L'article 3 du Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, dit AI Act ou Règlement sur l'intelligence artificielle, établit le cadre définitionnel sur lequel repose l'ensemble du dispositif réglementaire européen en matière d'IA. Cet article constitue la pierre angulaire du règlement en définissant avec précision les notions essentielles qui déterminent son champ d'application et structurent les obligations des différents acteurs.
Avec plus de 100 définitions, l'article 3 couvre l'ensemble des concepts juridiques, techniques et opérationnels nécessaires à la mise en œuvre du règlement. Il définit notamment ce qu'est un système d'IA, identifie les différents acteurs de la chaîne de valeur (fournisseurs, déployeurs, importateurs, distributeurs), précise les catégories de systèmes d'IA (à usage général, à haut risque) et établit les notions de risque, de conformité et de gouvernance qui traversent l'ensemble du texte.
La qualité et la précision de ces définitions sont déterminantes pour la sécurité juridique des opérateurs économiques et pour l'application harmonisée du règlement dans les 27 États membres de l'Union européenne. L'article 3 constitue ainsi le socle terminologique indispensable à la compréhension et à l'application de l'AI Act.
Texte officiel de l'article 3 de l'AI Act
L'article 3 de l'AI Act établit les définitions suivantes (sélection des principales définitions) :
1) « système d'IA » : un système automatisé qui est conçu pour fonctionner à différents niveaux d'autonomie et qui peut faire preuve d'une capacité d'adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d'entrée qu'il reçoit, comment générer des données de sortie telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels.
2) « risque » : la combinaison de la probabilité qu'un préjudice se produise et de la gravité de ce préjudice.
3) « fournisseur » : une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui développe ou fait développer un système d'IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.
4) « déployeur » : une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui utilise un système d'IA sous son autorité, sauf lorsque le système d'IA est utilisé dans le cadre d'une activité personnelle non professionnelle.
5) « importateur » : toute personne physique ou morale établie dans l'Union qui met sur le marché de l'Union un système d'IA portant le nom ou la marque d'une personne physique ou morale établie en dehors de l'Union.
6) « distributeur » : toute personne physique ou morale faisant partie de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d'IA à disposition sur le marché de l'Union.
7) « mise sur le marché » : la première mise à disposition d'un système d'IA sur le marché de l'Union.
8) « mise en service » : la fourniture d'un système d'IA destiné à être utilisé directement sur le marché de l'Union à des fins qui lui sont propres, soit à titre onéreux soit à titre gratuit.
9) « système d'IA à usage général » : un système d'IA fondé sur un modèle à usage général ou exécutant des fonctions à usage général, qui peut être utilisé dans une pluralité de contextes et être intégré dans une pluralité de systèmes ou d'applications d'IA.
10) « système d'IA à haut risque » : un système d'IA identifié comme tel à l'article 6 du présent règlement.
Le texte complet de l'article 3 contient plus de 100 définitions couvrant l'ensemble des concepts techniques, juridiques et opérationnels du règlement. Ces définitions s'appliquent de manière cohérente à l'ensemble des dispositions de l'AI Act.
Analyse juridique de l'article 3
Définition du système d'IA : portée et critères
La définition du « système d'IA » constitue le fondement de l'applicabilité du règlement. Cette définition adopte une approche fonctionnelle large, centrée sur trois caractéristiques essentielles : l'automatisation, l'autonomie et la capacité d'adaptation. Un système d'IA se distingue des logiciels traditionnels par sa capacité à générer des données de sortie (prédictions, recommandations, décisions, contenus) à partir de données d'entrée, en mobilisant des techniques d'inférence.
Cette définition vise à couvrir l'ensemble des technologies d'IA actuelles et futures, notamment les systèmes d'apprentissage automatique (machine learning), d'apprentissage profond (deep learning), les systèmes experts, et les modèles d'IA générative. Elle inclut aussi bien les systèmes d'IA spécialisés que les modèles d'IA à usage général, dès lors qu'ils répondent aux critères fonctionnels posés.
Les acteurs de la chaîne de valeur de l'IA
L'article 3 identifie et définit précisément les différents opérateurs économiques intervenant dans le cycle de vie d'un système d'IA. Le « fournisseur » est l'acteur central du dispositif : il porte la responsabilité principale de la conformité du système qu'il développe ou fait développer. Cette notion couvre aussi bien les entreprises technologiques que les organismes publics qui développent des systèmes d'IA.
Le « déployeur » désigne l'utilisateur professionnel du système d'IA, qu'il soit une entreprise, une administration ou toute autre organisation. Le règlement impose au déployeur des obligations spécifiques, distinctes de celles du fournisseur, notamment en matière de surveillance humaine et de transparence vis-à-vis des personnes affectées.
Les « importateurs » et « distributeurs » jouent un rôle d'interface dans la chaîne d'approvisionnement et ont des obligations de vérification et de traçabilité. Cette structuration des responsabilités s'inspire du cadre réglementaire existant pour les produits industriels et vise à garantir la conformité tout au long de la chaîne de valeur.
Systèmes d'IA à usage général et à haut risque
L'article 3 distingue deux catégories majeures de systèmes d'IA qui structurent l'architecture du règlement. Les « systèmes d'IA à usage général » (General Purpose AI ou GPAI) sont des systèmes polyvalents, capables d'être utilisés dans une pluralité de contextes et d'applications. Cette catégorie inclut notamment les grands modèles de langage comme GPT-4, Claude, ou Gemini, ainsi que les modèles de génération d'images ou de vidéos.
Les « systèmes d'IA à haut risque » désignent les systèmes identifiés comme tels à l'article 6, c'est-à-dire ceux utilisés dans des domaines sensibles tels que l'emploi, l'éducation, la santé, la justice ou le contrôle d'accès aux services essentiels. Ces systèmes sont soumis aux obligations les plus strictes du règlement en raison des risques qu'ils présentent pour les droits fondamentaux et la sécurité des personnes.
Notions de mise sur le marché et de mise en service
L'article 3 définit avec précision les moments clés du cycle de vie d'un système d'IA qui déclenchent l'application des obligations réglementaires. La « mise sur le marché » désigne le moment où un système d'IA est rendu disponible pour la première fois sur le marché de l'Union européenne, que ce soit à titre commercial ou gratuit. C'est à ce moment que le fournisseur doit s'assurer de la conformité complète du système.
La « mise en service » correspond au déploiement effectif d'un système d'IA pour son utilisation finale. Cette distinction permet d'adapter les obligations selon que le système est commercialisé par un fournisseur tiers ou développé et déployé en interne par une organisation pour ses propres besoins.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 3 de l'AI Act
Une entreprise française développe un système d'intelligence artificielle destiné à analyser automatiquement les CV reçus pour des postes à pourvoir et à recommander aux recruteurs les candidats les plus pertinents. Ce système utilise des algorithmes d'apprentissage automatique entraînés sur des milliers de CV et de profils d'employés performants.
Au sens de l'article 3, point 1, ce système constitue un « système d'IA » car il répond aux trois critères : il fonctionne de manière automatisée, il dispose d'un certain niveau d'autonomie dans le traitement des données, et il génère des données de sortie (recommandations de candidats) à partir de données d'entrée (CV et descriptions de postes).
L'entreprise qui a développé ce système en vue de le commercialiser auprès d'autres organisations est qualifiée de « fournisseur » au sens de l'article 3, point 3. Elle porte la responsabilité principale de garantir la conformité du système aux exigences de l'AI Act, notamment en réalisant une évaluation des risques, en assurant la qualité et la représentativité des données d'entraînement, et en mettant en place des mesures de transparence.
Les entreprises clientes qui acquièrent et utilisent ce système pour leur propre processus de recrutement sont qualifiées de « déployeurs » au sens de l'article 3, point 4. Elles ont l'obligation de mettre en œuvre une surveillance humaine des décisions du système, d'informer les candidats de l'utilisation d'un système d'IA, et de veiller à ce que le système soit utilisé conformément aux instructions du fournisseur.
En outre, ce système étant utilisé dans le domaine de l'emploi, il est susceptible d'être qualifié de « système d'IA à haut risque » au sens de l'article 3, point 10, et de l'article 6 de l'AI Act. Cette qualification entraîne l'application d'obligations renforcées prévues au Titre III du règlement, notamment en matière de gestion des risques, de documentation technique, de tenue de registres et d'exactitude.
Cet exemple illustre l'importance des définitions de l'article 3 pour déterminer le statut des acteurs, qualifier les systèmes d'IA et identifier les obligations applicables dans une situation concrète.
Articulation avec les autres dispositions de l'AI Act
L'article 3 constitue le socle terminologique de l'ensemble du règlement. Chaque disposition des articles suivants s'appuie sur les définitions posées à l'article 3 pour délimiter son champ d'application et préciser les obligations qu'elle instaure.
L'article 6, qui identifie les systèmes d'IA à haut risque, se réfère directement à la définition de « système d'IA » posée à l'article 3, point 1. De même, les obligations des fournisseurs prévues aux articles 16 et suivants s'appliquent aux « fournisseurs » tels que définis à l'article 3, point 3.
Les définitions de « mise sur le marché » et de « mise en service » structurent l'ensemble du Titre III relatif aux systèmes d'IA à haut risque, en déterminant les moments clés où les obligations de conformité s'appliquent.
L'article 3 doit également être lu en cohérence avec l'article 2, qui définit le champ d'application matériel du règlement, et avec l'article 4, qui précise les notions de culture de l'IA et d'alphabétisation. Ensemble, ces articles liminaires forment le cadre juridique général dans lequel s'inscrivent les obligations substantielles du règlement.
Implications pratiques pour les organisations
Pour les organisations développant ou utilisant des systèmes d'intelligence artificielle, la maîtrise de l'article 3 constitue un préalable indispensable à toute démarche de conformité. Les définitions qu'il contient permettent de répondre aux questions essentielles : mon système relève-t-il de la notion de « système d'IA » ? Quel est mon statut juridique : fournisseur, déployeur, importateur ou distributeur ? Mon système est-il à haut risque ou à usage général ?
Les fournisseurs de systèmes d'IA doivent porter une attention particulière à la définition du « fournisseur » pour déterminer si leurs activités les placent dans cette catégorie et, par conséquent, s'ils sont soumis aux obligations correspondantes. Il est fréquent qu'une même organisation cumule plusieurs qualités : elle peut être fournisseur pour certains systèmes qu'elle commercialise et déployeur pour d'autres systèmes qu'elle utilise en interne.
La distinction entre systèmes d'IA à usage général et systèmes d'IA à haut risque a des conséquences majeures sur le niveau des obligations applicables. Les organisations doivent procéder à une analyse juridique rigoureuse de leurs systèmes au regard des définitions de l'article 3 et des critères de classification de l'article 6.
Les déployeurs, souvent moins familiers des aspects techniques de l'IA, doivent comprendre que leur responsabilité est engagée dès lors qu'ils utilisent un système d'IA dans le cadre de leur activité professionnelle. L'article 3 les identifie comme des acteurs à part entière du dispositif réglementaire, avec des obligations propres en matière de surveillance, de transparence et de gouvernance.
Enfin, les importateurs et distributeurs ont un rôle de vigilance dans la chaîne d'approvisionnement. Les définitions de l'article 3 précisent leur statut et leur confèrent des responsabilités de vérification de la conformité des systèmes d'IA qu'ils mettent à disposition sur le marché européen.
L'article 3 de l'AI Act établit le cadre définitionnel sur lequel repose l'ensemble du dispositif réglementaire européen en matière d'intelligence artificielle. En définissant avec précision ce qu'est un système d'IA, qui sont les acteurs concernés et quelles sont les catégories de systèmes régulées, cet article détermine le champ d'application du règlement et structure les obligations qui en découlent.
La qualité et la clarté de ces définitions sont essentielles pour garantir la sécurité juridique des opérateurs économiques et l'application harmonisée du règlement dans l'ensemble de l'Union européenne. Elles constituent le socle terminologique indispensable à la compréhension et à la mise en œuvre des obligations prévues par l'AI Act.
Pour les organisations, la maîtrise de l'article 3 est un préalable nécessaire à toute démarche de conformité. Elle permet d'identifier son statut juridique, de qualifier ses systèmes d'IA et de déterminer les obligations applicables, condition indispensable pour assurer une conformité effective au règlement européen sur l'intelligence artificielle.