swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

La Commission européenne définit ce qu’elle entend par système d’IA

Michael Montavon, le 17 mars 2025
La Commission euro­péenne a publié en février 2025 ses lignes direc­trices sur la défi­ni­tion des systèmes d’IA. S’articulant autour de sept carac­té­ris­tiques plus ou moins précises, elles visent à distin­guer les systèmes d’IA des logi­ciels traditionnels. 

Selon l’article 3, ch. 1 du Règlement (UE) 2024/​1689 sur l’intelligence arti­fi­cielle (Règlement sur l’IA), un système d’IA corres­pond à « un système auto­ma­tisé qui est conçu pour fonc­tion­ner à diffé­rents niveaux d’autonomie et peut faire preuve d’une capa­cité d’adaptation après son déploie­ment, et qui, pour des objec­tifs expli­cites ou impli­cites, déduit, à partir des entrées qu’il reçoit, la manière de géné­rer des sorties telles que des prédic­tions, du contenu, des recom­man­da­tions ou des déci­sions qui peuvent influen­cer les envi­ron­ne­ments physiques ou virtuels ». 

Le 6 février 2025, la Commission euro­péenne a publié ses lignes direc­trices sur la défi­ni­tion des systèmes d’IA afin de faci­li­ter la compré­hen­sion et l’application du Règlement sur l’IA. En publiant ces lignes direc­trices, la Commission vise à aider les four­nis­seurs, manda­taires, déployeurs, impor­ta­teurs, distri­bu­teurs ou encore fabri­cants de systèmes d’IA, à déter­mi­ner si un logi­ciel entre ou non dans le champ d’application du Règlement euro­péen.  

Sept carac­té­ris­tiques pour une défi­ni­tion 

Selon la Commission euro­péenne, la défi­ni­tion d’un système d’IA au sens du Règlement euro­péen est struc­tu­rée autour de sept carac­té­ris­tiques, chacune contri­buant à préci­ser la portée du texte et les impli­ca­tions régle­men­taires qui en découlent. 

En vertu de la première carac­té­ris­tique, un système d’IA doit être basé sur une machine, c’est-à-dire être fondé sur un ensemble de compo­sants maté­riels (hard­ware) et logi­ciels (soft­ware) qui permettent son fonc­tion­ne­ment. Un tel système repose sur une infra­struc­ture de calcul, incluant proces­seurs, mémoire et dispo­si­tifs de stockage, ainsi que sur des algo­rithmes ou modèles compu­ta­tion­nels qui struc­turent le trai­te­ment de l’information. La Commission euro­péenne précise que cette carac­té­ris­tique inclut non seule­ment les systèmes émer­gents d’informatique quan­tique, mais aussi les systèmes biolo­giques ou orga­niques pour autant qu’ils four­nissent des capa­ci­tés de calcul. Cette approche a pour ambi­tion d’élargir la notion de système d’IA au-delà des dispo­si­tifs infor­ma­tiques tradi­tion­nels en sili­cium, en inté­grant des struc­tures biolo­giques, telles que des réseaux de neurones culti­vés en labo­ra­toire (bio-ordi­na­teurs). 

La deuxième carac­té­ris­tique mise en évidence est l’auto­no­mie, c’est-à-dire la capa­cité d’un système d’IA de fonc­tion­ner avec un degré d’indépendance plus ou moins élevé (« some degree of inde­pen­dance of action »). Selon la Commission euro­péenne, cette carac­té­ris­tique n’im­plique pas néces­sai­re­ment une absence totale de contrôle et/​ou d’intervention humaine. En revanche, elle exclut les systèmes qui sont inca­pables d’opérer en l’absence d’interventions ou d’instructions humaines claires et constantes. La carac­té­ris­tique de l’autonomie se mani­feste par exemple dans des systèmes, tels que les assis­tants vocaux, qui analysent des requêtes et exécutent des actions sans inter­ven­tion expli­cite de l’utilisateur à chaque étape du trai­te­ment. À l’inverse, un conver­tis­seur de devises, qui applique un taux de change fixe à une valeur saisie manuel­le­ment, ne fait preuve d’aucune auto­no­mie et ne corres­pond par consé­quent pas à un système d’IA. Entre les deux extré­mi­tés, il existe une part d’ombre impor­tante que les lignes direc­trices ne permettent pas de dissiper. 

La troi­sième carac­té­ris­tique est la capa­cité d’adaptation après déploie­ment des systèmes d’IA. Cette carac­té­ris­tique fait réfé­rence aux capa­ci­tés d’auto-apprentissage des systèmes d’IA, leur permet­tant de modi­fier leur compor­te­ment durant leur cycle de vie, en inté­grant de nouvelles données et en affi­nant leurs prédic­tions ou en amélio­rant leurs perfor­mances. Se fondant sur le texte de l’article 3, ch. 1 du Règlement selon lequel un système d’IA « peut faire preuve d’une capa­cité d’adaptation après son déploie­ment », la Commission euro­péenne relève qu’il s’agit certes d’une carac­té­ris­tique fréquente des systèmes d’IA, mais qu’elle n’est pas indis­pen­sable. Là aussi, on peut regret­ter le manque d’ap­port tangible des lignes direc­trices de la Commission euro­péenne. À titre d’exemple de capa­cité d’adaptation, on peut citer un moteur de recom­man­da­tion exploi­tant l’historique de vision­nage d’un utili­sa­teur pour ajus­ter ses sugges­tions (p. ex. Netflix et Spotify). À l’inverse, un système de navi­ga­tion GPS qui se contente d’indiquer un itiné­raire sans rééva­lua­tion dyna­mique en fonc­tion du trafic ne présente pas de capa­cité d’adaptation. 

La quatrième carac­té­ris­tique de la défi­ni­tion d’un système d’IA repose sur la présence d’objectifs expli­cites ou impli­cites. Certains systèmes d’IA sont déve­lop­pés avec des fina­li­tés précises, défi­nies dès leur concep­tion, telles que l’optimisation d’un indi­ca­teur de perfor­mance ou la mini­mi­sa­tion d’une erreur. Une fois l’objectif fixé, le système d’IA va ensuite cher­cher le meilleur moyen de l’atteindre. D’autres système d’IA fonc­tionnent selon des objec­tifs qui ne sont pas expli­ci­te­ment formu­lés mais qui émergent de l’analyse des données ou de l’interaction du système avec son envi­ron­ne­ment. À titre d’exemple, un système de recom­man­da­tion de musique ou de films qui propose à l’utilisateur un contenu selon ses goûts peut pour­suivre tant des objec­tifs expli­cites qu’implicites en fonc­tion de son mode opéra­tion­nel.  À l’inverse, un système qui propose un contenu de manière tota­le­ment aléa­toire ne pour­suit aucun objec­tif et ne corres­pond pas à la défi­ni­tion d’un système d’IA. Selon la Commission euro­péenne, les objec­tifs intrin­sèques d’un système d’IA doivent être distin­gués de l’utilisation pour laquelle il est destiné par son utili­sa­teur. 

La cinquième carac­té­ris­tique réside dans la capa­cité d’inférence d’un système d’IA. Il s’agit d’une carac­té­ris­tique essen­tielle qui distingue les systèmes d’IA des des logi­ciels tradi­tion­nels. Un système d’IA doit être capable de produire par lui-même des résul­tats (outputs) à partir des infor­ma­tions qu’il reçoit (inputs). Cette capa­cité repose sur diffé­rentes approches compu­ta­tion­nelles, incluant l’apprentissage super­visé, l’apprentissage non super­visé, l’apprentissage auto-super­visé, l’apprentissage par renfor­ce­ment, le recours aux réseaux de neurones ou encore les approches fondées sur la logique et la connais­sance, qui réalisent des infé­rences à partir d’une connais­sance enco­dée ou d’une repré­sen­ta­tion symbo­lique de la tâche à accom­plir. Cette capa­cité d’inférence peut être illus­trée par un détec­teur de fraude bancaire qui analyse en temps réel des tran­sac­tions et émet des alertes en cas d’activité suspecte. À l’inverse, un tableau de bord affi­chant des tendances de consom­ma­tion sur la base de règles prééta­blies ne saurait être assi­milé à un système d’IA, car il ne procède à aucune analyse auto­nome des données. 

La sixième carac­té­ris­tique mise en évidence est l’influence que les systèmes d’IA exercent sur l’environnement physique ou virtuel en modi­fiant un état de fait grâce à un certain output. On distingue quatre caté­go­ries d’outputs en fonc­tion de l’influence qu’ils vont exer­cer : 

  • les prédic­tions qui consti­tuent des valeurs incon­nues géné­rées à partir de données exis­tantes pour prédire un évène­ment futur (p. ex. la météo ou la consom­ma­tion éner­gé­tique);  
  • les conte­nus qui corres­pondent à la créa­tion origi­nale de textes, d’images, de vidéos ou de musiques ;  
  • les recom­man­da­tions qui corres­pondent à des actions qui sont suggé­rées à un être humain mais qui n’ont pas la capa­cité de s’auto-réaliser sans vali­da­tion humaine. La Commission euro­péenne précise que contrai­re­ment aux systèmes clas­siques basés sur des règles fixes, les systèmes d’IA peuvent s’adapter en temps réel et offrir des recom­man­da­tions person­na­li­sées ; 
  • les déci­sions qui forment l’output le plus impac­tant qu’un système d’IA peut produire. Elles dési­gnent les choix effec­tués de manière auto­nome par le système d’IA et qui vont modi­fier une situa­tion de fait ou de droit via un proces­sus entiè­re­ment auto­ma­tisé, sans inter­ven­tion humaine. La Commission euro­péenne relève que si des recom­man­da­tions sont appli­quées sans vali­da­tion humaine, elles peuvent deve­nir des déci­sions. 

La septième et dernière carac­té­ris­tique d’un système d’IA est sa capa­cité d’interagir avec son envi­ron­ne­ment, que ce soit dans le monde physique ou numé­rique. Un système d’IA n’est pas un outil passif qui se contente de trai­ter de l’information. Il s’agit d’un dispo­si­tif capable d’interagir dyna­mi­que­ment avec son envi­ron­ne­ment. Par exemple, un programme de main­te­nance prédic­tive qui surveille des équi­pe­ments indus­triels et déclenche des inter­ven­tions avant qu’une panne ne survienne, est un cas carac­té­ris­tique d’interaction dyna­mique. A l’inverse, un ther­mo­mètre numé­rique, qui affiche simple­ment une tempé­ra­ture mesu­rée sans déclen­cher d’actions correc­tives, n’entre pas dans le champ d’application de la défi­ni­tion. 

Disons le d’emblée : le concept de système d’IA n’est pas devenu une notion juri­dique déter­mi­née avec la publi­ca­tion de ces lignes direc­trices. En cher­chant à embras­ser un large spectre de tech­no­lo­gies, la défi­ni­tion de ce qu’est un système d’IA souffre de chevau­che­ments (par exemple entre auto­no­mie, adap­ta­bi­lité et capa­cité d’in­fé­rence), d’am­bi­guï­tés et d’une appli­ca­tion volon­tai­re­ment fluc­tuante de certains termes. En l’absence de critères véri­ta­ble­ment distinc­tifs entre système d’IA et logi­ciels tradi­tion­nels, la quali­fi­ca­tion d’un système comme rele­vant du champ d’ap­pli­ca­tion du Règlement sur l’IA pourra sembler parfois oppor­tu­niste, dictée plus par les néces­si­tés régle­men­taires que par une approche tech­nique et concep­tuelle cohérente. 

Malgré tout, ces lignes direc­trices ont l’avan­tage de rappe­ler que tout algo­rithme quel qu’il soit n’est pas de l’IA et ne tombe pas auto­ma­ti­que­ment sous le coup des nombreuses obli­ga­tions énon­cées dans le Règlement euro­péen. Une partie des lignes direc­trices est même consa­crée à la four­ni­ture d’une défi­ni­tion néga­tive d’un système d’IA. Même si cette partie aussi n’est pas tota­le­ment exempte d’ambiguïtés, la Commission euro­péenne semble exclure de la défi­ni­tion d’un système d’IA certains logi­ciels à propos desquels des doutes pouvaient exis­ter. Il en va ainsi notam­ment des systèmes d’optimisation mathé­ma­tique clas­siques, tels que la régres­sion linéaire appli­quée à la modé­li­sa­tion écono­mique, des logi­ciels de gestion de bases de données, qui appliquent des filtres en fonc­tion de critères déter­mi­nés par l’utilisateur, des systèmes heuris­tiques qui appliquent des règles fixes sans adap­ta­tion, comme un programme d’échecs repo­sant exclu­si­ve­ment sur un algo­rithme statique, ou encore des systèmes de prédic­tion simples, qui se contentent d’extrapoler des valeurs futures sur la base d’une moyenne des données passées. Selon la Commission euro­péenne, tous ces systèmes ne présentent pas le degré de sophis­ti­ca­tion requis pour être quali­fiés de système d’IA. 

Et en Suisse ? 

Le légis­la­teur suisse n’ayant pas encore régle­menté l’usage de l’IA, le droit suisse ne connaît logi­que­ment pas de défi­ni­tion d’un système d’IA. Cependant, le Conseil fédé­ral a chargé en date du 12 février 2025 le Département fédé­ral de justice et police de rédi­ger un avant-projet de loi pour la fin de l’année 2026. Selon la volonté du Conseil fédé­ral, cet avant-projet devra suivre une approche secto­rielle permet­tant, pour l’essentiel, à la Suisse de rati­fier la Convention-cadre sur l’intelligence arti­fi­cielle du Conseil de l’Europe (pour une présen­ta­tion plus détaillée de la feuille de route du Conseil fédé­ral : swiss​pri​vacy​.law/​337). La Convention ayant adopté une défi­ni­tion qui corres­pond dans les grandes lignes à celle prévue par le Règlement euro­péen sur l’intelligence arti­fi­cielle, il semble probable que la Confédération n’adoptera pas une défi­ni­tion s’écartant fonda­men­ta­le­ment des lignes direc­trices de la Commission euro­péenne. 

Dans l’attente d’une légis­la­tion suisse en matière d’IA, l’Office fédé­ral de la justice relève dans son analyse juri­dique de base que, dans la mesure où le légis­la­teur suisse privi­lé­gie une approche tech­no­lo­gi­que­ment neutre, le cadre juri­dique actuel semble globa­le­ment capable d’appréhender les états de fait les plus impor­tants impli­quant des systèmes d’IA (p. 19). Bien qu’elle ne puisse être que tempo­raire, cette approche semble, peu ou prou, rejoindre celle du PFPDT. Dans un commu­ni­qué du 9 novembre 2023, il rappe­lait égale­ment que la LPD est direc­te­ment appli­cable à l’IA, mettant en avant les obli­ga­tions auxquelles fabri­cants, four­nis­seurs et exploi­tants de systèmes d’IA sont soumis en termes de fina­lité, de trans­pa­rence, d’analyse des risques ou en présence d’une déci­sion indi­vi­duelle auto­ma­ti­sée. En outre, l’usage de systèmes d’IA reste néces­sai­re­ment enca­dré en droit public par la protec­tion décou­lant des droits fonda­men­taux (inter­dic­tion des discri­mi­na­tions, auto­dé­ter­mi­na­tion [infor­ma­tion­nelle], usage abusif des données person­nelles, droit à un procès équi­table, etc.) et en droit privé par la protec­tion de la person­na­lité garan­tie aux articles 28 ss du Code civil. 

De son côté, le secteur finan­cier semble avoir pris les devants sous l’impulsion de la FINMA. Dans une commu­ni­ca­tion sur la surveillance 08/​2024 publiée à la fin de l’année 2024, elle a formulé diffé­rentes exigences concer­nant l’usage de l’IA. Elle réclame notam­ment la mise en place d’une gouver­nance et l’établissement d’un inven­taire des solu­tions d’IA utili­sées et une clas­si­fi­ca­tion des risques asso­ciés. Comme la FINMA ne four­nit elle-même aucune défi­ni­tion d’un système d’IA, il revient pour le moment à chaque assu­jetti de fixer lui-même sa propre défi­ni­tion. Si cette approche flexible peut certes encou­ra­ger les assu­jet­tis à adap­ter leur poli­tique en matière d’IA à leur contexte spéci­fique, elle risque cepen­dant d’engendrer des diver­gences dans l’in­ter­pré­ta­tion et la mise en œuvre des règles futures. En paral­lèle, le Conseil fédé­ral a demandé au Secrétariat d’État aux ques­tions finan­cières inter­na­tio­nales (SFI) de dres­ser durant l’an­née 2025 un état des lieux des condi­tions juri­diques régis­sant les appli­ca­tions d’IA dans le domaine finan­cier. Cet état des lieux devra présen­ter le cadre juri­dique en vigueur, mettre en avant le poten­tiel d’innovation en tenant compte des risques d’abus et iden­ti­fier les éven­tuels besoins concrets de mesures juri­diques ou régle­men­taires, que ce soit par l’adop­tion de nouvelles normes ou de standards.

Enfin, le règle­ment sur l’IA s’applique aux four­nis­seurs qui déve­loppent et aux déployeurs qui exploitent des systèmes d’IA, qu’ils soient établis dans l’UE ou dans un pays tiers, si leurs systèmes sont mis sur le marché, sont mis en service ou produisent des effets dans l’UE. Pour les entre­prises suisses, cela signi­fie que si les systèmes d’IA qu’elles déve­loppent ou exploitent sont utili­sés dans ou depuis l’UE, ils devront avec quelques nuances se confor­mer aux obli­ga­tions du Règlement selon leur niveau de risque : absence d’obligations pour les systèmes d’IA à risque mini­mal, obli­ga­tions de trans­pa­rence pour les systèmes d’IA à risque limité, évalua­tion de confor­mité pour les systèmes d’IA à haut risque, et inter­dic­tion pour les systèmes d’IA à risque inac­cep­table. De plus, les four­nis­seurs suisses de systèmes d’IA à haut risque ou de modèles d’IA géné­ra­tive devront dési­gner un manda­taire dans l’UE avant leur mise sur le marché euro­péen (plus en détail sur le champ d’ap­pli­ca­tion extra­ter­ri­to­rial du Règlement sur l’IA : https://​swiss​pri​vacy​.law/​3​21/).



Proposition de citation : Michael Montavon, La Commission européenne définit ce qu’elle entend par système d’IA, 17 mars 2025 in www.swissprivacy.law/343


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • US CLOUD Act – un aperçu
  • Dark patterns : wait & see
  • Enquête contre Digitec Galaxus : les recommandations du Préposé sont justifiables, mais sont-elles justes ?
  • SocialPass : les recommandations du PFPDT confirment de graves lacunes
Derniers articles
  • Transparence à géométrie variable : le malaise vaudois
  • Votre carte d’identité comme carte de fidélité RGPD
  • Les limites du secret d’affaires : Analyse des recommandations du PFPDT par le TAF
  • Scraping en masse : la Cour fédérale allemande admet le préjudice indemnisable
Abonnement à notre newsletter
swissprivacy.law