Système d'IA : la définition légale qui déclenche l'IA Act (article 3)
Au sens du règlement (UE) 2024/1689 — l'IA Act —, un système d'IA est un système automatisé, doté d'un certain niveau d'autonomie, capable d'inférer à partir d'entrées la manière de générer des sorties (prédictions, contenus, recommandations, décisions) susceptibles d'influencer son environnement. Cette définition, fixée à l'article 3, point 1) du règlement, est pleinement applicable depuis le 2 février 2025. Elle constitue le véritable garde-barrière du texte : si votre système y répond, vous entrez dans le champ d'application ; sinon, vous en êtes exclu. Décryptage en 7 critères.
L'essentiel en 30 secondes
- Texte de référence : article 3, point 1) du règlement (UE) 2024/1689
- Applicable depuis : 2 février 2025
- 7 éléments cumulatifs à analyser (avec une nuance sur la capacité d'adaptation)
- Critère décisif : la capacité d'inférence
- Sont exclus : tableurs, logiciels à règles fixes, optimisation mathématique simple
- Source officielle : Lignes directrices de la Commission du 29 juillet 2025
La définition officielle de l'article 3, point 1)
L'article 3, point 1) du règlement sur l'IA pose une définition unique, volontairement technologiquement neutre :
« On entend par "système d'IA" un système automatisé qui est conçu pour fonctionner à différents niveaux d'autonomie et peut faire preuve d'une capacité d'adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu'il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels. »
Cette définition n'est pas une formule rhétorique : c'est elle qui détermine si votre solution logicielle tombe dans le champ d'application de l'IA Act et donc si vous devez respecter les interdictions de l'article 5, les obligations applicables aux systèmes à haut risque, ou les exigences de transparence de l'article 50.
Pour aider les fournisseurs et déployeurs à interpréter ce texte, la Commission européenne a publié le 29 juillet 2025 des lignes directrices officielles (non contraignantes, mais à forte valeur interprétative) décomposant cette définition en sept éléments principaux.
Les 7 piliers de la qualification juridique d'un système d'IA
1. Un système automatisé (machine-based)
Le système doit être fondé sur des machines. Concrètement, cela couvre à la fois les composants matériels (processeurs, mémoire, stockage, interfaces réseau) et logiciels (code, applications, modèles).
Point important : la Commission précise que cette notion est technologiquement neutre. Elle couvre l'informatique classique, mais aussi les systèmes d'informatique quantique émergents et même les systèmes biologiques ou organiques dès lors qu'ils fournissent une capacité de calcul. Le critère est fonctionnel, pas matériel.
2. Différents niveaux d'autonomie
Le système doit être conçu pour fonctionner avec un certain degré d'indépendance vis-à-vis de l'intervention humaine. Le considérant 12 du règlement précise que cette autonomie peut aller d'un degré modéré (intervention humaine partielle) à une autonomie complète.
Sont en revanche exclus les outils dont chaque étape doit être actionnée manuellement par un opérateur humain. Un système expert qui produit seul une recommandation à partir d'entrées humaines remplit en revanche cette condition.
💡 À retenir : l'autonomie ne signifie pas « absence totale de supervision ». Elle désigne la capacité à générer une sortie sans qu'un humain dicte explicitement le résultat attendu.
3. Capacité d'adaptation (facultative)
Le règlement évoque la capacité d'un système à « faire preuve d'une capacité d'adaptation après son déploiement ». Cette notion renvoie à l'auto-apprentissage : le système peut modifier son comportement en cours d'utilisation, produisant des sorties différentes à partir d'entrées identiques.
Nuance importante : la Commission précise que cette caractéristique est facultative pour la qualification. Un modèle figé après entraînement (par exemple un classificateur d'images livré tel quel) peut parfaitement être un système d'IA au sens de l'article 3, même s'il ne « réapprend » pas en continu.
4. Objectifs explicites ou implicites
Le système doit poursuivre des objectifs, qu'ils soient :
- Explicites : encodés directement par le développeur (par exemple, « minimiser le taux d'erreur sur tel jeu de données » ou « maximiser le taux de clic »).
- Implicites : déduits de l'interaction du système avec son environnement, ou inférés à partir des données d'entraînement.
La Commission insiste : les objectifs du système peuvent être distincts de sa destination commerciale dans un contexte donné.
5. Capacité d'inférence, le critère discriminant
C'est le cœur de la définition, celui qui distingue véritablement un système d'IA d'un logiciel traditionnel. La capacité d'inférence désigne le processus consistant à dériver des conclusions, des modèles ou des règles à partir d'entrées ou de données.
Le considérant 12 du règlement énumère explicitement les techniques d'inférence couvertes :
- les approches d'apprentissage automatique (supervisé, non supervisé, par renforcement, deep learning) ;
- les approches fondées sur la logique et les connaissances qui font des inférences à partir de connaissances encodées (systèmes experts, ontologies, raisonneurs symboliques).
À l'inverse, les systèmes fondés uniquement sur des règles "Si-Alors" définies par des humains ne sont pas des IA : ils n'inférent rien, ils exécutent. La capacité d'inférence « va au-delà du traitement de données de base en ce qu'elle permet l'apprentissage, le raisonnement ou la modélisation » (considérant 12).
6. Génération de sorties (outputs)
Le système doit produire des sorties qui prennent l'une des quatre formes suivantes :
| Type de sortie | Exemples concrets |
| Prédictions | Score de risque crédit, diagnostic médical, prévision de demande |
| Contenu | Texte, image, son, vidéo générés (IA générative) |
| Recommandations | Suggestion de produits, ressources humaines, films |
| Décisions | Acceptation/refus automatisé, attribution de places, modération de contenu |
Cette typologie est large et couvre la quasi-totalité des cas d'usage de l'IA moderne, du modèle de langage à l'algorithme de recommandation en passant par les systèmes de vision par ordinateur.
7. Influence sur l'environnement physique ou virtuel
Dernier critère : les sorties ne sont pas passives. Elles ont vocation à influencer concrètement leur contexte, que celui-ci soit :
- Physique : un bras robotisé qui déplace un objet, un véhicule autonome qui freine, un thermostat intelligent qui régule une température.
- Virtuel : un flux de données modifié, un contenu généré dans une interface, une décision injectée dans un système d'information.
Ce critère exclut les analyses purement descriptives sans impact opérationnel — mais il faut reconnaître que, dans les faits, la quasi-totalité des sorties IA modernes ont un impact concret quelque part.
Ce qui n'est PAS un système d'IA : les exclusions clés
La Commission insiste sur un point fondamental : la définition ne doit pas être appliquée mécaniquement. Tous les logiciels complexes ne sont pas des IA. Trois grandes familles d'outils restent explicitement hors champ du règlement.
Les logiciels traditionnels à règles fixes
Un programme dont tout le comportement est prédéterminé par des règles "Si-Alors" écrites à la main par des développeurs n'est pas un système d'IA. Exemples :
- un moteur de calcul de paie appliquant la grille fiscale ;
- un outil de validation de formulaire qui vérifie des contraintes (champ obligatoire, format e-mail) ;
- un système de gestion documentaire qui classe selon des règles de nommage explicites.
Ces systèmes n'inférent rien : ils exécutent fidèlement les règles humaines.
Le traitement de données de base
Sont également exclus les outils qui se contentent de manipuler des données sans en tirer de modèles :
- tableurs classiques (Excel, Google Sheets, Numbers) ;
- outils de tri, filtrage et agrégation de bases de données (« trouver les clients ayant acheté en mars ») ;
- statistiques descriptives simples (moyennes, médianes, écarts-types) sans modélisation prédictive.
Même s'ils traitent de gros volumes, ces outils n'ont pas de capacité d'inférence au sens de l'article 3.
L'optimisation mathématique classique
Plus subtil : la Commission précise que les systèmes utilisant la régression linéaire ou logistique pour accélérer une simulation physique (par exemple un modèle de microphysique des nuages en météorologie) ne sont généralement pas des IA, dès lors qu'ils ne font qu'approximer une équation connue sans véritable apprentissage ouvert sur de nouveaux schémas.
Attention toutefois : cette exclusion est nuancée. Un modèle de régression utilisé pour prédire un comportement humain (risque de défaut de paiement, par exemple) sera typiquement qualifié de système d'IA.
⚠️ Vigilance : la frontière est fonctionnelle, pas technologique. Une même technique (régression logistique) peut être qualifiée d'IA dans un contexte (scoring crédit) et exclue dans un autre (optimisation d'une équation physique fermée).
Une vision dynamique : la définition sur tout le cycle de vie
L'IA Act adopte une perspective fondée sur le cycle de vie du système, qui se décompose en deux phases :
- Phase de construction (pré-déploiement) : conception, collecte des données, entraînement, validation.
- Phase d'utilisation (post-déploiement) : inférence sur des données réelles, génération de sorties.
Point crucial souligné par la Commission : les sept éléments de la définition n'ont pas besoin d'être présents en continu dans les deux phases. La capacité d'inférence peut, par exemple, se manifester essentiellement durant la phase de construction (apprentissage des paramètres du modèle) puis être figée durant la phase d'utilisation. Le système reste qualifié d'IA dans les deux cas.
Cette approche dynamique évite que des choix d'architecture (modèle figé vs modèle apprenant en continu) ne permettent de contourner l'application du règlement.
Pourquoi cette qualification est un enjeu majeur de conformité
Identifier correctement si votre outil entre dans la définition d'un système d'IA n'est pas un exercice théorique : c'est la première étape déterminante de toute démarche de conformité.
Si vous tombez dans la définition, vous êtes potentiellement concerné par :
- les interdictions de l'article 5 (notation sociale, manipulation, certaines reconnaissances biométriques…) ;
- les exigences strictes pour les systèmes à haut risque (article 6 et annexe III) : analyse de risques, qualité des données, documentation technique, supervision humaine, marquage CE ;
- les obligations de transparence de l'article 50 (étiquetage des contenus générés, information des utilisateurs interagissant avec un chatbot) ;
- les sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
À l'inverse, si votre système ne répond pas aux critères, il n'est soumis à aucune obligation au titre de l'IA Act, même si d'autres réglementations (RGPD, DSA, droit de la consommation) peuvent évidemment continuer à s'appliquer.
La Commission elle-même reconnaît qu'aucune liste exhaustive de systèmes qualifiés ou non qualifiés ne peut être dressée : chaque outil doit être évalué au cas par cas, à la lumière de son architecture et de ses fonctionnalités spécifiques.
Conclusion : la qualification, premier audit à mener en 2025
Avec l'entrée en application de la définition au 2 février 2025, toute entreprise qui développe, déploie ou intègre des solutions logicielles devrait conduire un inventaire de qualification IA :
- Lister les systèmes logiciels en production.
- Analyser chacun à l'aune des 7 critères de l'article 3.
- Documenter la qualification (et la non-qualification) avec ses justifications.
- Pour les systèmes qualifiés, enchaîner sur l'analyse de niveau de risque.
Cette documentation préalable sera essentielle : en cas de contrôle par les autorités nationales de surveillance, c'est elle qui démontrera la diligence de l'entreprise. La grande majorité des logiciels resteront hors du champ du règlement, mais pour ceux qualifiés d'IA, la conformité n'est plus optionnelle.
FAQ – Définition d'un système d'IA en 4 questions
Un chatbot est-il un système d'IA au sens de l'IA Act ? Oui, dans la quasi-totalité des cas. Un chatbot fondé sur un modèle de langage (LLM) répond aux 7 critères : il est automatisé, autonome, infère des réponses à partir d'un prompt, génère du contenu et influence un environnement virtuel (la conversation). Il est en outre soumis à l'obligation de transparence de l'article 50.
Un tableur Excel avec des macros est-il un système d'IA ? Non. Un tableur, même complexe, qui se contente d'appliquer des formules et des règles définies manuellement par l'utilisateur ne possède pas de capacité d'inférence au sens de l'article 3. Il reste un outil de traitement de données de base, hors du champ du règlement.
Un algorithme de régression linéaire est-il toujours une IA ? Pas nécessairement. S'il sert à approximer une équation physique connue (simulation), il est généralement exclu. S'il sert à prédire un comportement à partir de données (scoring crédit, prédiction de churn), il est qualifié de système d'IA. Le contexte d'usage fait la différence.
Quand la définition de l'article 3 est-elle entrée en application ? Le 2 février 2025, en même temps que les pratiques interdites de l'article 5. Les lignes directrices interprétatives de la Commission ont été publiées le 29 juillet 2025.
Pour aller plus loin
Cet article fait partie de notre guide complet sur l'IA Act qui couvre l'ensemble du règlement (UE) 2024/1689.
Découvrez les autres articles de la série :
- IA Act : objectifs et principes du règlement européen sur l'IA
- Système d'IA : la définition légale qui déclenche l'IA Act (article 3)
- Niveaux de risque IA Act : les 4 catégories et leur régime juridique
- Article 5 de l'IA Act : les 8 pratiques d'IA interdites en Europe
- Acteurs de l'IA Act : fournisseur, déployeur et autres rôles dans la chaîne de valeur
- Sanctions IA Act : amendes et régime de gouvernance européen
- IA Act et innovation : bacs à sable, AI Factories et soutien à l'innovation
Sources officielles :
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
