Qu'est-ce qu'un système IA selon l'Article 3(1) AI Act ?

Q: Quelles sont les conséquences pour une PME qui utilise un système IA sans le déclarer ?

Les PME risquent des amendes allant jusqu'à 7% de leur chiffre d'affaires annuel, selon l'Article 82 de l'AI Act. En cas de non-conformité, des sanctions financières et réputationnelles peuvent également être engagées. Il est crucial de s'assurer de la conformité pour éviter des sanctions financières et réputationnelles.

Q: Comment savoir si mon logiciel est un système IA selon l'AI Act ?

Vérifiez si votre logiciel génère des sorties IA (ex : prédiction, classification) pour atteindre une finalité spécifique et interagit avec des personnes. Si oui, il est probablement un système IA. Utilisez notre guide pratique ou consultez le glossaire officiel pour plus de clarté.

Q: Dois-je déclarer tous les systèmes IA à l'autorité compétente ?

Non, seulement les systèmes de risque élevé (ex : systèmes de recrutement, algorithmes de crédit) doivent être déclarés à l'autorité nationale compétente. Les systèmes de risque limité ou minimal doivent être documentés mais pas déclarés. Consultez le guide PME pour les démarches.

Q: Quelles sont les différences entre l'AI Act et le RGPD pour les systèmes IA ?

L'AI Act régule spécifiquement les systèmes IA, tandis que le RGPD s'applique aux traitements de données personnelles. Un système IA peut être soumis aux deux régimes si il traite des données personnelles. L'AI Act impose des obligations spécifiques (évaluation d'impact, documentation) indépendamment du RGPD.

Q: Puis-je utiliser un système IA sans en être conscient ?

Non, les PME doivent identifier tous les systèmes IA qu'elles utilisent ou développent. Une analyse régulière est nécessaire pour s'assurer de la conformité. L'ignorance n'est pas une excuse pour non-conformité.

L'essentiel en 30 secondes - Un système d'IA se définit comme un système automatisé conçu pour fonctionner avec différents niveaux d'autonomie (Article 3(1) du Règlement (UE) 2024/1689). - Quatre critères cumulatifs déterminent la qualification : autonomie, adaptabilité, génération de sorties, influence sur l'environnement. - Les PME françaises doivent cartographier leurs outils numériques pour identifier ceux relevant de l'AI Act. - Les sanctions atteignent 7% du chiffre d'affaires mondial annuel pour les manquements aux pratiques interdites (Art. 99 AI Act). - La Commission européenne a publié des lignes directrices d'interprétation le 6 février 2025 [à vérifier]. - Un tableur, une base de données ou un logiciel de gestion classique ne sont pas des systèmes d'IA.

La définition d'un système d'intelligence artificielle conditionne toute l'application du Règlement (UE) 2024/1689. Sans qualification, pas d'obligations. Mais aussi : pas d'exemption tant que la qualification reste incertaine. Pour une PME française de 10 à 250 salariés, comprendre cette définition n'est pas un exercice théorique. C'est le point de départ d'une analyse de conformité réaliste.

Cet article décompose l'Article 3(1) du Règlement (UE) 2024/1689, illustre la définition par des cas concrets de PME françaises, et fournit une grille d'auto-évaluation immédiatement utilisable.

1. Définition légale : l'Article 3(1) AI Act

L'Article 3(1) du Règlement (UE) 2024/1689 énonce la définition officielle d'un système d'IA. La formulation retenue par le législateur européen reprend, à quelques nuances près, la définition de l'OCDE actualisée en novembre 2023.

Le texte officiel dispose qu'un système d'IA est :

« un système automatisé qui est conçu pour fonctionner à différents niveaux d'autonomie et qui peut faire preuve d'une capacité d'adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu'il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».

Cette définition remplace celle qui figurait dans la proposition initiale de la Commission de 2021. Elle a été modifiée plusieurs fois pendant les trilogues. L'objectif des co-législateurs : exclure les logiciels classiques fondés sur des règles strictes définies par l'humain, tout en couvrant les techniques d'apprentissage automatique, de logique et fondées sur la connaissance.

Le considérant 12 du Règlement précise la portée : la définition vise à distinguer l'IA des « systèmes logiciels plus simples ou des approches de programmation traditionnelles ». Un logiciel qui exécute strictement les instructions données par une personne physique ne relève pas de cette qualification.

Pour une PME française, retenir trois points :

La définition est technologiquement neutre : elle ne cite ni machine learning, ni réseaux de neurones, ni LLM.
Elle est fonctionnelle : ce qui compte, c'est ce que le système fait, pas comment il est codé.
Elle est cumulative : tous les éléments doivent être réunis pour qualifier un système d'IA.

Notre article sur l'AI Act pour les PME françaises détaille le calendrier d'application complet du Règlement.

2. Les quatre éléments clés d'un système IA

L'Article 3(1) repose sur quatre composants identifiables. La Commission européenne, dans ses lignes directrices publiées en février 2025 [à vérifier], a confirmé que ces éléments doivent être analysés ensemble, non isolément.

Élément	Définition	Cas PME — exemple
Système automatisé	Logiciel ou matériel exécutant des opérations sans intervention humaine continue	Plateforme de scoring CRM
Niveaux d'autonomie	Capacité à fonctionner avec une supervision humaine variable	Filtre anti-spam mail
Capacité d'adaptation	Possibilité d'évoluer après déploiement (auto-apprentissage)	Algorithme de recommandation produit
Génération de sorties	Production de prédictions, contenus, recommandations ou décisions	Chatbot client générant des réponses

2.1 Système automatisé

Le système doit fonctionner par traitement informatique. Un processus manuel, même structuré et répétitif, n'est pas un système d'IA. Le seuil d'automatisation n'est pas chiffré. Une grille d'évaluation Excel manipulée par un humain ne qualifie pas. Un script Python qui calcule un score sans intervention ponctuelle peut, selon les autres critères, qualifier.

2.2 Niveaux d'autonomie

L'Article 3(1) précise « différents niveaux d'autonomie ». Un système entièrement supervisé, où chaque sortie est validée par un humain avant action, reste un système d'IA si les autres critères sont remplis. À l'inverse, un système agissant sans aucune intervention humaine est également couvert. La graduation n'exonère pas.

2.3 Capacité d'adaptation

Le texte indique que le système « peut » faire preuve d'adaptation. L'usage du verbe modal est important. L'adaptation post-déploiement n'est pas obligatoire pour qualifier. Un modèle figé après entraînement initial peut donc relever de l'AI Act. Cette précision a été ajoutée pendant les trilogues pour éviter une exclusion massive des systèmes d'apprentissage supervisé classique.

2.4 Génération de sorties influençant l'environnement

C'est le critère le plus discriminant. Le système doit produire des sorties qui « influencent les environnements physiques ou virtuels ». Quatre catégories sont citées : prédictions, contenus, recommandations, décisions. La liste n'est pas exhaustive. Une simple visualisation de données, sans recommandation ni décision, peut sortir du champ.

3. Exemples concrets pour les PME françaises

L'application de la définition gagne en clarté sur des cas pratiques. Les exemples ci-dessous correspondent à des usages observés dans des PME de 10 à 250 salariés.

Outil métier	Système IA selon Art. 3(1) ?	Justification
Chatbot client basé sur LLM	Oui	Génère du contenu via inférence, niveau d'autonomie élevé
Algorithme de tri de CV automatisé	Oui	Produit des recommandations influençant une décision RH
Système de recommandation e-commerce	Oui	Sorties prédictives influençant l'environnement virtuel
Logiciel de prévision de ventes par ML	Oui	Prédiction générée par apprentissage automatique
Reconnaissance d'image pour contrôle qualité	Oui	Décision automatisée sur produits physiques
Tableur Excel avec formule SOMMEPROD	Non	Règles strictes définies par l'humain, pas d'inférence
Logiciel de comptabilité standard	Non	Traitement déterministe sans génération de sorties IA
Filtre anti-spam basé sur règles	Frontière	Dépend de la présence d'apprentissage automatique

Cas 1 — Une agence de communication parisienne utilise ChatGPT pour générer des brouillons de newsletters. Le système qualifie comme système d'IA. L'agence devient déployeur au sens de l'Art. 3(4) AI Act, avec des obligations d'information transparente envers ses propres clients pour les contenus générés.

Cas 2 — Une PME industrielle lyonnaise utilise un logiciel de planification de production basé sur des règles métier figées. Aucune inférence, aucun apprentissage. Le logiciel ne qualifie pas, et reste hors champ AI Act, même s'il « optimise » la production.

Cas 3 — Une startup RH bordelaise développe un outil de scoring de candidatures par machine learning supervisé. Le système qualifie. Il relève très probablement de la liste des systèmes à haut risque (Annexe III, point 4(a) AI Act, recrutement). Les obligations sont significativement renforcées.

Doute sur la qualification de vos outils numériques ?

Notre pack documentaire regulia inclut une grille d'audit Article 3(1) en 12 questions, un registre de classification automatisé et les templates de documentation conformes. Conçu pour les PME françaises de 10 à 250 salariés.

Demander le pack regulia

4. Exclusions : ce qui n'est PAS un système IA

Le considérant 12 et l'Article 2(8) du Règlement listent des exclusions explicites. La distinction est cruciale : qualifier à tort un logiciel comme système d'IA expose à des coûts de mise en conformité inutiles. À l'inverse, ne pas qualifier alors que le système en relève expose à des sanctions.

Sont exclus du champ de l'AI Act :

Les logiciels exécutant strictement des règles définies par des humains, sans inférence.
Les systèmes utilisés à des fins exclusivement militaires, de défense ou de sécurité nationale (Art. 2(3)).
Les systèmes développés exclusivement à des fins de recherche scientifique (Art. 2(6)).
Les composants d'IA gratuits et open source, sauf s'ils sont des modèles à risque systémique ou des pratiques interdites (Art. 2(12)).
Les activités de R&D précédant la mise sur le marché ou la mise en service (Art. 2(8)).

Cas particuliers fréquents en PME :

Outil	Qualification	Pourquoi
Macro VBA dans Excel	Non	Règles déterministes humaines
Système expert avec base de connaissances	Oui	Cité explicitement par considérant 12
Calculateur de prix par formule	Non	Pas d'inférence
OCR avec extraction de données	Frontière	Selon présence ML
Traduction automatique (DeepL, Google)	Oui	Génération de contenu par modèle IA

L'erreur fréquente consiste à confondre « automatisation » et « intelligence artificielle ». Un robot de procédure (RPA) qui exécute une séquence d'actions prédéfinies n'est pas un système d'IA, même s'il « remplace » du travail humain. À l'inverse, un système d'aide à la décision qui apprend des historiques pour ajuster ses recommandations qualifie, même si son interface est minimaliste.

5. Conséquences pour les PME : pourquoi la qualification compte

La qualification d'un outil comme système d'IA déclenche en cascade plusieurs obligations. Les unes sont génériques, les autres dépendent du niveau de risque (inacceptable, élevé, limité, minimal — Art. 5 à 95 du Règlement).

Obligations génériques pour tout déployeur PME utilisant un système d'IA :

Information transparente des utilisateurs (Art. 50 AI Act).
Garantie d'un niveau suffisant de compétence en matière d'IA pour le personnel utilisateur (Art. 4 AI Act, applicable depuis le 2 février 2025).
Documentation interne de l'usage et des finalités.
Surveillance humaine adaptée au niveau de risque.

Obligations spécifiques aux systèmes à haut risque (Annexe III) :

Système de gestion des risques (Art. 9).
Gouvernance des données d'entraînement et de test (Art. 10).
Documentation technique complète (Art. 11).
Journalisation automatique des événements (Art. 12).
Transparence et fourniture d'informations aux utilisateurs (Art. 13).
Supervision humaine effective (Art. 14).
Exactitude, robustesse et cybersécurité (Art. 15).

Sanctions encourues — l'Article 99 prévoit des amendes administratives graduées :

Catégorie de manquement	Sanction maximale
Pratiques interdites (Art. 5)	35 M€ ou 7% du CA mondial annuel
Manquement aux obligations haut risque	15 M€ ou 3% du CA mondial annuel
Fourniture d'informations incorrectes	7,5 M€ ou 1% du CA mondial annuel

Pour une PME française réalisant 5 M€ de chiffre d'affaires, 7% représentent 350 000 €. Le détail des sanctions et un calculateur dédié sont disponibles dans notre article AI Act sanctions PME : amendes et calculateur.

6. Guide pratique : comment identifier un système IA en 4 étapes

Cette méthodologie est exploitable immédiatement par un dirigeant, DPO ou IA Lead. Elle ne remplace pas une analyse juridique, mais constitue un premier filtre opérationnel.

Étape 1 — Inventorier les outils numériques

Lister tous les logiciels, services SaaS, applications mobiles et outils internes utilisés dans l'entreprise. Inclure les outils « informels » (extensions navigateur, abonnements personnels utilisés en contexte professionnel).

Étape 2 — Pour chaque outil, répondre aux 4 questions Art. 3(1) :

L'outil est-il automatisé ?
Présente-t-il un niveau d'autonomie variable ?
Génère-t-il des sorties (prédictions, contenus, recommandations, décisions) ?
Ces sorties influencent-elles un environnement physique ou virtuel ?

Quatre « oui » → qualification probable comme système d'IA.

Étape 3 — Identifier le niveau de risque

Croiser l'usage avec les listes du Règlement :

Niveau de risque	Référence	Exemples
Inacceptable	Art. 5	Notation sociale, manipulation cognitive
Élevé	Annexe III	Recrutement, crédit, justice, infrastructures critiques
Limité	Art. 50	Chatbots, deepfakes, systèmes de reconnaissance d'émotions
Minimal	Hors listes	Filtres anti-spam, jeux vidéo

Étape 4 — Documenter la décision de qualification

Tenir un registre interne mentionnant pour chaque outil : nom, fournisseur, finalité, qualification AI Act, niveau de risque, date d'analyse, responsable. Ce registre n'est pas explicitement exigé par le Règlement pour les déployeurs hors haut risque, mais il facilite l'audit et la défense en cas de contrôle. Le glossaire regulia reprend les définitions clés à utiliser dans ce registre.

7. Ressources officielles pour les PME

L'auto-formation reste possible grâce aux ressources publiques. Les PME françaises peuvent s'appuyer sur quatre sources principales.

Service desk AI Act de la Commission européenne — ai-act-service-desk.ec.europa.eu. Plateforme ouverte aux entreprises depuis fin 2024, permettant de poser des questions d'interprétation. Réponses non contraignantes mais documentées.

CNIL — autorité nationale française — cnil.fr propose 13 fiches pratiques IA publiées progressivement depuis avril 2024 et complétées en 2025. La CNIL est désignée autorité chargée du RGPD-IA et participe à la coordination AI Act française.

AI Office européen — créé par l'Art. 64 AI Act, opérationnel depuis le 16 juin 2024. Compétence sur les modèles d'IA à usage général et coordination des autorités nationales.

EUR-Lex — eur-lex.europa.eu/eli/reg/2024/1689 héberge le texte officiel consolidé en français et toutes les langues officielles UE.

Pour une vue d'ensemble des références juridiques, consulter notre page sources et références.

8. ISO/IEC 42001:2023 : complément normatif pour la gouvernance

La norme ISO/IEC 42001:2023, publiée en décembre 2023, fournit un cadre de gouvernance pour les organisations qui développent, fournissent ou utilisent des systèmes d'IA. Elle est complémentaire de l'AI Act, non substitutive.

Différences clés :

Critère	AI Act	ISO/IEC 42001
Nature	Règlement européen contraignant	Norme volontaire
Sanctions	Amendes jusqu'à 7% du CA	Aucune sanction directe
Approche	Conformité par niveau de risque	Système de management de l'IA
Public	Tous opérateurs UE	Organisations volontaires
Référence	Règlement (UE) 2024/1689	ISO/IEC 42001:2023

Pour une PME française, la certification ISO 42001 n'est pas obligatoire. Elle peut toutefois :

Faciliter la démonstration de conformité Art. 17 AI Act (système de gestion de la qualité).
Constituer un argument commercial en B2B.
Structurer la documentation interne exigée par le Règlement.

L'AI Act mentionne explicitement les normes harmonisées comme moyen de présomption de conformité (Art. 40). Le CEN-CENELEC JTC21 travaille à publier ces normes harmonisées d'ici fin 2026 [à vérifier]. ISO 42001, ISO/IEC 23894:2023 (gestion des risques IA) et ISO/IEC 27001:2022 (sécurité de l'information) constituent à ce jour les références internationales les plus matures.

FAQ

Quelles sont les conséquences pour une PME qui utilise un système IA sans le déclarer ?

L'AI Act n'impose pas de déclaration générale de tout système d'IA. Seuls les fournisseurs et déployeurs de systèmes à haut risque (Annexe III) doivent enregistrer ces systèmes dans la base de données européenne (Art. 71 AI Act). Pour les autres systèmes, aucune déclaration préalable n'est requise. L'absence de cartographie interne expose toutefois la PME à des risques de non-conformité dont les sanctions atteignent 15 millions d'euros ou 3% du chiffre d'affaires mondial annuel selon l'Article 99(4) du Règlement.

Comment savoir si mon logiciel est un système IA selon l'AI Act ?

Appliquer le test en 4 questions issues de l'Article 3(1) : le logiciel est-il automatisé ? Présente-t-il un niveau d'autonomie variable ? Génère-t-il des sorties (prédictions, contenus, recommandations, décisions) ? Ces sorties influencent-elles un environnement physique ou virtuel ? Quatre réponses positives indiquent une qualification probable. En cas de doute, le considérant 12 du Règlement et les lignes directrices de la Commission européenne précisent les cas limites. Le service desk européen propose un mécanisme de questions individuelles.

Dois-je déclarer tous les systèmes IA à l'autorité compétente ?

Non. L'obligation d'enregistrement dans la base de données européenne (Art. 71 AI Act) concerne uniquement les systèmes à haut risque listés à l'Annexe III. Les systèmes à risque limité (Art. 50) sont soumis à des obligations de transparence, non d'enregistrement. Les systèmes à risque minimal n'ont pas d'obligation déclarative. La désignation d'une autorité nationale compétente en France est en cours de finalisation [à vérifier].

Quelles sont les différences entre l'AI Act et le RGPD pour les systèmes IA ?

L'AI Act régule les systèmes d'IA en tant que produits, indépendamment du traitement de données personnelles. Le RGPD régule tout traitement de données personnelles, qu'il implique ou non un système d'IA. Les deux régimes s'appliquent cumulativement. Un chatbot RH analysant des CV doit ainsi respecter à la fois les obligations AI Act haut risque (Annexe III, 4(a)) et les obligations RGPD (base légale, durée de conservation, droits des personnes). Une analyse d'impact relative à la protection des données (AIPD) peut être combinée avec l'évaluation d'impact AI Act (FRIA, Art. 27).

Puis-je utiliser un système IA sans en être conscient ?

Techniquement oui, par exemple via une fonctionnalité IA intégrée à un logiciel SaaS classique (filtre photo, suggestion automatique). Juridiquement, cette ignorance n'exonère pas. L'Article 4 AI Act, applicable depuis le 2 février 2025, impose aux fournisseurs et déployeurs de garantir « un niveau suffisant de maîtrise de l'IA » au personnel concerné. Une cartographie régulière des outils utilisés, incluant les fonctionnalités IA intégrées à des solutions tierces, devient nécessaire.

Cartographier vos systèmes d'IA en 48 heures

Le pack regulia inclut le registre AI Act conforme Art. 71, la grille d'auto-évaluation Article 3(1), les modèles de FRIA (Art. 27) et la documentation de gouvernance ISO/IEC 42001 alignée. Livraison en 48 heures pour les PME françaises.

Recevoir le pack regulia

Sources officielles

Règlement (UE) 2024/1689 — texte officiel EUR-Lex
AI Act consolidé — artificialintelligenceact.eu
CNIL — fiches pratiques IA
Service desk AI Act — Commission européenne
ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
ISO/IEC 27001:2022 — Sécurité de l'information

Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.