Glossaire AI Act

Règlement européen établissant un cadre juridique harmonisé pour les systèmes d'intelligence artificielle mis sur le marché ou utilisés dans l'Union européenne. Adopté le 13 juin 2024 par le Parlement européen et le Conseil.

Premier texte mondial à instaurer une approche par les risques (interdits / haut risque / risque limité / minimal). Application progressive de février 2025 à août 2027 — les obligations « haut risque » Annexe III ont été reportées au 2 décembre 2027 par le Digital Omnibus.

Système de management de l'intelligence artificielle. Ensemble structuré de politiques, procédures et contrôles permettant à une organisation de gouverner ses usages IA de manière responsable et conforme.

Le Pack Complet regulia inclut un registre AIMS (XLSX) inventoriant chacun de vos systèmes IA, leur niveau de risque, leur statut FRIA et leur cycle de vie.

Analyse d'impact globale d'un système IA, distincte de la FRIA. Couvre les dimensions techniques, organisationnelles, éthiques et de sécurité d'un système, indépendamment de son niveau de risque AI Act.

Plus large que la FRIA, l'AISIA s'applique à tous les systèmes IA d'une organisation. La FRIA cible spécifiquement les systèmes haut risque déployés par des entités publiques ou privées soumises à l'article 27.

Liste limitative des huit domaines d'usage classifiés à haut risque par l'AI Act : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application des lois, migration, justice/démocratie.

Si votre PME utilise un système IA dans l'un de ces domaines (ex. scoring crédit, tri de CV, surveillance biométrique), elle a de fortes chances d'être qualifiée déployeur de système haut risque.

Commission nationale de l'informatique et des libertés. Autorité française de protection des données, désignée également comme autorité compétente pour le contrôle de l'AI Act sur les volets traitement de données.

La CNIL a publié 13 fiches pratiques IA depuis 2024 articulant RGPD et AI Act, qui constituent une source de droit souple essentielle pour les PME françaises.

Principe imposant l'intégration des exigences de conformité dès les phases de conception, développement et entraînement d'un système IA, par opposition à un audit a posteriori.

Personne physique ou morale qui utilise un système IA sous son autorité, dans le cadre d'une activité professionnelle. La qualification de déployeur déclenche les obligations des articles 26 et 27 (FRIA pour le haut risque).

La très grande majorité des PME françaises sont déployeurs, et non fournisseurs. C'est cette qualification qui détermine vos obligations principales.

Paquet législatif européen adopté en mai 2026 simplifiant et reportant certaines échéances numériques, dont la date d'entrée en application des obligations haut risque de l'Annexe III de l'AI Act, repoussée du 2 août 2026 au 2 décembre 2027.

Dossier technique exigé pour tout système IA haut risque mis sur le marché. Doit décrire l'architecture, les données d'entraînement, les performances, les limitations connues et le système de gestion des risques.

Obligation principale du fournisseur (article 11). Si vous êtes déployeur, vous devez exiger cette documentation auprès du fournisseur du système.

Délégué à la protection des données, fonction obligatoire pour les organismes publics et certaines entreprises traitant des données à grande échelle. Souvent désigné comme point focal pour la conformité IA en PME.

Processus continu d'identification, d'analyse, d'évaluation et de traitement des risques posés par un système IA pour la santé, la sécurité, les droits fondamentaux. Doit être documenté et revu régulièrement.

Évaluation d'impact sur les droits fondamentaux. Obligation pour certains déployeurs de systèmes haut risque (organismes publics, entités privées fournissant des services publics, banques, assureurs) avant le premier déploiement.

Le pack Premium regulia inclut un modèle FRIA structuré couvrant : description du processus, catégories de personnes concernées, risques identifiés, mesures de mitigation, mécanismes de gouvernance.

Personne physique ou morale qui développe un système IA, ou en confie le développement, et le met sur le marché ou en service sous son propre nom ou sa propre marque. Soumis aux obligations principales de l'AI Act.

Modèles d'IA à usage général, capables d'effectuer un large éventail de tâches distinctes. GPT-4, Claude, Gemini, Mistral Large entrent dans cette catégorie. Soumis à des obligations spécifiques de transparence et de gestion du risque systémique.

Ensemble des pratiques garantissant la qualité, la pertinence, la représentativité et l'absence de biais des données utilisées pour entraîner, valider et tester un système IA haut risque.

Catégorie centrale de l'AI Act regroupant les systèmes IA présentant un risque significatif pour la santé, la sécurité ou les droits fondamentaux. Soumis aux obligations renforcées des articles 9 à 17 (gestion des risques, données, documentation, transparence, surveillance humaine).

Un système est haut risque s'il : (i) est utilisé dans un domaine listé à l'Annexe III, OU (ii) est intégré comme composant de sécurité dans un produit régulé (Annexe I).

Tout incident ou dysfonctionnement d'un système IA haut risque ayant entraîné — directement ou indirectement — un décès, une atteinte grave à la santé, à un bien, à l'environnement, ou une violation grave des droits fondamentaux. Notification obligatoire dans des délais courts.

Norme internationale de management de l'IA, publiée en décembre 2023. Définit les exigences pour établir, mettre en œuvre, maintenir et améliorer un AIMS. Auditable et certifiable par des organismes accrédités.

Composante mathématique entraînée d'un système IA. À distinguer du système IA, qui inclut le modèle plus son interface, ses garde-fous, sa logique métier et son contexte de déploiement.

Obligation pour le fournisseur (et dans certains cas le déployeur) de notifier à l'autorité de surveillance compétente tout incident grave dans les 15 jours, voire 2 jours pour les cas les plus graves.

Usages d'IA prohibés depuis le 2 février 2025 : scoring social par les autorités publiques, manipulation cognitive subliminale, exploitation des vulnérabilités, identification biométrique en temps réel dans l'espace public (sauf exceptions strictes).

Matrice d'attribution des responsabilités : Responsible, Accountable, Consulted, Informed. Outil clé pour formaliser la gouvernance IA d'une organisation. Inclus dans le Pack Complet regulia.

Inventaire centralisé et tenu à jour de tous les systèmes IA déployés par l'organisation, avec leur niveau de risque, leur statut de conformité, leur cycle de vie et leurs propriétaires fonctionnels.

Règlement général sur la protection des données. Cadre européen de protection des données personnelles, applicable depuis le 25 mai 2018. S'articule avec l'AI Act sur tous les traitements automatisés impliquant des données personnelles.

Bac à sable réglementaire : dispositif permettant de tester un système IA dans un environnement contrôlé sous supervision d'une autorité, en bénéficiant de souplesses temporaires pour favoriser l'innovation.

Amendes administratives pouvant atteindre 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites, 15 M€ ou 3 % pour le non-respect des obligations haut risque, 7,5 M€ ou 1 % pour les autres manquements.

Document central d'un AIMS conforme ISO 42001. Liste les contrôles de l'Annexe A de la norme, indique lesquels sont applicables à l'organisation, et justifie les exclusions éventuelles.

Capacité d'intervention humaine effective sur le fonctionnement d'un système IA haut risque. Doit permettre de comprendre, de surveiller, et le cas échéant d'arrêter ou de corriger les sorties du système.

Obligation pour les fournisseurs et déployeurs d'informer les utilisateurs (i) du fonctionnement d'un système IA haut risque (Art. 13), et (ii) du fait qu'ils interagissent avec un chatbot ou consultent un contenu généré ou modifié par IA — deepfake (Art. 50).

Processus formel de vérification qu'un système IA haut risque répond aux exigences réglementaires avant sa mise sur le marché. Documentée et conservée pendant toute la durée de vie du système, plus 10 ans.