Accueil > Parlons RIA, règlement sur l’Intelligence Artificielle | Définir un système d’IA, qualifier les acteurs et déterminer leurs obligations

Parlons RIA, règlement sur l’Intelligence Artificielle | Définir un système d’IA, qualifier les acteurs et déterminer leurs obligations

Dans ce second épisode de la série de podcasts Parlons RIA, règlement sur l’Intelligence Artificielle, les experts de TNP Trust abordent des notions essentielles à connaitre afin de comprendre l’impact de ce Règlement européen sur les organisations qui développent, utilisent ou déploient des solutions d’intelligence artificielle :

  • Qu’est-ce qu’un système d’intelligence artificielle au sens du Règlement européen sur l’IA (RIA ou AI Act) ?
  • En quoi se distingue-t-il d’un modèle d’IA ?
  • Quel est le niveau de risque associé à votre système d’IA ?
  • Quels sont les acteurs concernés par ce règlement ?
  • Et enfin, pourquoi la qualification et la classification du niveau de risque de vos systèmes d’IA constituent-elles une étape préalable à la mise en place d’une démarche de conformité de vos projets IA ?

Florence : Bonjour à toutes et à tous, et bienvenue dans ce nouvel épisode de notre série dédiée à la gouvernance de l’IA et à la conformité au Règlement européen sur l’Intelligence Artificielle, animé par l’équipe Trust de TNP Consultants.

Aujourd’hui, nous allons répondre à des questions essentielles pour toutes les organisations qui développent, utilisent ou déploient des solutions d’intelligence artificielle :

Qu’est-ce qu’un système d’IA au sens du Règlement européen sur l’Intelligence Artificielle (RIA) ? (Qui sont les acteurs concernés par ce règlement ? Et pourquoi la qualification et l’évaluation du niveau de risque d’un système d’IA sont essentielles pour savoir comment sécuriser vos projets et assurer votre conformité à l’égard de ce règlement ?)

Et pour discuter de tous ces sujets, je suis accompagnée de Youmna, consultante chez TNP Consultants.

Youmna : Bonjour Florence, bonjour à toutes et à tous ! Effectivement, c’est un sujet très important. Le RIA marque un tournant majeur dans la régulation des systèmes d’IA sur le marché européen et vient structurer l’ensemble des pratiques liées à leur développement et à leur déploiement.

Pour mesurer l’impact du RIA sur une organisation, la 1ere étape est de comprendre ce qu’est un système d’IA et ce qu’est un modèle d’IA. Ce sont des notions clés qui ne doivent pas être confondues.

En février 2025 La Commission européenne a publié des lignes directrices pour clarifier cette définition.

Florence : 1ère question Youmna : Est-ce que ces lignes directrices sont contraignantes juridiquement ?

Youmna : Non, justement, elles ne sont pas contraignantes. La Commission a voulu adopter une approche qui est plutôt flexible : elles pourront évoluer dans le temps, être mises à jour en fonction des retours d’expériences concrets, des nouvelles questions techniques qui émergent, ou encore des nouveaux cas d’utilisation de l’IA. C’est important, car l’IA évolue constamment et très vite.

L’article 3(1) du RIA définit un SIA comme :

  • un système basé sur des machines,
  • conçu pour fonctionner avec des niveaux d’autonomie variables,
  • pouvant faire preuve d’adaptabilité après son déploiement,
  • et qui, pour des objectifs explicites ou implicites,
  • déduit à partir des données d’entrées reçues, la manière de générer des résultats en sortie– tels que des prédictions, du contenu, des recommandations ou des décisions
  • susceptibles d’influencer des environnements physiques ou virtuels. »

Florence : C’est une définition très large qui recouvre un large éventail de concepts. L’ISO/IEC 22989 peut nous éclairer sur ces concepts.

Youmna : Oui cette norme propose un vocabulaire harmonisé. Elle décrit par exemple l’IA étroite – appelée aussi « Narrow AI » – dédiée à des tâches spécifiques, de l’IA générale, plus polyvalente, qui peut être utilisée et adaptée à un large éventail d’applications pour lesquelles elle n’a pas été conçue intentionnellement et spécifiquement.

Cette norme définit aussi des notions essentielles telles que “l’autonomie des systèmes”, le concept “d’agent IA” ou encore la gestion du cycle de vie complet d’un système d’IA, de sa conception jusqu’à sa mise hors service.

Florence : Oui, ce croisement entre le cadre juridique du RIA et les standards internationaux est important pour comprendre la portée d’une exigence réglementaire mais aussi pour être sûr que nous parlions le même langage au sein d’organisations qui évoluent souvent à l’échelle internationale.

Pour revenir au cœur du sujet, Youmna, peux-tu nous détailler les sept critères fondamentaux qui permettent de définir un SIA et donc de s’assurer si le RIA est applicable ?

Youmna : Oui, bien sûr.

Le premier critère, c’est que le système d’IA soit basé sur des machines—on parle en anglais de « machine-based system ». Cela signifie que tout système d’IA dépend nécessairement d’une infrastructure informatique, qui inclut à la fois des composantes matérielles et logicielles.

  • D’un côté, l’infrastructure matérielle (ou hardware) comprend tous les éléments physiques nécessaires au fonctionnement : les dispositifs de stockage, la mémoire, les interfaces réseau, ou encore les périphériques d’entrée et sortie.
  • De l’autre, l’infrastructure logicielle (ou software) désigne les éléments immatériels tels que le code informatique, les programmes, les systèmes d’exploitation ou les applications. Ce sont ces éléments logiciels qui pilotent les composants matériels pour traiter les données et effectuer les tâches prévues.

Florence : Très clair. Ensuite, tu as parlé d’un système fonctionnant avec certains niveaux “d’autonomie ». Je comprends donc que le système peut ne pas être complètement autonome et que l’humain peut avoir un rôle à jouer, n’est-ce pas?

Youmna : Tu as parfaitement raison, la Commission européenne est très claire sur ce point : l’autonomie ne signifie pas absence totale de supervision humaine. Cela veut surtout dire qu’un système est capable d’agir avec un certain degré d’indépendance, sans nécessiter en permanence une intervention humaine directe.

Autrement dit, ce degré d’autonomie varie selon les cas : certains systèmes restent étroitement supervisés, avec des interventions humaines régulières, tandis que d’autres peuvent opérer presque entièrement de manière autonome.

Florence : Par exemple, un chatbot qui répond à une question ou alors un système automatisé de tri des emails ? ils génèrent leurs résultats en utilisant leurs propres capacités d’inférence, même si un humain peut continuer à superviser ou ajuster leur fonctionnement.

Youmna : Absolument.

Florence : Le troisième critère d’un système d’IA est l’adaptabilité, c’est-à-dire sa capacité à continuer à apprendre et à ajuster son comportement après son déploiement, donc après avoir été mis en service.

Youmna : Oui mais attention, cette adaptabilité n’est pas obligatoire ! La Commission européenne précise bien qu’un système puisse être qualifié d’IA au sens du règlement même s’il ne dispose pas de capacités d’auto-apprentissage post-déploiement, à condition qu’il remplisse les autres critères.

En d’autres termes, l’aptitude d’un système à évoluer ou à découvrir de nouveaux schémas après son lancement n’est pas déterminante pour qu’il soit reconnu comme un système d’IA.

Florence : Intéressant !

Youmna : Le quatrième critère, c’est que le système doit avoir un ou plusieurs objectifs, explicites ou implicites. L’IA est conçue pour atteindre des buts précis – par exemple pour optimiser un processus logistique, effectuer des diagnostics médicaux, ou générer automatiquement du contenu écrit ou visuel.

Florence : quand tu parles d’objectif explicite, cela signifie un but clairement défini par les développeurs, comme optimiser la précision ou minimiser un coût – souvent intégré directement dans l’algorithme ou dans une fonction d’optimisation. Par contre, qu’est-ce qu’un objectif “implicite”?

Youmna un objectif implicite peut découler du comportement du système ou des données sur lesquelles il a été entraîné, sans être forcément inscrit noir sur blanc dans le code.

Florence : Est-ce les objectifs se confondent avec la « finalité » de l’IA, celle pour laquelle on l’a conçue ?

Youmna : Merci pour ta question ! En fait, les objectifs sont internes au système, ils concernent ce que l’IA cherche à optimiser ou à accomplir en termes techniques. La finalité – ou « intended purpose » dans le règlement – est plus large et liée au contexte d’utilisation.

Florence : A titre d’exemple, un assistant virtuel a pour objectif interne de fournir des réponses précises, mais sa finalité est d’aider un service client ou un département à mieux gérer les demandes.

Bien, passons au cinquième critère qui détermine un SIA, à savoir la capacité d’inférence.

Youmna : Cela correspond à l’aptitude du système à tirer des conclusions ou à générer des résultats à partir de données reçues en entrée. Cette faculté d’inférence dépasse largement un simple traitement automatisé des données : elle implique que le système puisse produire de manière autonome des prédictions, des recommandations, du contenu ou des décisions. C’est précisément cette capacité qui distingue l’IA des logiciels classiques.

Florence : La Commission est d’ailleurs claire sur ce point dans ses lignes directrices : les logiciels classiques, qui se contentent d’appliquer des règles fixées par des humains sans apprentissage ou modélisation, ne répondant pas à la définition d’un SIA. En revanche, un système de machine learning qui apprend à partir de données pour améliorer ses résultats entre bien dans la définition.

Youmna : Exactement. Et les types de sorties générées par l’IA est aussi un critère important.

Le règlement identifie quatre grandes catégories :

  • Les prédictions : comme par exemple prévoir un risque ou anticiper un comportement ;
  • Les contenus : par exemple du texte ou des images générés par un modèle d’IA ;
  • Les recommandations : pour guider un utilisateur vers une action ou un choix ;
  • Et enfin les décisions qui peuvent être prises directement par le système dans un cadre automatisé.

Florence : Pour terminer, le sixième critère d’un SIA concerne sa capacité à influencer un environnement physique ou virtuel.

Les décisions ou recommandations générées par l’IA doivent avoir un impact concret sur leur environnement.

Youmna : Oui, ça peut être dans le monde physique – par exemple un robot qui assemble des pièces sur une chaîne de production – ou bien dans un espace virtuel – comme l’algorithme qui sélectionne les contenus que vous voyez sur les réseaux sociaux ou les plateformes vidéo.

Florence : Merci Youmna. C’était très clair. Je retiens que pour être qualifiée de SIA, une IA doit répondre à un certain nombre de critères. Mais je crois qu’il nous faut maintenant préciser à nos auditeurs quelle est la différence entre un SIA et un modèle d’IA, tous deux étant susceptibles d’être concernés par le RIA, mais avec des obligations différentes selon qu’on se trouve dans l’un ou l’autre cas ?

Youmna : Exactement ! Le modèle d’IA, c’est en quelque sorte le moteur du système. C’est l’ensemble des algorithmes ou des réseaux neuronaux qui permettent à un système d’IA de produire des résultats : recommandations, prévisions ou décisions.

Plus concrètement et pour reprendre la définition proposée par la CNIL « Le modèle d’IA est la construction mathématique générant une déduction ou une prédiction à partir de données d’entrées. Le modèle est estimé à partir de données annotées lors de la phase d’apprentissage (ou d’entrainement) du système d’IA. »

Florence : le modèle d’IA ne suffit donc pas à lui seul à constituer un système d’IA complet

Youmna : en effet, le modèle est une composante essentielle, mais il ne suffit pas à lui seul. Un système d’IA complet comprend généralement d’autres éléments comme une interface utilisateur pour interagir avec les humains, des infrastructures techniques, ou encore des mécanismes de contrôle et de supervision humaine.

Florence : D’accord, mais concrètement, on entend aussi souvent parler, comme tu l’as mentionné tout à l’heure, d’algorithmes de machine learning, de deep learning… Tu pourrais faire le lien entre ces notions et celle de “modèle d’IA” ?

Youmna : Bien sûr :

  • Un algorithme, est la description d’une suite d’étapes permettant d’obtenir un résultat à partir d’éléments fournis en entrée. Un algorithme ne sous-tend donc pas forcément un modèle d’IA. une recette de cuisine est un algorithme permettant d’obtenir un plat à partir de ses ingrédients. Un algorithme auto-apprenant ont été conçus de sorte que leur comportement évolue dans le temps, en fonction des données qui leur ont été fournies.
  • Le machine learning (aussi appelé ‘apprentissage automatique’) : c’est un domaine de l’IA qui permet aux systèmes d’apprendre et de s’améliorer à partir de données, sans être explicitement programmés. Les modèles d’IA, ce sont en fait les programmes qui résultent de ce processus. Ils peuvent automatiser certaines décisions, mais seuls ceux qui s’appuient sur cet apprentissage automatique « le machine learning » sont capables de s’améliorer de façon autonome, en analysant de nouvelles données au fil du temps.
    Et c’est important de le dire : tous les modèles de machine learning sont des modèles d’IA… mais toute l’IA ne repose pas forcément sur le machine learning.
  • Le deep learning, (aussi appelé ‘apprentissage profond’) : c’est un sous-domaine du Machine Learning qui utilise des réseaux neuronaux s’inspirant de la structure et du fonctionnement du cerveau
  • Les LLM (Large Language Models), : ce sont des modèles d’IA avancés, conçu pour comprendre et générer du langage naturel à partir de l’analyse de grands volumes de données. Les LLM sont une application spécifique du deep learning dans le domaine du traitement du langage naturel (NLP). Ex. GPT
  • Et enfin, l’IA générative (ou GenAI) est un type de système d’IA capable de générer du texte, des images, des vidéos, du code ou d’autres contenus en réponse à des requêtes.

Florence: la maîtrise de ces notions est indispensable pour comprendre le RIA et maitriser les risques liés à l’IA.

Je te propose maintenant d’aborder la classification des SIA dans le RIA en fonction des risques qu’ils représentent. Peux-tu nous rappeler les quatre niveaux de risques liés aux SIA ?

Youmna (continue) : Bien sûr. Le règlement propose 4 niveaux de risques

  • Risque inacceptable : ce sont les IA interdites par le règlement. Elles sont considérées comme portant une atteinte grave aux droits fondamentaux ou à la sécurité des personnes. Par exemple, les systèmes de notation sociale ou les systèmes de manipulation subliminale à grande échelle.
  • Risque élevé : ces systèmes sont autorisés mais strictement réglementés. Ils sont utilisés dans des domaines sensibles comme la santé, la justice ou encore le recrutement.
  • Risque limité : ici, l’IA reste autorisée, mais avec des obligations de transparence renforcées. Un exemple courant : les chatbots ou assistants virtuels qui doivent informer clairement les utilisateurs qu’ils interagissent avec une machine.
  • Risque minimal : ce sont les IA considérées comme sans risque notable, et donc non soumises à des obligations spécifiques. Par exemple, les filtres photo ou certains outils d’édition automatique

Florence : Merci Youmna. Contrairement à ce que certains ont voulu laisser croire, tout n’est pas interdit, loin de là. Cette approche permet d’adapter les mesures à mettre en œuvre en fonction des risques liés aux systèmes d’IA. Cette classification joue aussi un rôle clé dans la répartition des responsabilités entre les différents acteurs. Il est donc essentiel de bien comprendre le périmètre que recouvre chaque niveau de classification.

Nous approfondirons ce sujet et ses implications concrètes dans un prochain épisode.

Youmna C’est très important en effet. Le RIA détermine les rôles des acteurs dans la mise sur le marché ou l’exploitation des systèmes d’IA.

On parle principalement de quatre profils :

  • Le fournisseur : c’est l’entité qui développe ou fait développer le système d’IA.
  • L’importateur : celui qui introduit une IA sur le marché européen depuis un pays tiers.
  • Le distributeur : celui qui met l’IA à disposition sur le marché, par exemple via une plateforme.
  • Et le déployeur : celui qui intègre et utilise l’IA au sein de ses propres activités ou services.

La classification du SIA va définir concrètement les obligations qui s’imposent à chaque acteur.

Et surtout, elle va fixer les responsabilités : produire la bonne documentation, assurer la transparence auprès des utilisateurs, garantir la qualité des données utilisées et mettre en place des mesures de gestion des risques adaptées. Plus le niveau de risque est élevé, plus les exigences seront renforcées.

Florence : Encore un sujet complexe que nous prendrons le temps de détailler dans nos prochains épisodes.

Mais ce qu’il faut retenir, c’est que cette étape est aujourd’hui indispensable pour toutes les organisations qui souhaitent sécuriser et piloter la conformité de leurs projets d’IA.

Et concrètement, cela passe par plusieurs étapes clés :

  1. Identifier et cartographier tous les cas d’usage où vous développez ou utilisez de l’IA.
  2. Vérifier la réglementation applicable non seulement concernant l’IA mais aussi la protection des données personnelles, bien qualifier votre système et comprendre vos obligations.
  3. Documenter et mettre en place les mesures nécessaires pour garantir la conformité.

Youmna : Oui absolument, aucune étape n’est à négliger.

Florence : Nous arrivons à la fin de cet épisode. Nous espérons qu’il vous a permis de mieux comprendre les bases du RIA et la façon dont les systèmes d’IA sont définis et classifiés en fonction de leur niveau de risque.

Merci pour votre écoute ! Pour aller plus loin ou si vous avez des questions, n’hésitez pas à consulter notre site internet ou à nous contacter directement.

Nous vous donnons rendez-vous très bientôt pour un prochain podcast sur la conformité des systèmes d’IA et plus particulièrement sur les systèmes d’IA interdits.

Découvrez nos savoir-faire // Data Protection
Florence BONNETPartner
Youmna LattoufConsultant