Agent IA
Un agent IA est un système d'intelligence artificielle capable d'exécuter de manière autonome des tâches complexes en plusieurs étapes, en utilisant des outils (navigation web, code, recherche) pour atteindre un objectif. Contrairement à un modèle de chat classique, un agent IA planifie,序有一定的自主性 dans l'exécution. Dans le cadre de l'AI Act, les agents IA autonomes sont soumis aux mêmes règles que tout système IA — leur niveau de risque dépend de l'usage prévu.
Impact PME
Si vous utilisez un agent IA (ex : assistant de recherche, outil d'automatisation), il doit être conforme au régime de risque correspondant à son usage. Les agents autonomes dans des domaines à haut risque (RH, finance) sont traités comme des systèmes IA haut risque.
AI Literacy (Culture de l’IA)
L'AI literacy désigne le niveau de connaissances et de compétences qu'une personne doit posséder pour utiliser efficacement et de manière informée les systèmes d'intelligence artificielle. L'AI Act impose aux entreprises de garantir que leur personnel dispose de cette culture de l'IA proportionnée à ses responsabilités. C'est une obligation transversale, pas une certification individuelle.
Impact PME
Vous devez former vos équipes à l'utilisation des outils IA qu'elles manipulent au quotidien. Une formation AI Act documentée (attestation, programme) constitue votre preuve de conformité à l'Article 4 en cas de contrôle.
Annexe I (AI Act)
L'Annexe I de l'AI Act liste les normes européennes harmonisées dont la conformité présume qu'un système IA respecte les exigences essentielles du règlement. Elle fait référence aux normes harmonisées publiées au Journal officiel de l'UE. Pour les fournisseurs, se conformer à ces normes simplifies considérablement la démonstration de conformité.
Impact PME
Peu pertinente pour les PME utilisatrices en direct. Elle devient importante si vous développez ou commercialisez un système IA — la conformité aux normes de l'Annexe I réduit vos obligations de documentation technique.
Annexe III (AI Act)
L'Annexe III liste les systèmes IA automatiquement classés comme à haut risque. Elle couvre 8 domaines : dispositifs médicaux, éducation et formation, emploi et gestion des ressources humaines, accès aux services essentiels (banque, assurance), application de la loi, migration et gestion des frontières, administration de la justice, sécurité des produits et des installations. Chaque système de cette liste doit respecter les obligations renforcées.
Impact PME
C'est l'Annexe la plus critique pour les PME. Tout outil IA utilisé pour le recrutement, l'évaluation de solvabilité, la tarification d'assurance ou l'accès aux services financiers entre dans cette liste. Vous avez les mêmes obligations de conformité qu'une grande entreprise.
Bac à sable réglementaire (AI Act)
Le bac à sable réglementaire est un cadre contrôlé permettant aux fournisseurs de systèmes IA de tester des innovations dans un environnement réel, sous supervision des autorités compétentes, avec des dérogations ciblées aux règles habituelles. Il vise à accompagner le développement de l'IA tout en garantissant un suivi. L'objectif est de réduire le coût de mise sur le marché pour les PME innovantes.
Impact PME
Si vous développez un système IA innovant et que les obligations de conformité vous semblent disproportionnées, vous pouvez demander à entrer dans le bac à sable de votre autorité nationale (en France : direction de la DGT ou CNIL selon le secteur). Cela vous permet de tester votre système avec un accompagnement réglementaire dédié.
Bureau européen de l’IA (EU AI Office)
Le Bureau européen de l'IA est l'organe de la Commission européenne chargé de coordonner la mise en œuvre de l'AI Act au niveau de l'UE. Il supervise les systèmes IA à haut risque, les modèles GPAI, et les pratiques interdites. Il peut imposer des amendes directement aux fournisseurs de modèles IA à usage général. C'est l'équivalent européen d'une autorité de régulation sectorielle.
Impact PME
Pour les PME françaises, le Bureau européen de l'IA n'est pas votre interlocuteur direct — vous êtes supervisés par l'autorité nationale (CNIL, Arcom). En revanche, si vous êtes fournisseur de modèle IA ou de système GPAI, vous êtes directement sous la responsabilité du Bureau.
Conformité par le marquage CE
Le marquage CE sur un système IA atteste que le fournisseur a évalué la conformité de son produit aux exigences de l'AI Act et l'a jugé conforme. Il s'accompagne d'une déclaration de conformité et, pour les systèmes à haut risque, d'un audit par un organisme notifié. Le marquage CE est obligatoire avant la mise sur le marché de tout système IA dans l'UE.
Impact PME
En tant qu'utilisateur, vérifiez que les outils IA que vous achetez portent le marquage CE. C'est la première garantie que le fournisseur a pris en compte les obligations de l'AI Act. Pour les systèmes à haut risque, demandez également une copie de la déclaration de conformité et du rapport d'évaluation de conformité.
Contrôle humain (Human oversight)
L'obligation de contrôle humain impose que les systèmes IA à haut risque soient conçus pour permettre une supervision effective par des personnes physiques. Cela signifie que l'humain doit pouvoir comprendre le fonctionnement du système, surveiller son fonctionnement, et intervenir (arrêter, modifier, annuler) à tout moment. Le contrôle humain ne doit pas être théorique mais effectif et intégré au système.
Impact PME
Tout système IA à haut risque que vous utilisez doit intégrer une возможность de contrôle humain réel. Un système de scoring qui recommande des décisions sans possibilité de revue humaine n'est pas conforme. Exigez de vos fournisseurs une description claire des modalités de contrôle humain.
Données d’entraînement (Training data)
Les données d'entraînement sont les informations utilisées par un fournisseur pour initialiser et former un modèle d'intelligence artificielle. La qualité, la représentativité et la provenance de ces données déterminent largement les performances et les biais du système IA final. L'AI Act impose aux fournisseurs de systèmes à haut risque de documenter les jeux de données utilisés, leurs biais potentiels, et les mesures de mitigation appliquées.
Impact PME
Si vous utilisez un système IA à haut risque, demandez au fournisseur la documentation sur les données d'entraînement. Cela vous permet d'identifier des risques de discrimination ou de biais dans les décisions automatisées. Pour vos propres usages, la même logique s'applique : documentez les sources de vos données.
Déployeur (Deployer)
Un déployeur est une personne physique ou morale qui utilise un système IA sous sa propre responsabilité, dans le cadre de ses activités professionnelles ou de service public. Le déployeur n'est pas le fournisseur (qui développe ou commercialise le système) mais celui qui le met en œuvre dans un contexte précis. L'AI Act impose aux déployeurs des obligations propres, notamment la supervision humaine et la documentation.
Impact PME
En tant que PME qui utilise des outils IA (logiciel de comptabilité, CRM avec scoring, outil RH), vous êtes un déployeur. Vous avez l'obligation de : utiliser le système conformément à sa documentation, maintenir une supervision humaine,documenter vos usages à haut risque, et cooperate avec les autorités en cas de demande.
Explicabilité (Explainability)
L'explicabilité d'un système IA désigne sa capacité à produire des explanations compréhensibles sur les décisions qu'il prend. L'AI Act impose que les systèmes à haut risque soient conçus pour que leurs outputs soient interpretables par les utilisateurs concernés. L'explicabilité est distincte de la transparence : elle concerne la capacité à expliquer des décisions spécifiques, pas seulement à divulguer le fonctionnement général.
Impact PME
Si votre système IA prend des décisions qui impactent vos clients ou collaborateurs (scoring, recommandations automatiques), vous devez pouvoir expliquer ces décisions sur demande (RGPD + AI Act). Documentez les explanations données par le système et conservez-les. Un système qui ne permet aucune explanation n'est pas conforme pour les usages à haut risque.
Fournisseur (Provider)
Un fournisseur est une personne physique ou morale qui développe un système IA (ou un modèle GPAI) et le met sur le marché ou en service sous son propre nom ou marque. Le fournisseur est le premier responsable de la conformité du système. Il doit réaliser l'évaluation de conformité, maintenir la documentation, et assurer la mise à jour du système tout au long de son cycle de vie.
Impact PME
Si vous développez un outil IA que vous vendez ou distribuez (même en interne à d'autres entités de votre groupe), vous êtes un fournisseur. Les obligations sont substantiales : système de gestion de la qualité, documentation technique complète, enregistrement dans la base de données européenne. Envisagez un accompagnement juridique spécialisé.
GPAI — Modèle d’IA à usage général (General Purpose AI)
Un modèle GPAI (General Purpose AI) est un modèle d'intelligence artificielle entraîné à grande échelle, capable de servir de base à une large gamme de applications et de tâches. Les GPT-4, Claude, Gemini, Mistral sont des modèles GPAI. L'AI Act leur applique un régime spécifique : obligations de transparence, documentation technique, et pour les modèles les plus puissants (>10^25 FLOPs), évaluation de cybersécurité obligatoire.
Impact PME
Si vousintégrez un modèle GPAI dans un produit ou service que vous proposez, vous avez des obligations de transparence envers vos utilisateurs (mentionner qu'un modèle IA est utilisé) et de documentation technique. Vous n'avez pas les mêmes obligations qu'un fournisseur de modèle GPAI — votre responsabilité porte sur l'usage, pas sur l'entraînement.
IA à haut risque (High-risk AI system)
Un système IA à haut risque est un système dont l'usage peut impacter significativement la vie, la santé, les droits fondamentaux ou les intérêts économiques des personnes. L'Annexe III liste les domaines concernés : éducation, emploi, services essentiels (banque, assurance), application de la loi, migration, justice, sécurité. Tout système IA utilisé dans ces domaines est automatiquement classé haut risque et soumis aux obligations renforcées de l'AI Act.
Impact PME
La grande majorité des PME réglementées utilisent des outils IA qui tombent dans la catégorie haut risque (systèmes RH, scoring financier, outils d'analyse client). Vous avez les mêmes obligations de conformité qu'une grande entreprise : documentation, contrôle humain, gestion des risques, formation des utilisateurs. Ne sous-estimez pas cette classification.
Indexation IA (Crawl IA)
L'indexation IA fait référence à la capacité des moteurs de recherche et des systèmes de catalogage à détecter, analyser et indexer les systèmes IA. L'AI Act impose un système d'enregistrement obligatoire : les fournisseurs de systèmes à haut risque doivent enregistrer leurs produits dans une base de données européenne publique gérée par la Commission. Cette base permet aux utilisateurs et aux autorités de vérifier la conformité d'un système.
Impact PME
En tant qu'utilisateur, vérifiez systématiquement qu'un outil IA haut risque que vous envisagez d'utiliser est bien enregistré dans la base de données européenne. C'est une vérification de conformité rapide et gratuite. Demandez au fournisseur son numéro d'enregistrement ou son UUID de la base de données.
Marquage CE (Conformité européenne)
Le marquage CE est le sigle apposé sur un produit qui confirme sa conformité aux exigences de l'Union européenne, y compris maintenant l'AI Act. Pour les systèmes IA, le marquage CE accompagne la déclaration de conformité du fournisseur et est obligatoire pour mettre un système sur le marché européen. L'absence de marquage CE sur un système IA commercialisé en France est un manquement passible de sanctions.
Impact PME
Ne validez pas l'achat d'un outil IA sans vérifier la présence du marquage CE et la disponibilité de la déclaration de conformité. Le marquage CE est votre garantie minimale de conformité réglementaire. Pour les systèmes à haut risque, demandez également le certificat de l'organisme notifié.
Maturité numérique (Digital maturity)
La maturité numérique d'une organisation désigne son niveau de maturité dans l'intégration des technologies numériques dans ses processus, sa culture, et sa stratégie. L'AI Act ne définit pas explicitement la maturité numérique, mais les obligations de conformité supposent un certain niveau de sophistication technologique. Les PME moins digitalisées peuvent avoir des difficultés à satisfaire aux exigences de documentation et de traçabilité.
Impact PME
Si votre PME est peu digitalisée, l'entrée en vigueur de l'AI Act peut représenter un choc organisationnel significatif. Commencez par un diagnostic de maturité numérique pour identifier les écarts. Apex Optima peut accompagner cette transition de manière progressive et adaptée à la taille de l'entreprise.
Norme harmonisée (Harmonised standard)
Une norme harmonisée est une norme technique européenne publiée au Journal officiel de l'UE qui transpose les exigences essentielles de la législation européenne en spécifications techniques détaillées. La conformité à une norme harmonisée présume la conformité à l'exigence réglementaire correspondante. L'Annexe I de l'AI Act référence les normes harmonisées applicables aux systèmes IA.
Impact PME
Pour les fournisseurs de systèmes IA : se conformer aux normes harmonisées de l'Annexe I simplifie considérablement la démonstration de conformité (approche CEI — conformité présumée). Pour les utilisateurs : les normes harmonisées sont la référence technique derrière le marquage CE. Vous n'avez pas à les lire vous-même, mais leur existence garantit que les fournisseurs ont un cadre clair à suivre.
Notification (Obligation de notification)
L'obligation de notification désigne le devoir pour un fournisseur ou une autorité de signaler un incident ou un manquement grave aux autorités compétentes. Pour les systèmes IA à haut risque, les fournisseurs doivent notifier les autorités (en France : l'autorité compétente nationale) de tout incident grave ou malfunction qui a causé un préjudice ou pourrait en causer un. Les autorités nationales transmettent ensuite à la Commission européenne.
Impact PME
En tant qu'utilisateur, si vous constatez qu'un système IA haut risque cause des préjudices ou fonctionne de manière gravement défaillante, vous devez le signaler à votre fournisseur et, en dernier recours, à l'autorité compétente. Documentez tout incident pour protéger votre responsabilité.
OPCO — Opérateur de compétences
Les OPCO (Opérateurs de Compétences) sont des organismes paritaires collectant les contributions formation des entreprises et finançant les formations professionnelles. Chaque branche professionnelle dispose de son OPCO de référence (Atlas pour les services financiers, AKTO pour le commerce, AGEFICE pour les indépendants, FIFPL pour les professions libérales). La formation AI Act dispensée par un organisme certifié Qualiopi est éligible au financement OPCO.
Impact PME
Votre PME peut financer la formation AI Act à 100 % via votre OPCO — reste à charge 0 euro pour les PME de moins de 50 salariés. Identifiez votre OPCO en fonction de votre convention collective, puis sélectionnez un organisme de formation Qualiopi comme Apex Optima. Le processus de prise en charge prend 2 à 4 semaines.
Organisme notifié (Notified body)
Un organisme notifié est un organisme tiers indépendant accrédité par un État membre pour réaliser les évaluations de conformité des systèmes IA à haut risque. Ces organismes sont identifiés dans la liste européenne des organismes notifiés. Ils réalisent des audits techniques, examinent la documentation, et délivrent des certificats de conformité. La Commission européenne supervise leur activité.
Impact PME
En tant qu'utilisateur, vous n'avez pas à interagir directement avec un organisme notifié — c'est la responsabilité du fournisseur. En revanche, demandez au fournisseur le numéro et le nom de l'organisme notifié qui a réalisé l'évaluation de son système à haut risque. Cela confirme la légitimité du processus de conformité.
Pratiques IA interdites (Prohibited AI practices)
L'AI Act interdit certaines pratiques IA considérées comme un risque inacceptable pour les droits fondamentaux. Sont interdites : la manipulation subliminale, les systèmes de scoring social par les États, la surveillance biométrique en temps réel dans les espaces publics (avec exceptions strictes), les systèmes de ciblage vulnérablité (ex : exploitation de handicaps), et les systèmes de police prédictive pure sans base factuelle individuelle.
Impact PME
Vérifiez que vos outils IA ne comportent aucune pratique interdite. En pratique, les outils SaaS courants (CRM, outils RH) sont généralement conformes. Soyez vigilant sur les outils de scoring client tiers et les solutions de RH utilisant l'IA pour le ranking de candidats. En cas de doute, demandez une attestation de conformité au fournisseur.
Qualiopi
Qualiopi est la certification nationale de qualité des organismes de formation, devenue obligatoire au 1er janvier 2022 pour accéder aux financements publics et mutualisés (OPCO, CPF, etc.). Elle valide que l'organisme respecte les 7 critères qualité du référentiel national : réponse aux besoins, adequation des objectifs, acquisition des compétences, accompagnement des stagiaires, suivi des résultats. Pour la formation AI Act, Qualiopi est la condition sine qua non du financement OPCO.
Impact PME
Sans certification Qualiopi, aucune prise en charge OPCO n'est possible pour la formation AI Act — le reste à charge pour votre PME est alors significatif. Vérifiez que votre organisme de formation AI Act est certifié Qualiopi AVANT de signer. Apex Optima est en cours de certification Qualiopi.
Registre des activités IA
Le registre des activités IA est un document que les déployeurs de systèmes IA à haut risque doivent tenir à jour, consignant : la description du système, son usage prévu, la date de premier déploiement, l'historique des mises à jour, le nom du fournisseur, et toute mesure de contrôle humain appliquée. Ce registre doit être mis à disposition des autorités compétentes sur demande et conservé pendant une durée proportionnée à la durée de vie du système.
Impact PME
Vous êtes déployeur d'un système IA à haut risque ? Constituez et tenez à jour un registre. template : nom du système, usage, date de mise en service, fournisseur, responsable interne, mesures de contrôle humain. Ce registre est votre preuve de conformité en cas de contrôle. Il prend 15 minutes à constituer et vous protège en cas de litige.
Risque inacceptable (Unacceptable risk)
Le risque inacceptable correspond aux pratiques IA tellement dangereuses qu'elles sont simplement interdites par l'AI Act (Titre II). Elles ne peuvent jamais être mises sur le marché ni utilisées dans l'UE, quelles que soient les mesures de mitigation possibles. Ces pratiques incluent la manipulation subliminale, le scoring social par les pouvoirs publics, la surveillance biométrique en temps réel en espace public (sauf exceptions strictes), et le ciblage basé sur la vulnérabilité des personnes.
Impact PME
En tant qu'utilisateur, vous ne devriez jamais être confronté à un système IA à risque inacceptable sur le marché. Si un outil que vous utilisez semble comporter l'une de ces pratiques, cessez immédiatement son utilisation et contactez l'autorité compétente. Ce sont les infractions les plus grave de l'AI Act — sanction jusqu'à 35 M€ ou 7 % du CA mondial.
Risque limité (Limited risk)
La catégorie risque limité de l'AI Act comprend les systèmes IA qui ne sont ni haut risque ni interdits. Leur seule obligation est la transparence : l'utilisateur doit savoir qu'il interagit avec un système IA (chatbot), et les modèles génératifs (GPAI) doivent divulguer qu'un contenu a été généré par IA. Cette catégorie inclut les chatbots, les outils de génération de texte/image, et les assistants virtuels.
Impact PME
Si vous utilisez un chatbot IA, un outil de génération de contenu, ou un assistant virtuel, vous êtes dans la catégorie risque limité. Vos obligations se limitent à informer vos interlocuteurs (clients, collaborateurs) qu'ils interagissent avec un système IA. Pas de documentation technique requise, pas d'évaluation de conformité — juste une information claire.
Risque minimal (Minimal risk)
La catégorie risque minimal couvre les systèmes IA utilisés dans des contextes à faible impact sur les droits fondamentaux ou la sécurité.spam filters, recommandations de playlists, outils de suggestion de clavier. Aucune obligation spécifique n'est imposée par l'AI Act pour cette catégorie — les fournisseurs sont encouragés à appliquer des codes de bonne conduite sur une base volontaire.
Impact PME
Si vos outils IA sont dans cette catégorie, vous n'avez aucune obligation spécifique au titre de l'AI Act. Vous pouvez continuer à les utiliser sans formalité. En revanche, les bonnes pratiques de gouvernance IA restent recommandées (documentation, supervision humaine) — elles préparent votre organisation à des usages plus sensibles.
Système de gestion des risques (Risk management system)
Le système de gestion des risques est un processus continu que les fournisseurs de systèmes IA à haut risque doivent mettre en place. Il couvre : l'identification des risques connus et prévisibles, l'évaluation de leur gravité et probabilité, l'implémentation de mesures de mitigation appropriées, et la surveillance post-mise sur le marché. Ce système doit être documenté et mis à jour tout au long de la durée de vie du système IA.
Impact PME
En tant qu'utilisateur de système IA à haut risque, vous pouvez demander au fournisseur son approche de gestion des risques. Un fournisseur sérieux aura un processus documenté. Si le fournisseur ne peut pas vous expliquer sa démarche de gestion des risques, c'est un signal d'alerte sur la conformité de son système.
Système IA (AI system)
Un système IA au sens de l'AI Act est un système logiciel边疆功能 conçu à partir d'approches d'apprentissage automatique, de logique et de connaissances, capable de générer pour un ensemble d'objectifs définis par l'homme des outputs tels que du contenu, des prédictions, des recommandations ou des décisions qui influencent les environnements avec lesquels il interagit. La définition est volontairement large pour couvrir tous les types d'IA existants et futurs.
Impact PME
Votre PME utilise probablement plusieurs systèmes IA sans le savoir — un CRM avec scoring automatique, un outil de comptabilité avec détection d'anomalies, un chatbot de support client. Chaque système IA que vous utilisez est soumis aux obligations de l'AI Act selon sa classification de risque. Faite l'inventaire de vos outils IA.
Transparence (AI transparency)
L'obligation de transparence dans l'AI Act signifie que les systèmes IA doivent être conçus et utilisés de manière à garantir que les utilisateurs sont informés qu'ils interagissent avec un système IA, et que les contenus générés par IA (textes, images, audio, vidéo) sont identifiés comme tels. Pour les systèmes à haut risque, la transparence inclut également la communication d'informations كافية pour permettre l'interprétation des outputs.
Impact PME
Ajoutez une mention « Assistant IA » sur vos chatbots, identifiez les contenus générés par IA dans vos communications, et informez vos collaborateurs qu'ils utilisent des outils IA. Ces gestes simples vous mettent en conformité avec l'obligation de transparence. Pas besoin de documentation complexe — juste une communication claire.
Traçabilité (Traceability)
La traçabilité d'un système IA désigne la capacité à suivre et documenter l'ensemble du cycle de vie du système : conception, entraînement, validation, déploiement, modification, incident. L'AI Act impose aux fournisseurs de systèmes à haut risque de mettre en place des procédures de traçabilité et de conserver la documentation technique pendant une durée appropriée. Pour les déployeurs, la traçabilité permet de démontrer la conformité en cas de contrôle.
Impact PME
Constituez un dossier par système IA haut risque utilisé dans votre entreprise : contrat fournisseur, version du système, date de déploiement,,任何 incident, mise à jour. Ce dossier constitue votre preuve de traçabilité et votre élément de défense en cas de contrôle. Conservez-le au moins 5 ans après la dernière utilisation du système.
Évaluation de conformité (Conformity assessment)
L'évaluation de conformité est le processus par lequel un fournisseur démontre formellement qu'un système IA respecte les exigences de l'AI Act. Pour les systèmes à haut risque, cette évaluation doit être réalisée par un organisme notifié (tierce partie). Le processus couvre : documentation technique, tests de performance, analyse des risques, mesures de mitigation, et audit du système de gestion de la qualité.
Impact PME
En tant qu'utilisateur de système IA à haut risque, vous pouvez demander au fournisseur une copie du rapport d'évaluation de conformité (ou du certificat de l'organisme notifié). C'est votre garantie que le système respecte les exigences techniques. Sans cela, vous ne pouvez pas présumer de la conformité du système.