Glossaire du Règlement IA
Les termes clés du Règlement européen sur l'Intelligence Artificielle expliqués en langage accessible — pour les professionnels, pas les juristes.
AI Literacy (Compétences IA)
L'obligation pour toute organisation de s'assurer que ses collaborateurs comprennent les systèmes d'IA qu'ils utilisent.
L'Art. 4 exige de chaque organisation utilisant des systèmes d'IA que les personnes opérant ces systèmes disposent d'un niveau suffisant de compétences en IA. Pas besoin de certification — une formation interne documentée avec preuves de participation suffit. En vigueur depuis le 2 février 2025 — l'une des premières dispositions du Règlement IA à s'appliquer.
Annexe III
La liste des cas d'usage d'IA à haut risque définis par le Règlement IA.
L'Annexe III énumère huit domaines dans lesquels les systèmes d'IA sont automatiquement classés à haut risque : (1) biométrie, (2) infrastructures critiques, (3) éducation et formation professionnelle, (4) emploi et gestion du personnel, (5) accès aux services essentiels (crédit, assurance), (6) forces de l'ordre, (7) migration et contrôle aux frontières, (8) administration de la justice. Si votre outil d'IA relève d'une de ces catégories et remplit les conditions de l'Art. 6(2), cela déclenche l'ensemble des obligations de conformité.
Autorité de surveillance du marché (Market Surveillance Authority)
Autorité nationale désignée pour superviser et faire respecter le Règlement IA dans un État membre.
Chaque État membre doit désigner une ou plusieurs autorités de surveillance du marché. En France, un modèle décentralisé a été adopté : la CNIL (biométrie, éducation, justice — 15 cas d'usage), la DGCCRF (coordination opérationnelle, pratiques interdites — 14 cas d'usage, point de contact unique), l'ARCOM (contenus audiovisuels — 7 cas d'usage), l'ACPR (finance, assurance), complétés par l'ANSSI et le PEReN pour l'expertise technique mutualisée. La DGE assure la coordination stratégique.
Classification des risques (Risk Classification)
Le système à quatre niveaux du Règlement IA pour catégoriser les applications d'IA selon leur potentiel de préjudice.
Le Règlement IA classe l'IA en quatre niveaux : Inacceptable (Art. 5) — interdit ; Élevé (Art. 6, Annexe I/III) — exigences strictes ; Limité (Art. 50) — obligations de transparence ; Minimal — aucune obligation spécifique. La classification détermine les obligations applicables. La plupart des outils d'IA des entreprises relèvent du risque limité ou minimal — mais même un seul cas d'usage à haut risque déclenche l'ensemble des obligations pour ce système spécifique.
Déployeur (Deployer)
Toute entité qui utilise un système d'IA dans un cadre professionnel, sous sa propre autorité.
Si votre entreprise utilise des outils d'IA — pour le recrutement, le service client, l'analytique, le marketing ou toute autre activité professionnelle — vous êtes un déployeur au sens du Règlement IA. C'est le rôle le plus courant. Vous n'avez pas construit l'IA — vous l'utilisez. Les obligations du déployeur comprennent : formation AI Literacy, supervision humaine pour les systèmes high-risk, surveillance continue, rétention des logs (min. 6 mois), FRIA le cas échéant, notification des travailleurs, et coopération avec les autorités. Important : un déployeur peut devenir fournisseur s'il modifie substantiellement le système, le commercialise sous sa propre marque, ou en modifie la finalité vers un usage à haut risque.
DPA (Data Processing Agreement / Contrat de sous-traitance)
Un contrat juridiquement requis entre un responsable de traitement et un sous-traitant en vertu du RGPD.
En vertu du RGPD Art. 28, toute organisation utilisant un outil tiers pour traiter des données personnelles doit avoir un DPA en place avec ce fournisseur. Dans le contexte du Règlement IA, les DPA deviennent encore plus importants : ils révèlent comment le fournisseur d'IA traite les données, quels sous-traitants il utilise, où les données sont transférées et quelles garanties existent. En France, la CNIL vérifie la conformité des DPA dans le cadre de ses contrôles RGPD.
DPIA (Analyse d'impact relative à la protection des données)
Une évaluation requise par le RGPD pour les traitements susceptibles d'engendrer un risque élevé pour les personnes.
La DPIA est requise en vertu du RGPD Art. 35 lorsque le traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes — ce qui inclut la plupart des cas d'usage d'IA à haut risque. La DPIA et la FRIA sont complémentaires : la DPIA porte sur les risques liés à la protection des données, tandis que la FRIA évalue l'impact plus large sur les droits fondamentaux. Les données de l'une peuvent alimenter l'autre.
Évaluation de conformité (Conformity Assessment)
Le processus de vérification qu'un système d'IA à haut risque répond à toutes les exigences réglementaires.
Les fournisseurs de systèmes d'IA à haut risque doivent réaliser une évaluation de conformité avant de mettre leur système sur le marché de l'UE. Elle peut être réalisée en interne ou, pour certains systèmes biométriques, par un organisme notifié tiers. Pour les déployeurs, c'est une obligation du fournisseur — mais le déployeur devrait vérifier que son fournisseur l'a effectuée.
FRIA (Évaluation d'impact sur les droits fondamentaux)
Une évaluation requise des déployeurs de systèmes d'IA à haut risque concernant l'impact sur les droits fondamentaux.
La FRIA est l'une des obligations les plus significatives du déployeur. Requise par l'Art. 27 avant le déploiement de tout système d'IA à haut risque de l'Annexe III. L'évaluation examine l'impact potentiel du système sur les droits fondamentaux — non-discrimination, vie privée, liberté d'expression, accès à la justice. Qui doit réaliser une FRIA : (1) les organismes publics, (2) les entités privées dans le scoring crédit et l'assurance (sous supervision de l'ACPR en France), (3) tout autre déployeur de systèmes high-risk de l'Annexe III lorsque les autorités l'exigent.
Fournisseur (Provider)
Entité qui développe un système d'IA et le met sur le marché sous son propre nom.
Le fournisseur construit l'IA. Si votre entreprise crée un outil alimenté par l'IA et le propose à d'autres entreprises, vous êtes fournisseur. Les fournisseurs supportent le plus lourd fardeau de conformité : système de gestion des risques, gouvernance des données, documentation technique, évaluation de conformité, marquage CE le cas échéant, surveillance post-commercialisation. Important : un déployeur peut devenir fournisseur s'il appose sa marque sur un système high-risk, le modifie substantiellement, ou en modifie la finalité vers un usage à haut risque.
GPAI (Modèle d'IA à usage général)
Un modèle d'IA entraîné sur des données larges, capable d'exécuter une variété de tâches — comme GPT-4, Claude ou Gemini.
Les modèles GPAI font l'objet d'une réglementation distincte. Les fournisseurs de modèles GPAI ont des obligations de transparence (Art. 53) : documentation des processus d'entraînement, respect du droit d'auteur, mise à disposition de la documentation technique. Les modèles à risque systémique (ex. GPT-4, Claude) sont soumis à des obligations supplémentaires. Pour les déployeurs : vous n'avez pas d'obligations directes pour les modèles GPAI eux-mêmes, mais vous AVEZ des obligations pour les systèmes d'IA construits sur ces modèles.
Incident grave (Serious Incident)
Un dysfonctionnement ou mauvais usage d'un système d'IA entraînant la mort, un préjudice grave ou une violation des droits fondamentaux.
Les déployeurs doivent signaler les incidents graves au fournisseur du système d'IA et à l'autorité de surveillance du marché compétente (Art. 73). Le signalement doit être fait sans délai dès la connaissance de l'incident. La définition de « grave » découle de la nature du préjudice — le seuil est plus bas que ce que beaucoup d'organisations supposent.
Notice de transparence (Transparency Notice)
Une notification aux personnes qu'elles interagissent avec un système d'IA ou sont soumises à ses décisions.
L'Art. 50 exige la transparence pour certaines interactions avec l'IA : (1) les chatbots doivent révéler qu'ils sont alimentés par l'IA, (2) les deepfakes et contenus synthétiques doivent être étiquetés, (3) les systèmes de reconnaissance d'émotions doivent informer les personnes concernées, (4) les déployeurs de systèmes high-risk prenant des décisions concernant des personnes doivent en informer celles-ci. En France, l'ARCOM est compétente pour la transparence des contenus générés, et la CNIL pour les systèmes biométriques.
Notification des travailleurs (Worker Notification)
L'obligation d'informer les travailleurs avant de déployer un système d'IA à haut risque sur le lieu de travail.
L'Art. 26(7) exige des déployeurs qu'ils notifient les travailleurs et leurs représentants AVANT la mise en service d'un système d'IA à haut risque sur le lieu de travail. Cela concerne les systèmes utilisés pour le recrutement, le suivi de la performance, l'allocation de tâches ou toute prise de décision liée à l'emploi. La notification doit intervenir avant le déploiement, pas après. En France, cette obligation s'articule avec les dispositions du Code du travail sur l'information et la consultation des représentants du personnel.
Pratiques interdites (Prohibited Practices)
Huit catégories d'applications d'IA totalement interdites par le Règlement IA.
L'Art. 5 interdit huit catégories de pratiques : (1) manipulation subliminale, (2) exploitation de vulnérabilités, (3) notation sociale par les autorités publiques, (4) police prédictive individuelle, (5) moissonnage non ciblé de visages, (6) reconnaissance d'émotions au travail et en éducation, (7) catégorisation biométrique par caractéristiques sensibles, (8) identification biométrique à distance en temps réel. En vigueur depuis le 2 février 2025. Sanctions Tier 1 : jusqu'à 35 M€ ou 7 % du CA mondial. En France, la CNIL a déjà sanctionné certaines de ces pratiques sous le RGPD (affaire Clearview AI).
RGPD (Règlement Général sur la Protection des Données)
Le règlement européen régissant le traitement des données personnelles, en vigueur depuis mai 2018.
Le RGPD et le Règlement IA sont complémentaires — le Règlement IA ne remplace pas le RGPD. La majorité des systèmes d'IA traitent des données personnelles, ce qui signifie que les deux règlements s'appliquent simultanément. La CNIL, autorité de référence en France pour le RGPD, considère le Règlement IA comme un complément naturel et souligne la forte adhérence entre les deux cadres réglementaires.
Rétention des logs (Log Retention)
L'obligation de conserver les journaux d'opérations des systèmes d'IA à haut risque pendant au moins 6 mois.
Les déployeurs doivent enregistrer automatiquement les opérations des systèmes d'IA à haut risque et conserver ces journaux pendant un minimum de 6 mois (Art. 26(6)), sauf disposition contraire du droit de l'UE ou national. Ces logs sont essentiels pour la surveillance post-commercialisation, l'investigation d'incidents et la démonstration de la conformité aux autorités.
ROPA (Registre des activités de traitement)
Un registre obligatoire de toutes les activités de traitement de données en vertu du RGPD.
En vertu du RGPD Art. 30, les organisations doivent tenir un registre de leurs activités de traitement. Pour les systèmes d'IA, cela inclut la documentation de quelles données personnelles le système traite, dans quel but, sur quelle base juridique, les durées de conservation et les éventuels transferts internationaux. Le ROPA alimente à la fois la DPIA et la FRIA et constitue un document fondamental pour démontrer la conformité.
Système d'IA (AI System)
Un système basé sur une technologie machine, capable de générer des résultats tels que des prédictions, du contenu ou des décisions.
Le Règlement IA définit un système d'IA comme un système machine conçu pour fonctionner avec des niveaux d'autonomie variables, pouvant faire preuve d'adaptabilité après déploiement, et qui infère à partir des données reçues comment générer des résultats — prédictions, contenus, recommandations ou décisions influençant l'environnement physique ou virtuel. La définition est intentionnellement large. Tout logiciel n'est pas un système d'IA — l'automatisation simple basée sur des règles (si/alors) ne se qualifie généralement pas.
Système d'IA à haut risque (High-Risk AI System)
Un système d'IA présentant un risque significatif pour la santé, la sécurité ou les droits fondamentaux, soumis à des exigences strictes.
Les systèmes à haut risque sont définis de deux manières : (1) les systèmes d'IA intégrés dans des produits couverts par la législation d'harmonisation européenne (Annexe I), (2) les systèmes d'IA utilisés dans des domaines sensibles (Annexe III). Le classement haut risque déclenche l'ensemble des obligations : gestion des risques, gouvernance des données, documentation technique, transparence, supervision humaine, exigences de précision et de robustesse, surveillance post-commercialisation. Exemples courants : tri de CV par IA, scoring crédit, évaluation des risques en assurance, suivi de la performance des employés.
Supervision humaine (Human Oversight)
L'exigence que des personnes compétentes puissent superviser et, si nécessaire, intervenir sur les systèmes d'IA à haut risque.
L'Art. 26(2) exige des déployeurs qu'ils désignent des personnes disposant des compétences, de la formation et de l'autorité nécessaires pour superviser les systèmes d'IA. Ce n'est pas un exercice de pure forme — la personne doit réellement comprendre les résultats du système, reconnaître les erreurs et disposer d'une autorité documentée pour intervenir, modifier ou arrêter le système.
Sous-traitant (Sub-processor)
Un tiers engagé par un sous-traitant de données pour effectuer des activités de traitement pour le compte du responsable de traitement.
Dans le contexte de l'IA, les sous-traitants sont les fournisseurs en aval sur lesquels s'appuie le fournisseur de votre outil d'IA. Par exemple : si votre fournisseur de CRM utilise l'API d'OpenAI pour ses fonctionnalités IA, OpenAI est un sous-traitant. L'analyse du DPA devrait identifier et cartographier tous les sous-traitants dans la chaîne d'approvisionnement IA, car chacun représente un risque potentiel de transfert de données et de conformité.
Vendor Risk Score (Score de risque fournisseur)
Une méthodologie de notation utilisée par AI and Shine pour évaluer la posture de conformité des fournisseurs d'outils IA.
Le Vendor Risk Score (0-100) évalue dans quelle mesure le DPA d'un fournisseur couvre les exigences du RGPD et sa préparation au Règlement IA. Il prend en compte : la complétude des clauses RGPD (exigences Art. 28), les clauses spécifiques au Règlement IA, la transparence sur les sous-traitants, les garanties de transfert de données et les droits d'audit. Un score plus élevé indique une relation fournisseur plus conforme.