Ressource gratuite

Glossaire EU AI Act

Toutes les définitions essentielles du règlement européen sur l'intelligence artificielle (UE 2024/1689), expliquées clairement pour les équipes conformité, juridiques et techniques des entreprises françaises.

Ce glossaire a une vocation pédagogique et indicative. Il ne constitue pas un conseil juridique personnalisé. Pour toute situation spécifique, consultez un professionnel qualifié.

ABCDFGIMPS
A

Annexe III

Liste des domaines dans lesquels un système d'IA est présumé à haut risque lorsqu'il remplit certains critères d'usage. Elle couvre huit domaines allant de la biométrie à la justice.

Les huit domaines de l'Annexe III : (1) Biométrie, (2) Infrastructures critiques, (3) Éducation et formation, (4) Emploi et gestion des travailleurs, (5) Accès aux services essentiels privés et publics, (6) Application de la loi, (7) Migration, asile et contrôle aux frontières, (8) Administration de la justice et processus démocratiques. La qualification comme haut risque dans ces domaines n'est pas automatique : elle dépend de la finalité précise du système.

Source : Article 6 et Annexe III du Règlement (UE) 2024/1689Voir aussi : Haut risque, Classification, Fournisseur, Déployeur
B

Bureau européen de l'IA

Entité créée au sein de la Commission européenne chargée d'appliquer le règlement pour les modèles d'IA à usage général (GPAI) et de coordonner l'application du règlement entre États membres.

Le Bureau européen de l'IA (European AI Office) a été créé en 2024. Il dispose de pouvoirs d'enquête et peut imposer des amendes aux fournisseurs de GPAI. Il publie les codes de bonnes pratiques et les lignes directrices d'interprétation du règlement. Pour les systèmes hors GPAI, la supervision reste principalement nationale.

Source : Article 64 et suivants du Règlement (UE) 2024/1689Voir aussi : GPAI, Sanctions, Fournisseur
C

CNIL et intelligence artificielle

La CNIL (Commission nationale de l'informatique et des libertés) est l'autorité française susceptible d'exercer un rôle de supervision en matière d'IA, notamment pour les systèmes traitant des données personnelles.

La CNIL a publié des guides d'autoévaluation IA et a vocation à devenir l'une des autorités nationales compétentes au sens de l'AI Act en France. Son action s'articule avec le RGPD : un système d'IA à haut risque traitant des données personnelles est soumis aux deux cadres simultanément, sans substitution. La CNIL a notamment publié des recommandations sur les IA génératives, les outils de scoring et les traitements biométriques.

Source : cnil.fr/fr/intelligence-artificielleVoir aussi : RGPD, Supervision humaine, Biométrie, Sanctions
D

Déployeur

Toute personne physique ou morale, autorité publique, agence ou autre organisme qui utilise un système d'IA sous sa propre responsabilité, sauf si ce système est utilisé dans le cadre d'une activité personnelle non professionnelle.

En tant que déployeur d'un système à haut risque, l'entreprise a des obligations propres : supervision humaine, journaux de bord, information des personnes concernées (salariés notamment), signalement d'incidents graves et vérification de la conformité du système utilisé. Le déployeur ne peut pas déléguer contractuellement ses obligations réglementaires au fournisseur.

Source : Article 3(4) du Règlement (UE) 2024/1689Voir aussi : Fournisseur, Importateur, Supervision humaine, Haut risque

Distributeur

Toute personne physique ou morale faisant partie de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d'IA à disposition sur le marché de l'Union.

Le distributeur a des obligations allégées mais réelles : vérifier le marquage CE, la disponibilité de la documentation et l'accessibilité des coordonnées du fournisseur ou de l'importateur. Il doit également signaler tout incident grave qu'il constaterait.

Source : Article 3(7) du Règlement (UE) 2024/1689Voir aussi : Fournisseur, Importateur, Marquage CE

Documentation technique — Article 11

Dossier obligatoire que le fournisseur d'un système IA à haut risque doit constituer et maintenir avant la mise sur le marché ou en service. Son contenu est défini à l'Annexe IV du règlement.

La documentation Article 11 doit couvrir : la description générale du système (finalité, version, performances), la description des données d'entraînement, de validation et de test, la description de l'architecture et de la logique de fonctionnement, les mesures de gestion des risques, les résultats des tests, les exigences de supervision humaine, et les mesures de cybersécurité. Elle doit être mise à jour à chaque modification substantielle du système.

Source : Article 11 et Annexe IV du Règlement (UE) 2024/1689Voir aussi : Haut risque, Fournisseur, Annexe III, Marquage CE
F

Fournisseur

Toute personne physique ou morale, autorité publique, agence ou autre organisme qui développe un système d'IA ou qui fait développer un système d'IA et le met sur le marché ou le met en service sous son propre nom ou sa propre marque.

Le fournisseur supporte les obligations les plus lourdes du règlement : gestion des risques (Art. 9), gouvernance des données (Art. 10), documentation technique (Art. 11), journaux (Art. 12), information des déployeurs (Art. 13), contrôle humain (Art. 14), robustesse (Art. 15), marquage CE et enregistrement dans la base de données UE. Une entreprise qui développe un système pour son usage interne peut être qualifiée de fournisseur.

Source : Article 3(3) du Règlement (UE) 2024/1689Voir aussi : Déployeur, Documentation Article 11, Haut risque, Marquage CE
G

GPAI — Modèle d'IA à usage général

Modèle d'IA entraîné sur de grandes quantités de données, présentant une généralité significative et capable d'accomplir une grande variété de tâches distinctes. Les grands modèles de langage en sont l'exemple emblématique.

Les obligations spécifiques aux GPAI s'appliquent depuis août 2025. Elles couvrent la documentation technique, la politique de droits d'auteur pour les données d'entraînement, la publication d'un résumé du contenu utilisé pour l'entraînement, et la coopération avec le Bureau européen de l'IA. Les GPAI présentant des risques systémiques (calculés de puissance d'entraînement supérieure à 10^25 FLOP) font l'objet d'obligations renforcées.

Source : Article 3(63) et Titre VIII du Règlement (UE) 2024/1689Voir aussi : Fournisseur, Bureau européen de l'IA, Risque systémique

Gestion des risques — Article 9

Système continu d'identification, d'analyse et de réduction des risques prévisibles associés à un système IA à haut risque, applicable tout au long du cycle de vie du système.

Le système de gestion des risques doit comprendre : l'identification et l'analyse des risques raisonnablement prévisibles, l'évaluation des risques résiduels, l'adoption de mesures de gestion appropriées, et des tests pour vérifier l'efficacité de ces mesures. Il doit être documenté, révisé régulièrement et adapté aux données post-commercialisation.

Source : Article 9 du Règlement (UE) 2024/1689Voir aussi : Haut risque, Fournisseur, Documentation Article 11
I

Importateur

Toute personne physique ou morale établie dans l'Union qui met sur le marché de l'Union un système d'IA portant le nom ou la marque d'une personne physique ou morale établie en dehors de l'Union.

L'importateur a l'obligation de vérifier que le fournisseur établi hors UE a accompli ses obligations réglementaires, que la documentation est disponible et que le marquage CE est correct. S'il constate des irrégularités, il ne peut pas mettre le système sur le marché. Ce rôle concerne notamment les distributeurs de solutions IA américaines, chinoises ou autres.

Source : Article 3(6) du Règlement (UE) 2024/1689Voir aussi : Fournisseur, Distributeur, Marquage CE

Inventaire IA / Registre IA

Document interne recensant l'ensemble des systèmes d'intelligence artificielle développés ou utilisés par une organisation, avec leur qualification de risque, leurs finalités et les rôles associés.

Le règlement n'impose pas de format unique pour le registre interne, mais les informations requises en Annexe IV pour la documentation technique des systèmes à haut risque constituent un socle utile. Un bon registre identifie le système, son fournisseur, son usage, le rôle de l'organisation (fournisseur/déployeur), la classification de risque avec justification, et les preuves de conformité disponibles. Il doit être maintenu à jour.

Source : Bonne pratique — Annexe IV du Règlement (UE) 2024/1689Voir aussi : Haut risque, Fournisseur, Déployeur, Documentation Article 11
M

Modification substantielle

Changement apporté à un système IA après sa mise sur le marché ou sa mise en service qui affecte sa conformité ou entraîne une modification de la finalité ou du niveau de risque du système.

La modification substantielle est un concept important car elle peut requalifier un déployeur en fournisseur si celui-ci modifie significativement un système existant. Elle déclenche l'obligation de réévaluer la conformité et de mettre à jour la documentation technique. Le fournisseur original n'est plus seul responsable si la modification est opérée par un tiers.

Source : Article 3(23) du Règlement (UE) 2024/1689Voir aussi : Fournisseur, Déployeur, Documentation Article 11

Marquage CE

Déclaration formelle du fournisseur attestant que le système IA à haut risque est conforme aux exigences du règlement et a fait l'objet de l'évaluation de conformité requise.

Le marquage CE est obligatoire pour les systèmes IA à haut risque avant leur mise sur le marché. L'évaluation de conformité peut être réalisée par le fournisseur lui-même (auto-évaluation) ou par un organisme notifié tiers selon la nature du système. Le marquage CE atteste de la conformité à l'AI Act mais aussi aux autres réglementations applicables (ex. : directive machines).

Source : Article 48 du Règlement (UE) 2024/1689Voir aussi : Fournisseur, Haut risque, Documentation Article 11
P

Pratiques IA interdites — Article 5

Systèmes d'IA dont l'utilisation est strictement interdite par le règlement en raison de leur potentiel de violation des droits fondamentaux ou de manipulation des personnes.

Sont notamment interdits : les systèmes de manipulation subliminale ou exploitant les vulnérabilités d'un groupe, les systèmes de notation sociale publique, certains systèmes biométriques d'identification à distance en temps réel dans l'espace public (avec exceptions limitées), les systèmes d'inférence des émotions sur le lieu de travail ou dans l'éducation (sauf cas médicaux ou sécurité), et les systèmes de police prédictive fondés uniquement sur le profilage. Ces interdictions s'appliquent depuis le 2 février 2025.

Source : Article 5 du Règlement (UE) 2024/1689Voir aussi : Haut risque, Biométrie, Sanctions
S

Système d'IA

Système fondé sur des machines qui, pour un ensemble donné d'objectifs, génère des résultats tels que des prédictions, des recommandations, des décisions ou du contenu influençant des environnements réels ou virtuels.

La définition retenue par l'AI Act est large et technologie-neutre. Elle couvre les modèles de machine learning (supervisé, non supervisé, par renforcement), les systèmes d'inférence bayésiens, les réseaux de neurones et d'autres approches. Les systèmes purement déterministes fondés sur des règles fixes non apprises ne sont en principe pas concernés.

Source : Article 3(1) du Règlement (UE) 2024/1689Voir aussi : Fournisseur, Déployeur, Haut risque, GPAI

Système d'IA à haut risque

Système d'IA classé à haut risque selon l'Annexe III du règlement, ou utilisé comme composant de sécurité dans un produit soumis à une réglementation sectorielle listée en Annexe I.

L'Annexe III liste huit domaines sensibles : biométrie, infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services essentiels privés et publics, application de la loi, migration/asile/contrôle aux frontières, administration de la justice. Un système n'est à haut risque dans ces domaines que s'il prend ou influence des décisions sur des personnes — une IA de gestion de stocks dans un hôpital n'est pas automatiquement haut risque.

Source : Article 6 et Annexe III du Règlement (UE) 2024/1689Voir aussi : Annexe III, Documentation Article 11, Gestion des risques, Fournisseur

Supervision humaine — Article 14

Capacité permettant à des personnes physiques de surveiller efficacement le fonctionnement d'un système IA à haut risque pendant son utilisation, d'intervenir et de l'arrêter si nécessaire.

La supervision humaine ne peut pas être purement formelle. Elle implique que les superviseurs comprennent le système, ses limites et ses risques. Ils doivent pouvoir détecter les anomalies, corriger les décisions du système si nécessaire, et disposer d'un droit d'arrêt immédiat (kill switch). Les procédures de supervision doivent être documentées et les personnes désignées formées.

Source : Article 14 du Règlement (UE) 2024/1689Voir aussi : Haut risque, Déployeur, Fournisseur, Gestion des risques

Sanctions administratives

Amendes administratives prévues par le règlement pour les manquements de différentes gravités, pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Trois paliers : (1) jusqu'à 35 M€ ou 7 % du CA mondial pour les violations des pratiques interdites — (2) jusqu'à 15 M€ ou 3 % du CA pour les manquements aux obligations des systèmes IA et des fournisseurs GPAI — (3) jusqu'à 7,5 M€ ou 1 % du CA pour les informations incorrectes fournies aux autorités. Le montant effectif tient compte de la taille de l'entreprise, des efforts de mise en conformité et de la coopération avec les autorités.

Source : Article 99 du Règlement (UE) 2024/1689Voir aussi : Pratiques interdites, Haut risque, Bureau européen de l'IA, CNIL et IA

Passez de la définition à l'action

ActScan vous aide à qualifier vos systèmes d'IA selon l'Annexe III, à identifier vos obligations et à générer votre documentation technique Article 11 en 30 minutes.

Commencer l'audit gratuitLire nos guides