Glossaire AI Act

Règlement européen établissant un cadre juridique harmonisé pour les systèmes d'intelligence artificielle mis sur le marché ou utilisés dans l'Union européenne. Adopté le 13 juin 2024 par le Parlement européen et le Conseil.

Premier texte mondial à instaurer une approche par les risques (interdits / haut risque / risque limité / minimal). Application progressive de février 2025 à août 2027 — les obligations « haut risque » Annexe III ont été reportées au 2 décembre 2027 par le Digital Omnibus.

Système de management de l'intelligence artificielle. Ensemble structuré de politiques, procédures et contrôles permettant à une organisation de gouverner ses usages IA de manière responsable et conforme.

Le Pack Complet regulia inclut un registre AIMS (XLSX) inventoriant chacun de vos systèmes IA, leur niveau de risque, leur statut FRIA et leur cycle de vie.

Analyse d'impact globale d'un système IA, distincte de la FRIA. Couvre les dimensions techniques, organisationnelles, éthiques et de sécurité d'un système, indépendamment de son niveau de risque AI Act.

Plus large que la FRIA, l'AISIA s'applique à tous les systèmes IA d'une organisation. La FRIA cible spécifiquement les systèmes haut risque déployés par des entités publiques ou privées soumises à l'article 27.

Liste limitative des huit domaines d'usage classifiés à haut risque par l'AI Act : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application des lois, migration, justice/démocratie.

Si votre PME utilise un système IA dans l'un de ces domaines (ex. scoring crédit, tri de CV, surveillance biométrique), elle a de fortes chances d'être qualifiée déployeur de système haut risque.

Commission nationale de l'informatique et des libertés. Autorité française de protection des données, désignée également comme autorité compétente pour le contrôle de l'AI Act sur les volets traitement de données.

La CNIL a publié 13 fiches pratiques IA depuis 2024 articulant RGPD et AI Act, qui constituent une source de droit souple essentielle pour les PME françaises.

Principe imposant l'intégration des exigences de conformité dès les phases de conception, développement et entraînement d'un système IA, par opposition à un audit a posteriori.

Personne physique ou morale qui utilise un système IA sous son autorité, dans le cadre d'une activité professionnelle. La qualification de déployeur déclenche les obligations des articles 26 et 27 (FRIA pour le haut risque).

La très grande majorité des PME françaises sont déployeurs, et non fournisseurs. C'est cette qualification qui détermine vos obligations principales.

Accord politique provisoire conclu le 7 mai 2026 en trilogue Conseil ↔ Parlement européen ↔ Commission, introduisant huit changements substantifs à l'AI Act : report Annexe III au 2 décembre 2027 (+16 mois), report Annexe I au 2 août 2028 (+12 mois), report étiquetage technique Art. 50 au 2 décembre 2026 (+4 mois), nouvelles interdictions Article 5 (CSAM, nudifiers, imagerie intime non-consensuelle) effectives au 2 décembre 2026, extension protections PME aux Small Mid-Cap, autorisation données spéciales RGPD pour détection biais, régime sectoriel exclusif Annexe I, restriction concept « safety component ».

L'adoption formelle par le Conseil et le Parlement est attendue avant le 2 août 2026. Tant que l'adoption n'est pas finalisée, les dispositions originales de l'AI Act restent juridiquement applicables.

Directive du 23 octobre 2024 remplaçant la directive 85/374/CEE. Étend la notion de « produit défectueux » aux logiciels et systèmes d'IA. Régime de responsabilité sans faute du producteur en cas de dommage. Transposition nationale obligatoire avant le 9 décembre 2026.

Constitue la jumelle civile de l'AI Act : là où l'AI Act fixe des obligations de conformité avec sanctions administratives, la Directive 2024/2853 ouvre la voie aux actions civiles individuelles des personnes lésées par un système IA défectueux. Source : EUR-Lex.

Dossier technique exigé pour tout système IA haut risque mis sur le marché. Doit décrire l'architecture, les données d'entraînement, les performances, les limitations connues et le système de gestion des risques.

Obligation principale du fournisseur (article 11). Si vous êtes déployeur, vous devez exiger cette documentation auprès du fournisseur du système.

Délégué à la protection des données, fonction obligatoire pour les organismes publics et certaines entreprises traitant des données à grande échelle. Souvent désigné comme point focal pour la conformité IA en PME.

Processus continu d'identification, d'analyse, d'évaluation et de traitement des risques posés par un système IA pour la santé, la sécurité, les droits fondamentaux. Doit être documenté et revu régulièrement.

Évaluation d'impact sur les droits fondamentaux. Obligation pour certains déployeurs de systèmes haut risque (organismes publics, entités privées fournissant des services publics, banques, assureurs) avant le premier déploiement.

Le pack Premium regulia inclut un modèle FRIA structuré couvrant : description du processus, catégories de personnes concernées, risques identifiés, mesures de mitigation, mécanismes de gouvernance.

Personne physique ou morale qui développe un système IA, ou en confie le développement, et le met sur le marché ou en service sous son propre nom ou sa propre marque. Soumis aux obligations principales de l'AI Act.

Modèles d'IA à usage général, capables d'effectuer un large éventail de tâches distinctes. GPT-4, Claude, Gemini, Mistral Large entrent dans cette catégorie. Soumis à des obligations spécifiques de transparence et de gestion du risque systémique.

Ensemble des pratiques garantissant la qualité, la pertinence, la représentativité et l'absence de biais des données utilisées pour entraîner, valider et tester un système IA haut risque.

Catégorie centrale de l'AI Act regroupant les systèmes IA présentant un risque significatif pour la santé, la sécurité ou les droits fondamentaux. Soumis aux obligations renforcées des articles 9 à 17 (gestion des risques, données, documentation, transparence, surveillance humaine).

Un système est haut risque s'il : (i) est utilisé dans un domaine listé à l'Annexe III, OU (ii) est intégré comme composant de sécurité dans un produit régulé (Annexe I).

Tout incident ou dysfonctionnement d'un système IA haut risque ayant entraîné — directement ou indirectement — un décès, une atteinte grave à la santé, à un bien, à l'environnement, ou une violation grave des droits fondamentaux. Notification obligatoire dans des délais courts.

Quatre nouvelles catégories de pratiques interdites Article 5 introduites par le Digital Omnibus AI du 7 mai 2026, effectives au 2 décembre 2026 : (1) nudifiers, (2) systèmes générant du matériel CSAM (child sexual abuse material), (3) systèmes représentant des personnes identifiables dans des activités sexuelles explicites sans consentement, (4) systèmes représentant les parties intimes de personnes identifiables sans consentement.

Couverture : images, vidéo, audio. Architecture tripartite d'interdiction : mise sur le marché en finalité, mise sans garde-fous adéquats, usage déployeur. Sanctions Art. 99 niveau pratiques interdites : 35 M€ ou 7 % CA mondial (min pour PME et Small Mid-Cap).

Norme internationale de management de l'IA, publiée en décembre 2023. Définit les exigences pour établir, mettre en œuvre, maintenir et améliorer un AIMS. Auditable et certifiable par des organismes accrédités.

Composante mathématique entraînée d'un système IA. À distinguer du système IA, qui inclut le modèle plus son interface, ses garde-fous, sa logique métier et son contexte de déploiement.

Obligation pour le fournisseur (et dans certains cas le déployeur) de notifier à l'autorité de surveillance compétente tout incident grave dans les 15 jours, voire 2 jours pour les cas les plus graves.

Usages d'IA prohibés depuis le 2 février 2025 : scoring social par les autorités publiques, manipulation cognitive subliminale, exploitation des vulnérabilités, identification biométrique en temps réel dans l'espace public (sauf exceptions strictes).

Matrice d'attribution des responsabilités : Responsible, Accountable, Consulted, Informed. Outil clé pour formaliser la gouvernance IA d'une organisation. Inclus dans le Pack Complet regulia.

Inventaire centralisé et tenu à jour de tous les systèmes IA déployés par l'organisation, avec leur niveau de risque, leur statut de conformité, leur cycle de vie et leurs propriétaires fonctionnels.

Règlement général sur la protection des données. Cadre européen de protection des données personnelles, applicable depuis le 25 mai 2018. S'articule avec l'AI Act sur tous les traitements automatisés impliquant des données personnelles.

Bac à sable réglementaire : dispositif permettant de tester un système IA dans un environnement contrôlé sous supervision d'une autorité, en bénéficiant de souplesses temporaires pour favoriser l'innovation.

Amendes administratives pouvant atteindre 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites, 15 M€ ou 3 % pour le non-respect des obligations haut risque, 7,5 M€ ou 1 % pour les autres manquements.

Entreprise qui ne remplit plus les critères PME (250 salariés / 50 M€ CA / 43 M€ bilan) mais reste sous des seuils élevés (typiquement 1500 salariés et 1,5 Md€ CA). Catégorie reconnue par la Commission européenne.

Le Digital Omnibus AI du 7 mai 2026 étend aux SMC les exemptions et modulations originalement réservées aux PME : plafonds proportionnels Article 99(6), allègements documentaires Article 62, simplification du registre EU. Cette extension élargit significativement la population d'entreprises bénéficiant de protections.

Document central d'un AIMS conforme ISO 42001. Liste les contrôles de l'Annexe A de la norme, indique lesquels sont applicables à l'organisation, et justifie les exclusions éventuelles.

Capacité d'intervention humaine effective sur le fonctionnement d'un système IA haut risque. Doit permettre de comprendre, de surveiller, et le cas échéant d'arrêter ou de corriger les sorties du système.

Obligation pour les fournisseurs et déployeurs d'informer les utilisateurs (i) du fonctionnement d'un système IA haut risque (Art. 13), et (ii) du fait qu'ils interagissent avec un chatbot ou consultent un contenu généré ou modifié par IA — deepfake (Art. 50).

Processus formel de vérification qu'un système IA haut risque répond aux exigences réglementaires avant sa mise sur le marché. Documentée et conservée pendant toute la durée de vie du système, plus 10 ans.