise européenne développe un modèle d’IA à usage général (GPAI) capable de générer automatiquement des contenus textuels et visuels pour différents clients, y compris des banques et des hôpitaux. Ce modèle peut être intégré dans d’autres systèmes d’IA pour des usages variés.
Sans définitions claires :
- L’entreprise pourrait mal classifier son système et ne pas appliquer les règles adaptées aux systèmes à haut risque.
- Les utilisateurs pourraient ne pas savoir quelles précautions prendre, par exemple pour protéger la vie privée ou la sécurité des personnes.
- Les autorités de contrôle pourraient avoir des difficultés à évaluer la conformité, car les termes techniques ne seraient pas uniformisés.
Application de l’IA Act (article 3) :
Grâce à la définition d’un modèle d’IA à usage général, l’entreprise sait que son système peut avoir des capacités à impact systémique et doit être surveillé de près.
La notion de risque systémique permet de comprendre que ce modèle peut avoir des effets significatifs sur la société ou le marché européen, et qu’une évaluation d’impact sur les droits fondamentaux est nécessaire.
Les définitions de prestataire, utilisateur et composant de sécurité clarifient qui est responsable de la conformité et quelles parties du système doivent être sécurisées.
En conséquence l’entreprise applique correctement les obligations légales et identifie les mesures de sécurité nécessaires pour son modèle.
Les utilisateurs professionnels comprennent leurs responsabilités et utilisent le système de manière sûre.
Les autorités européennes peuvent contrôler la conformité de manière cohérente et uniforme.
Cet exemple montre que les définitions de l’article 3 sont cruciales pour éviter des erreurs de classification, garantir la sécurité, protéger les droits fondamentaux et assurer une application cohérente de l’IA Act.
Texte original de l’IA Act
Article 3 – Définitions
Aux fins du présent règlement, on entend par:
1) | «système d’IA», un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels; |
2) | «risque», la combinaison de la probabilité d’un préjudice et de la sévérité de celui-ci; |
3) | «fournisseur», une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; |
4) | «déployeur», une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel; |
5) | «mandataire», une personne physique ou morale située ou établie dans l’Union ayant reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement; |
6) | «importateur», une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers; |
7) | «distributeur», une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union; |
8) | «opérateur», un fournisseur, fabricant de produits, déployeur, mandataire, importateur ou distributeur; |
9) | «mise sur le marché», la première mise à disposition d’un système d’IA ou d’un modèle d’IA à usage général sur le marché de l’Union; |
10) | «mise à disposition sur le marché», la fourniture d’un système d’IA ou d’un modèle d’IA à usage général destiné à être distribué ou utilisé sur le marché de l’Union dans le cadre d’une activité commerciale, à titre onéreux ou gratuit; |
11) | «mise en service», la fourniture d’un système d’IA en vue d’une première utilisation directement au déployeur ou pour usage propre dans l’Union, conformément à la destination du système d’IA; |
12) | «destination», l’utilisation à laquelle un système d’IA est destiné par le fournisseur, y compris le contexte et les conditions spécifiques d’utilisation, tels qu’ils sont précisés dans les informations communiquées par le fournisseur dans la notice d’utilisation, les indications publicitaires ou de vente et les déclarations, ainsi que dans la documentation technique; |
13) | «mauvaise utilisation raisonnablement prévisible», l’utilisation d’un système d’IA d’une manière qui n’est pas conforme à sa destination, mais qui peut résulter d’un comportement humain raisonnablement prévisible ou d’une interaction raisonnablement prévisible avec d’autres systèmes, y compris d’autres systèmes d’IA; |
14) | «composant de sécurité», un composant d’un produit ou d’un système d’IA qui remplit une fonction de sécurité pour ce produit ou ce système d’IA, ou dont la défaillance ou le dysfonctionnement met en danger la santé et la sécurité des personnes ou des biens; |
15) | «notice d’utilisation», les indications communiquées par le fournisseur pour informer le déployeur, en particulier, de la destination et de l’utilisation correcte d’un système d’IA; |
16) | «rappel d’un système d’IA», toute mesure visant à assurer le retour au fournisseur d’un système d’IA mis à la disposition de déployeurs ou à le mettre hors service ou à désactiver son utilisation; |
17) | «retrait d’un système d’IA», toute mesure visant à empêcher qu’un système d’IA se trouvant dans la chaîne d’approvisionnement ne soit mis à disposition sur le marché; |
18) | «performance d’un système d’IA», la capacité d’un système d’IA à remplir sa destination; |
19) | «autorité notifiante», l’autorité nationale chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle; |
20) | «évaluation de la conformité», la procédure permettant de démontrer que les exigences relatives à un système d’IA à haut risque énoncées au chapitre III, section 2, ont été respectées; |
21) | «organisme d’évaluation de la conformité», un organisme en charge des activités d’évaluation de la conformité par un tiers, y compris la mise à l’essai, la certification et l’inspection; |
22) | «organisme notifié», un organisme d’évaluation de la conformité notifié en application du présent règlement et d’autres actes législatifs d’harmonisation de l’Union pertinents; |
23) | «modification substantielle», une modification apportée à un système d’IA après sa mise sur le marché ou sa mise en service, qui n’est pas prévue ou planifiée dans l’évaluation initiale de la conformité réalisée par le fournisseur et qui a pour effet de nuire à la conformité de ce système aux exigences énoncées au chapitre III, section 2, ou qui entraîne une modification de la destination pour laquelle le système d’IA a été évalué; |
24) | «marquage CE», un marquage par lequel le fournisseur indique qu’un système d’IA est conforme aux exigences du chapitre III, section 2, et d’autres actes législatifs d’harmonisation de l’Union applicables qui en prévoient l’apposition; |
25) | «système de surveillance après commercialisation», l’ensemble des activités réalisées par les fournisseurs de systèmes d’IA pour recueillir et analyser les données issues de l’expérience d’utilisation des systèmes d’IA qu’ils mettent sur le marché ou mettent en service de manière à repérer toute nécessité d’appliquer immédiatement une mesure préventive ou corrective; |
26) | «autorité de surveillance du marché», l’autorité nationale assurant la mission et prenant les mesures prévues par le règlement (UE) 2019/1020; |
27) | «norme harmonisée», une norme harmonisée au sens de l’article 2, paragraphe 1, point c), du règlement (UE) no 1025/2012; |
28) | «spécification commune», un ensemble de spécifications techniques au sens de l’article 2, point 4), du règlement (UE) no 1025/2012 qui permettent de satisfaire à certaines exigences établies en vertu du présent règlement; |
29) | «données d’entraînement», les données utilisées pour entraîner un système d’IA en ajustant ses paramètres entraînables; |
30) | «données de validation», les données utilisées pour fournir une évaluation du système d’IA entraîné et pour régler ses paramètres non entraînables ainsi que son processus d’apprentissage, afin, notamment, d’éviter tout sous-ajustement ou surajustement; |
31) | «jeu de données de validation», un jeu de données distinct ou une partie du jeu de données d’entraînement, sous la forme d’une division variable ou fixe; |
32) | «données de test», les données utilisées pour fournir une évaluation indépendante du système d’IA afin de confirmer la performance attendue de ce système avant sa mise sur le marché ou sa mise en service; |
33) | «données d’entrée», les données fournies à un système d’IA ou directement acquises par celui-ci et à partir desquelles il produit une sortie; |
34) | «données biométriques», les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, telles que des images faciales ou des données dactyloscopiques; |
35) | «identification biométrique», la reconnaissance automatisée de caractéristiques physiques, physiologiques, comportementales ou psychologiques humaines aux fins d’établir l’identité d’une personne physique en comparant ses données biométriques à des données biométriques de personnes stockées dans une base de données; |
36) | «vérification biométrique», la vérification «un à un» automatisée, y compris l’authentification, de l’identité des personnes physiques en comparant leurs données biométriques à des données biométriques précédemment fournies; |
37) | «catégories particulières de données à caractère personnel», les catégories de données à caractère personnel visées à l’article 9, paragraphe 1, du règlement (UE) 2016/679, à l’article 10 de la directive (UE) 2016/680 et à l’article 10, paragraphe 1, du règlement (UE) 2018/1725; |
38) | «données opérationnelles sensibles», les données opérationnelles relatives à des activités de prévention et de détection des infractions pénales, ainsi que d’enquête ou de poursuites en la matière, dont la divulgation pourrait compromettre l’intégrité des procédures pénales; |
39) | «système de reconnaissance des émotions», un système d’IA permettant la reconnaissance ou la déduction des émotions ou des intentions de personnes physiques sur la base de leurs données biométriques; |
40) | «système de catégorisation biométrique», un système d’IA destiné à affecter des personnes physiques à des catégories spécifiques sur la base de leurs données biométriques, à moins que cela ne soit accessoire à un autre service commercial et strictement nécessaire pour des raisons techniques objectives; |
41) | «système d’identification biométrique à distance», un système d’IA destiné à identifier des personnes physiques sans leur participation active, généralement à distance, en comparant les données biométriques d’une personne avec celles qui figurent dans une base de données; |
42) | «système d’identification biométrique à distance en temps réel», un système d’identification biométrique à distance dans lequel l’acquisition des données biométriques, la comparaison et l’identification se déroulent sans décalage temporel important et qui comprend non seulement l’identification instantanée, mais aussi avec un léger décalage afin d’éviter tout contournement des règles; |
43) | «système d’identification biométrique à distance a posteriori», un système d’identification biométrique à distance autre qu’un système d’identification biométrique à distance en temps réel; |
44) | «espace accessible au public», tout espace physique de propriété publique ou privée, accessible à un nombre indéterminé de personnes physiques, indépendamment de l’existence de conditions d’accès à cet espace qui puissent s’appliquer, et indépendamment d’éventuelles restrictions de capacité; |
45) | «autorités répressives»,
|
46) | «activités répressives», des activités menées par les autorités répressives ou pour leur compte pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; |
47) | «Bureau de l’IA», la fonction de la Commission consistant à contribuer à la mise en œuvre, au suivi et à la surveillance des systèmes d’IA et de modèles d’IA à usage général et de la gouvernance de l’IA, établi par la décision de la Commission du 24 janvier 2024; les références faites au Bureau de l’IA dans le présent règlement s’entendent comme faites à la Commission; |
48) | «autorité nationale compétente», une autorité notifiante ou une autorité de surveillance du marché; en ce qui concerne les systèmes d’IA mis en service ou utilisés par les institutions, organes ou organismes de l’Union, les références aux autorités nationales compétentes ou aux autorités de surveillance du marché dans le présent règlement s’entendent comme une référence au Contrôleur européen de la protection des données; |
49) | «incident grave», un incident ou dysfonctionnement d’un système d’IA entraînant directement ou indirectement:
|
50) | «données à caractère personnel», les données à caractère personnel définies à l’article 4, point 1), du règlement (UE) 2016/679; |
51) | «données à caractère non personnel», les données autres que les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679; |
52) | «profilage», le profilage au sens de l’article 4, point 4), du règlement (UE) 2016/679; |
53) | «plan d’essais en conditions réelles», un document décrivant les objectifs, la méthode, la population et le champ d’application géographique et la portée dans le temps, le suivi, l’organisation et la conduite des essais en conditions réelles; |
54) | «plan du bac à sable», un document adopté conjointement entre le fournisseur participant et l’autorité compétente, qui décrit les objectifs, les conditions, les délais, la méthodologie et les exigences applicables aux activités réalisées au sein du bac à sable; |
55) | «bac à sable réglementaire de l’IA», un cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs ou fournisseurs potentiels de systèmes d’IA la possibilité de développer, d’entraîner, de valider et de tester, lorsqu’il y a lieu en conditions réelles, un système d’IA innovant, selon un plan du bac à sable pour une durée limitée sous surveillance réglementaire; |
56) | «maîtrise de l’IA», les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, aux déployeurs et aux personnes concernées, compte tenu de leurs droits et obligations respectifs dans le contexte du présent règlement, de procéder à un déploiement des systèmes d’IA en toute connaissance de cause, ainsi que de prendre conscience des possibilités et des risques que comporte l’IA, ainsi que des préjudices potentiels qu’elle peut causer; |
57) | «essais en conditions réelles», les essais temporaires d’un système d’IA aux fins de sa destination en conditions réelles en dehors d’un laboratoire ou d’un environnement simulé d’une autre manière, visant à recueillir des données fiables et solides et à évaluer et vérifier la conformité du système d’IA aux exigences du présent règlement; les essais en conditions réelles ne remplissent pas les conditions pour constituer une mise sur le marché ni une mise en service du système d’IA au sens du présent règlement, pour autant que toutes les conditions prévues à l’article 57 ou à l’article 60 soient remplies; |
58) | «participant», aux fins des essais en conditions réelles, une personne physique qui participe à des essais en conditions réelles; |
59) | «consentement éclairé», l’expression libre, spécifique, univoque et volontaire, par un participant, de sa volonté de participer à un essai en conditions réelles particulier, après avoir été informé de tous les éléments de l’essai qui lui permettent de prendre sa décision concernant sa participation; |
60) | «hypertrucage», une image ou un contenu audio ou vidéo généré ou manipulé par l’IA, présentant une ressemblance avec des personnes, des objets, des lieux, des entités ou événements existants et pouvant être perçu à tort par une personne comme authentiques ou véridiques; |
61) | «infraction de grande ampleur», tout acte ou toute omission contraire au droit de l’Union en matière de protection des intérêts des personnes, qui:
|
62) | «infrastructure critique», une infrastructure critique au sens de l’article 2, point 4), de la directive (UE) 2022/2557; |
63) | «modèle d’IA à usage général», un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché; |
64) | «capacités à fort impact», des capacités égales ou supérieures aux capacités enregistrées dans les modèles d’IA à usage général les plus avancés; |
65) | «risque systémique», un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur; |
66) | «système d’IA à usage général», un système d’IA qui est fondé sur un modèle d’IA à usage général et qui a la capacité de répondre à diverses finalités, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA; |
67) | «opération en virgule flottante», toute opération ou assignation mathématique impliquant des nombres en virgule flottante, qui constituent un sous-ensemble des nombres réels généralement représentés sur un ordinateur par un entier de précision fixe suivi d’un exposant entier d’une base fixe; |
68) | «fournisseur en aval», un fournisseur d’un système d’IA, y compris d’un système d’IA à usage général, qui intègre un modèle d’IA, que le modèle d’IA soit fourni par lui-même ou non, et verticalement intégré ou fourni par une autre entité sur la base de relations contractuelles. |
Perspectives avec d’autres textes
Perspectives européennes
RGPD – Définitions connexes
L’article 3 du RGPD définit des termes comme « données personnelles », utilisés aussi par l’IA Act. Cela permet d’assurer une cohérence lorsque les deux règlements s’appliquent en même temps, par exemple pour des systèmes d’IA traitant des données personnelles.
Lignes directrices, recommandations et avis
Draft Guidelines on AI Definitions (2025) : publiées par la Commission européenne pour aider les acteurs à savoir si un logiciel constitue un système d’IA selon le AI Act.
Elles clarifient :
- la distinction entre « système d’IA » et des logiciels utilisant simplement des algorithmes,
- les critères pour identifier un modèle à usage général,
- la définition d’un incident grave.
Standards et normes de référence
ISO/IEC 22989 – Définitions pour l’intelligence artificielle
Fournit des définitions harmonisées pour les concepts clés de l’IA (systèmes, modèles, incidents). Ces définitions sont alignées avec l’article 3 de l’IA Act, garantissant une interprétation cohérente au niveau international tout en respectant le contexte européen.
ISO/IEC 23894 – AI Risk Management
Cette norme complète la précédente en proposant un cadre pour évaluer et gérer les risques des systèmes d’IA. Elle aide à comprendre la probabilité et la gravité des risques et est utile pour qualifier les systèmes à haut risque ou évaluer la gravité d’un incident.
L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne.
Menu IA Act
Besoin d’aide pour cet article ?
Comprendre les obligations liées à cet article et éviter les erreurs.
🔓 Échange confidentiel – Sans engagement