Table des matières

Section 1 : Classification des systèmes d'IA comme étant à haut risque

Article 6 : Règles de classification des systèmes d'IA à haut risque

Article 7 : modifications de l'annexe III

Section 2 : Exigences relatives aux systèmes d'IA à haut risque

Article 8 : Respect des exigences

Article 9 : Système de gestion des risques

Article 10 : Données et gouvernance des données

Article 11 : Documentation technique

Article 12 : Tenue de registres

Article 13 : Transparence et information des entreprises de déploiement

Article 14 : Surveillance humaine

Article 15 : Précision, robustesse et cybersécurité

Section 3 : Obligations des fournisseurs et des déployeurs de systèmes d'IA à haut risque et des autres parties

Article 16 : Obligations des fournisseurs de systèmes d'IA à haut risque

Article 17 : Système de gestion de la qualité

Article 18 : Conservation de la documentation

Article 19 : Journaux générés automatiquement

Article 20 : Actions correctives et obligation d'information

Article 21 : Coopération avec les autorités compétentes

Article 22 : Représentants autorisés des fournisseurs de systèmes d'IA à haut risque

Article 23 : Obligations des importateurs

Article 24 : Obligations des distributeurs

Article 25 : Responsabilités tout au long de la chaîne de valeur de l'IA

Article 26 : Obligations des déployeurs de systèmes d'IA à haut risque

Article 27 : Évaluation de l'impact sur les droits fondamentaux des systèmes d'IA à haut risque

Section 4 : Autorités de notification et organismes notifiés

Article 28 : Autorités de notification

Article 29 : Demande de notification d'un organisme d'évaluation de la conformité

Article 30 : Procédure de notification

Article 31 : Exigences relatives aux organismes notifiés

Article 32 : Présomption de conformité aux exigences relatives aux organismes notifiés

Article 33 : Filiales et sous-traitance des organismes notifiés

Article 34 : Obligations opérationnelles des organismes notifiés

Article 35 : Numéros d'identification et listes des organismes notifiés désignés en vertu du présent règlement

Article 36 : Modifications des notifications

Article 37 : Contestation de la compétence des organismes notifiés

Article 38 : Coordination des organismes notifiés

Article 39 : Organismes d'évaluation de la conformité de pays tiers

Section 5 : Normes, évaluation de la conformité, certificats, enregistrement

Article 40 : Normes harmonisées et résultats de la normalisation

Article 41 : Spécifications communes

Article 42 : Présomption de conformité à certaines exigences

Article 43 : Évaluation de la conformité

Article 44 : Certificats

Article 45 : Obligations d'information des organismes notifiés

Article 46 : Dérogation à la procédure d'évaluation de la conformité

Article 47 : Déclaration de conformité de l'UE

Article 48 : Marquage CE

Article 49 : Enregistrement

Section 1 : Surveillance après la mise sur le marché

Article 72 : Surveillance des fournisseurs après la mise sur le marché et plan de surveillance après la mise sur le marché pour les systèmes d'IA à haut risque

Section 2 : Partage d'informations sur les incidents graves

Article 73 : Notification des incidents graves

Section 3 : Exécution

Article 74 : Surveillance du marché et contrôle des systèmes d'IA dans le marché de l'Union

Article 75 : Assistance mutuelle, surveillance du marché et contrôle des systèmes d'IA à usage général

Article 76 : Supervision des tests en conditions réelles par les autorités de surveillance du marché

Article 77 : Pouvoirs des autorités chargées de la protection des droits fondamentaux

Article 78 : Confidentialité

Article 79 : Procédure de traitement des systèmes d'IA présentant un risque au niveau national

Article 80 : Procédure de traitement des systèmes d'IA classés par le fournisseur comme ne présentant pas de risque élevé en application de l'annexe III

Article 81 : Procédure de sauvegarde de l'Union

Article 82 : Systèmes d'IA conformes présentant un risque

Article 83 : Non-respect formel

Article 84 : Structures de soutien aux essais de l'IA de l'Union

Section 4 : Recours

Article 85 : Droit de déposer une plainte auprès d'une autorité de surveillance du marché

Article 86 : Droit à l'explication des décisions individuelles

Article 87 : Signalement des infractions et protection des personnes qui les signalent

Section 5 : Supervision, enquête, application et contrôle concernant les fournisseurs de modèles d'IA à usage général

Article 88 : Exécution des obligations incombant aux fournisseurs de modèles d'IA à usage général

Article 89 : Actions de suivi

Article 90 : Alertes sur les risques systémiques par le groupe scientifique

Article 91 : Pouvoir de demander des documents et des informations

Article 92 : Pouvoir d'évaluation

Article 93 : Pouvoir de demander des mesures

Article 94 : Droits procéduraux des opérateurs économiques du modèle d'IA à usage général

Récitals

Annexes

Recherche dans le cadre de la loi

Article 3 : Définitions

Date d'entrée en vigueur :

Janvier 2025

D'après :

Article 113, point a)

Héritée de :

Chapitre I

Note : Cette date est une estimation basée sur la date prévue d'entrée en vigueur. Voir ici pour un calendrier complet de mise en œuvre.

Résumé

Cet article fournit des définitions pour différents termes liés aux systèmes d'intelligence artificielle (IA). Un système d'IA est un système basé sur une machine qui peut fonctionner de manière autonome et s'adapter après son déploiement, en générant des résultats tels que des prédictions ou des décisions. Un fournisseur est une personne ou une entité qui développe un système d'IA et le met sur le marché. Un déployeur est une personne ou une entité qui utilise un système d'IA. Parmi les autres termes définis, citons l'importateur, le distributeur, l'opérateur et le représentant autorisé. L'article définit également les termes relatifs aux données utilisées dans les systèmes d'IA, tels que les données d'entraînement, les données de validation et les données de test. Il couvre également les termes liés à la réglementation et au contrôle des systèmes d'IA, tels que l'évaluation de la conformité, l'autorité de surveillance du marché et le bac à sable réglementaire de l'IA.

Généré par CLaiRK, édité par nous.

NOTE : Cette traduction est une traduction générée par une machine. Il ne s'agit pas de la traduction officielle fournie par le Parlement européen. Lorsque la loi sur l'IA sera publiée au journal officiel, les traductions générées par la machine seront remplacées par les traductions officielles.

Aux fins du présent règlement, les définitions suivantes s'appliquent :

(1) "système d'IA", un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d'autonomie et qui peut faire preuve d'adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels ;

(2) "risque" : la combinaison de la probabilité d'un dommage et de la gravité de ce dommage ;

(3) "fournisseur" : une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui développe ou fait développer un système d'IA ou un modèle d'IA à usage général et le met sur le marché ou met le système d'IA en service sous son propre nom ou sa propre marque, que ce soit à titre onéreux ou gratuit ;

(4) "déployeur" : une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant un système d'IA sous son autorité, sauf si le système d'IA est utilisé dans le cadre d'une activité personnelle non professionnelle ;

(5) "représentant autorisé", une personne physique ou morale située ou établie dans l'Union qui a reçu et accepté un mandat écrit d'un fournisseur de système d'IA ou de modèle d'IA à usage général pour, respectivement, exécuter et mener à bien en son nom les obligations et les procédures établies par le présent règlement ;

(6) "importateur", une personne physique ou morale située ou établie dans l'Union qui met sur le marché un système d'IA portant le nom ou la marque d'une personne physique ou morale établie dans un pays tiers ;

(7) "distributeur" : une personne physique ou morale de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d'IA à disposition sur le marché de l'Union ;

(8) "opérateur" : un fournisseur, un fabricant de produits, un déployeur, un représentant autorisé, un importateur ou un distributeur ;

(9) "mise sur le marché" : la première mise à disposition d'un système d'IA ou d'un modèle d'IA à usage général sur le marché de l'Union ;

(10) "mise à disposition sur le marché" : la fourniture d'un système d'IA ou d'un modèle d'IA à usage général en vue de sa distribution ou de son utilisation sur le marché de l'Union dans le cadre d'une activité commerciale, à titre onéreux ou gratuit ;

(11) "mise en service", la fourniture d'un système d'IA pour une première utilisation directement au déployeur ou pour une utilisation propre dans l'Union pour l'usage auquel il est destiné ;

(12) "destination" : l'utilisation à laquelle un système d'IA est destiné par le fournisseur, y compris le contexte et les conditions d'utilisation spécifiques, tels qu'ils sont précisés dans les informations fournies par le fournisseur dans les instructions d'utilisation, le matériel et les déclarations promotionnels ou de vente, ainsi que dans la documentation technique ;

(13) "usage abusif raisonnablement prévisible" : l'utilisation d'un système d'IA d'une manière qui n'est pas conforme à sa destination, mais qui peut résulter d'un comportement humain raisonnablement prévisible ou d'une interaction avec d'autres systèmes, y compris d'autres systèmes d'IA ;

(14) "composant de sécurité" : un composant d'un produit ou d'un système d'IA qui remplit une fonction de sécurité pour ce produit ou ce système d'IA, ou dont la défaillance ou le mauvais fonctionnement met en danger la santé et la sécurité des personnes ou des biens ;

(15) "mode d'emploi" : les informations fournies par le fournisseur pour informer le déployeur, en particulier, de la finalité d'un système d'IA et de son utilisation correcte ;

(16) "rappel d'un système d'IA", toute mesure visant à restituer au fournisseur, à mettre hors service ou à rendre inutilisable un système d'IA mis à la disposition des déployeurs ;

(17) "retrait d'un système d'IA" : toute mesure visant à empêcher la mise à disposition sur le marché d'un système d'IA faisant partie de la chaîne d'approvisionnement ;

(18) "performance d'un système d'IA" : la capacité d'un système d'IA à atteindre l'objectif visé ;

(19) "autorité notifiante" : l'autorité nationale responsable de la mise en place et de l'exécution des procédures nécessaires à l'évaluation, à la désignation et à la notification des organismes d'évaluation de la conformité, ainsi qu'à leur contrôle ;

(20) "évaluation de la conformité" : le processus consistant à démontrer que les exigences énoncées au chapitre III, section 2, relatives à un système d'IA à haut risque ont été respectées ;

(21) "organisme d'évaluation de la conformité" : un organisme qui effectue des activités d'évaluation de la conformité par des tiers, y compris des essais, des certifications et des inspections ;

(22) "organisme notifié" : un organisme d'évaluation de la conformité notifié conformément au présent règlement et à d'autres dispositions législatives d'harmonisation de l'Union ;

(23) "modification substantielle" : un changement apporté à un système d'IA après sa mise sur le marché ou sa mise en service, qui n'est pas prévu ou planifié dans l'évaluation initiale de la conformité effectuée par le fournisseur et qui a pour effet de remettre en cause la conformité du système d'IA aux exigences énoncées au chapitre III, section 2, ou d'entraîner une modification de l'usage prévu pour lequel le système d'IA a été évalué ;

(24) "marquage CE" : un marquage par lequel un fournisseur indique qu'un système d'IA est conforme aux exigences énoncées au chapitre III, section 2, et à toute autre législation d'harmonisation de l'Union applicable prévoyant son apposition ;

(25) "système de surveillance consécutive à la mise sur le marché" : toutes les activités menées par les fournisseurs de systèmes d'IA pour recueillir et examiner l'expérience acquise lors de l'utilisation des systèmes d'IA qu'ils mettent sur le marché ou mettent en service, afin de déterminer s'il est nécessaire d'appliquer immédiatement les mesures correctives ou préventives qui s'imposent ;

(26) "autorité de surveillance du marché" : l'autorité nationale qui exerce les activités et prend les mesures conformément au règlement (UE) 2019/1020 ;

(27) "norme harmonisée" : une norme harmonisée telle que définie à l'article 2, paragraphe 1, point c), du règlement (UE) n° 1025/2012 ;

(28) "spécification commune", un ensemble de spécifications techniques telles que définies à l'article 2, point 4), du règlement (UE) n° 1025/2012, fournissant des moyens de se conformer à certaines exigences établies en vertu du présent règlement ;

(29) "données d'apprentissage" : les données utilisées pour l'apprentissage d'un système d'IA par l'ajustement de ses paramètres d'apprentissage ;

(30) "données de validation" : les données utilisées pour évaluer le système d'IA formé et pour régler ses paramètres non apprenants et son processus d'apprentissage afin, notamment, d'éviter un sous-ajustement ou un surajustement ;

(31) "ensemble de données de validation" : un ensemble de données distinct ou une partie de l'ensemble de données d'apprentissage, sous la forme d'une division fixe ou variable ;

(32) "données d'essai" : les données utilisées pour fournir une évaluation indépendante du système d'IA afin de confirmer les performances attendues de ce système avant sa mise sur le marché ou sa mise en service ;

(33) "données d'entrée" : les données fournies à un système d'IA ou directement acquises par celui-ci, sur la base desquelles le système produit une sortie ;

(34) "données biométriques" : les données à caractère personnel résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, telles que les images faciales ou les données dactyloscopiques ;

(35) "identification biométrique" : la reconnaissance automatisée de caractéristiques humaines physiques, physiologiques, comportementales ou psychologiques dans le but d'établir l'identité d'une personne physique en comparant les données biométriques de cette personne aux données biométriques de personnes physiques stockées dans une base de données ;

(36) "vérification biométrique" : la vérification automatisée et individuelle, y compris l'authentification, de l'identité de personnes physiques par comparaison de leurs données biométriques avec des données biométriques fournies antérieurement ;

(37) "catégories particulières de données à caractère personnel", les catégories de données à caractère personnel visées à l'article 9, paragraphe 1, du règlement (UE) 2016/679, à l'article 10 de la directive (UE) 2016/680 et à l'article 10, paragraphe 1, du règlement (UE) 2018/1725 ;

(38) "données opérationnelles sensibles", les données opérationnelles liées aux activités de prévention, de détection, d'enquête ou de poursuite d'infractions pénales, dont la divulgation pourrait compromettre l'intégrité de la procédure pénale ;

(39) "système de reconnaissance des émotions", un système d'IA destiné à identifier ou à déduire les émotions ou les intentions de personnes physiques sur la base de leurs données biométriques ;

(40) "système de catégorisation biométrique", un système d'IA permettant d'affecter des personnes physiques à des catégories spécifiques sur la base de leurs données biométriques, à moins qu'il ne soit accessoire à un autre service commercial et strictement nécessaire pour des raisons techniques objectives ;

(41) "système d'identification biométrique à distance", un système d'IA permettant d'identifier des personnes physiques, sans leur participation active, généralement à distance, par comparaison des données biométriques d'une personne avec les données biométriques contenues dans une base de données de référence ;

(42) "système d'identification biométrique à distance en temps réel", un système d'identification biométrique à distance dans lequel la capture des données biométriques, la comparaison et l'identification se déroulent sans délai important, et qui comprend non seulement l'identification instantanée, mais aussi des délais courts et limités afin d'éviter tout contournement ;

(43) "système d'identification biométrique à distance" : un système d'identification biométrique à distance autre qu'un système d'identification biométrique à distance en temps réel ;

(44) "espace accessible au public" : tout lieu physique appartenant au public ou au privé, accessible à un nombre indéterminé de personnes physiques, indépendamment de l'application éventuelle de certaines conditions d'accès et des restrictions potentielles de capacité ;

(45) "autorités chargées de l'application de la loi" : les autorités chargées de l'application de la loi :

(a) toute autorité publique compétente en matière de prévention, d'enquête, de détection ou de poursuite des infractions pénales ou d'exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de ces menaces ; ou

(b) tout autre organisme ou entité chargé par le droit d'un État membre d'exercer l'autorité publique et des pouvoirs publics aux fins de la prévention, de la recherche, de la détection ou de la poursuite d'infractions pénales ou de l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

(46) "services répressifs" : les activités menées par les services répressifs ou en leur nom aux fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la prévention des menaces pour la sécurité publique et la protection contre ces menaces ;

(47) "Office AI", la fonction de la Commission consistant à contribuer à la mise en œuvre, au suivi et à la supervision des systèmes d'IA et des modèles d'IA à usage général, ainsi qu'à la gouvernance de l'IA, prévue par la décision de la Commission du 24 janvier 2024 ; dans le présent règlement, les références à l'Office AI s'entendent comme des références à la Commission ;

(48) "autorité nationale compétente", une autorité notifiante ou une autorité de surveillance du marché ; en ce qui concerne les systèmes d'IA mis en service ou utilisés par les institutions, agences, offices et organes de l'Union, les références aux autorités nationales compétentes ou aux autorités de surveillance du marché dans le présent règlement s'entendent comme des références au contrôleur européen de la protection des données ;

(49) "incident grave" : un incident ou un dysfonctionnement d'un système d'IA qui entraîne directement ou indirectement l'un des effets suivants :

(a) le décès d'une personne ou une atteinte grave à sa santé ;

(b) une perturbation grave et irréversible de la gestion ou du fonctionnement des infrastructures critiques.

(c) la violation des obligations découlant du droit de l'Union visant à protéger les droits fondamentaux ;

(d) des dommages graves aux biens ou à l'environnement ;

(50) "données à caractère personnel", les données à caractère personnel définies à l'article 4, point 1), du règlement (UE) 2016/679 ;

(51) "données à caractère non personnel", les données autres que les données à caractère personnel telles que définies à l'article 4, point 1), du règlement (UE) 2016/679 ;

(52) "profilage", le profilage tel que défini à l'article 4, point (4), du règlement (UE) 2016/679 ;

(53) "plan d'essais en conditions réelles" : un document décrivant les objectifs, la méthodologie, la portée géographique, démographique et temporelle, le suivi, l'organisation et la conduite des essais en conditions réelles ;

(54) "plan de bac à sable" : un document convenu entre le fournisseur participant et l'autorité compétente décrivant les objectifs, les conditions, le calendrier, la méthodologie et les exigences des activités menées dans le bac à sable ;

(55) "bac à sable réglementaire pour l'IA", un cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs ou aux fournisseurs potentiels de systèmes d'IA la possibilité de développer, de former, de valider et de tester, le cas échéant dans des conditions réelles, un système d'IA innovant, conformément à un plan de bac à sable, pendant une durée limitée et sous surveillance réglementaire ;

(56) "maîtrise de l'IA", les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, aux déployeurs et aux personnes concernées, compte tenu de leurs droits et obligations respectifs dans le cadre du présent règlement, de déployer des systèmes d'IA en connaissance de cause, ainsi que de prendre conscience des possibilités et des risques de l'IA et des dommages éventuels qu'elle peut causer ;

(57) "essai en conditions réelles", l'essai temporaire d'un système d'IA aux fins prévues dans des conditions réelles, en dehors d'un laboratoire ou d'un autre environnement simulé, en vue de recueillir des données fiables et solides et d'évaluer et de vérifier la conformité du système d'IA aux exigences du présent règlement ; cet essai n'est pas considéré comme une mise sur le marché ou une mise en service du système d'IA au sens du présent règlement, pour autant que toutes les conditions prévues à l'article 57 ou à l'article 60 soient remplies ;

(58) "sujet", aux fins des essais en conditions réelles, une personne physique qui participe aux essais en conditions réelles ;

(59) "consentement éclairé" : l'expression libre, spécifique, non ambiguë et volontaire par un sujet de sa volonté de participer à un essai particulier dans des conditions réelles, après avoir été informé de tous les aspects de l'essai qui sont pertinents pour la décision du sujet d'y participer ;

(60) "deep fake", un contenu image, audio ou vidéo généré ou manipulé par l'IA qui ressemble à des personnes, des objets, des lieux, des entités ou des événements existants et qui semblerait faussement authentique ou véridique aux yeux d'une personne ;

(61) "infraction de grande ampleur" : tout acte ou omission contraire au droit de l'Union protégeant les intérêts des particuliers, qui :

(a) a porté atteinte ou est susceptible de porter atteinte aux intérêts collectifs de personnes physiques résidant dans au moins deux États membres autres que l'État membre dans lequel :

(i) l'acte ou l'omission a eu lieu ;

(ii) le prestataire concerné ou, le cas échéant, son représentant autorisé est situé ou établi ; ou

(iii) le déployeur est établi, lorsque l'infraction est commise par le déployeur ;

(b) a causé, cause ou est susceptible de causer un préjudice aux intérêts collectifs des particuliers et présente des caractéristiques communes, notamment la même pratique illicite ou le même intérêt violé, et se produit concurremment, commise par le même opérateur, dans au moins trois États membres ;

(62) "infrastructure critique", une infrastructure critique telle que définie à l'article 2, point 4), de la directive (UE) 2022/2557 ;

(63) "modèle d'IA à usage général", un modèle d'IA, y compris lorsqu'il est entraîné à l'aide d'une grande quantité de données en utilisant l'autosupervision à l'échelle, qui présente une grande généralité et est capable d'exécuter avec compétence un large éventail de tâches distinctes, quelle que soit la manière dont le modèle est mis sur le marché, et qui peut être intégré dans divers systèmes ou applications en aval, à l'exception des modèles d'IA utilisés pour des activités de recherche, de développement ou de prototypage avant d'être mis sur le marché ;

(64) "capacités à fort impact" : des capacités qui égalent ou dépassent les capacités enregistrées dans les modèles d'IA à usage général les plus avancés ;

(65) "risque systémique" : un risque spécifique aux capacités à fort impact des modèles d'IA à usage général, ayant une incidence significative sur le marché de l'Union en raison de leur portée, ou en raison d'effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, qui peut se propager à grande échelle dans toute la chaîne de valeur ;

(66) "système d'IA à usage général" : un système d'IA basé sur un modèle d'IA à usage général et capable de répondre à des besoins divers, tant pour une utilisation directe que pour une intégration dans d'autres systèmes d'IA ;

(67) "opération en virgule flottante" : toute opération ou affectation mathématique impliquant des nombres en virgule flottante, qui sont un sous-ensemble des nombres réels généralement représentés sur les ordinateurs par un nombre entier de précision fixe mis à l'échelle par un exposant entier d'une base fixe ;

(68) "fournisseur en aval", le fournisseur d'un système d'IA, y compris d'un système d'IA à usage général, qui intègre un modèle d'IA, que le modèle d'IA soit fourni par lui-même et intégré verticalement ou qu'il soit fourni par une autre entité sur la base de relations contractuelles.

Commentaires - Nous travaillons à l'amélioration de cet outil. Veuillez envoyer vos commentaires à Taylor Jones à l'adresse suivante : taylor@futureoflife.org

Le texte utilisé dans cet outil est la "Loi sur l'intelligence artificielle, Rectificatif, 19 avril 2024". Dossier interinstitutionnel : 2021/0106(COD)