La Commission européenne publie ses lignes directrices sur la définition des systèmes d’IA

Publication de la Commission européenne du 6 février 2025

Quelques jours après l’entrée en application des premières obligations du Règlement 2024/1689 sur l’intelligence artificielle (ci-après, le « RIA »), la Commission européenne a publié le 6 février 2025 ses lignes directrices relatives à la définition de « système d’IA » au sens de ce texte. Ce document vise à clarifier l’application de l’article 3(1) du RIA, qui pose une définition structurante pour déterminer quels systèmes relèvent du champ d’application du Règlement. La tâche de la Commission européenne n’était pas aisée, au regard de la technicité de la définition utilisée par le RIA et alors que l’expression « intelligence artificielle » est apposée de plus en plus librement sur un nombre impressionnant de produits et services auxquels on ne prêtait pas nécessairement, jusqu’alors, une intelligence particulière.

Une définition structurée en sept critères

L’article 3(1) du RIA définit un système d’IA comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».

Cette définition repose sur sept critères, abordés un à un par la Commission européenne dans ses lignes directrices :

1. Système automatisé : Ce critère exclut les processus purement humains ou mécaniques sans intervention informatique. Un système d’IA doit en effet reposer sur des composants matériels et logiciels intégrés qui permettent l’exécution d’opérations informatiques. La Commission insiste sur la grande variété de systèmes informatisés visés, en prenant pour exemple les ordinateurs quantiques ainsi que tous systèmes biologiques ou organiques, « tant qu’ils fournissent une capacité de calcul ».

2. Niveau d’autonomie variable : Un système d’IA doit fonctionner avec un certain degré d’autonomie, qui s’apprécie en particulier au regard de ses capacités de déduction (critère 5). En pratique, le considérant 12 du RIA précise qu’il s’suffit d’un « certain degré d’indépendance dans [l’action du système d’IA] par rapport à une ingérence humaine et de capacités à fonctionner sans intervention humaine ». Le degré d’autonomie des systèmes peut donc être très variable en pratique. La Commission confirme toutefois que les systèmes qui sont conçus pour fonctionner uniquement avec une participation et une intervention humaine, de manière directe (ex : contrôle manuel) ou indirecte (ex : contrôles basés sur des systèmes automatisés qui permettent aux humains de déléguer ou de superviser les opérations du système) sont exclus de la définition (et donc du champ d’application du RIA). La Commission note également que le niveau d’autonomie peut déclencher des obligations spécifiques au sein du RIA en matière de gestion des risques et de supervision humaine.

3. Adaptabilité après déploiement : Ce critère est le seul à n’être pas obligatoire, puisque l’article 3(1) dispose que les systèmes d’IA « peuvent » faire preuve d’une capacité d’adaptation. La capacité d’adaptation fait référence aux systèmes d’IA conçus pour évoluer après leur mise en service, par auto-apprentissage à partir des nouvelles données collectées.

4. Objectifs explicites ou implicites : Les systèmes d’IA doivent être développés pour atteindre des objectifs définis de manière explicite ou implicite. Selon la Commission, les objectifs explicites sont ceux clairement énoncés et directement encodés par le développeur dans le système, tandis que les objectifs implicites peuvent être déduits du comportement ou des hypothèses qui sous-tendent le système. La Commission relève que les objectifs sont définis de manière interne au système (par exemple, répondre à des questions portant sur un ensemble de documents avec précision) et ne doivent pas être confondus avec la destination du système, qui est définie de manière externe dans un contexte spécifique (par exemple, aider un département au sein d’une entreprise déployant le système d’IA à être plus productif).

5. Capacité d’inférence : La capacité d’inférence est le critère le plus important. Le considérant 12 du RIA explique que « [la] capacité d’inférence concerne le processus consistant à générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions, qui peuvent influencer l’environnement physique ou virtuel, et la capacité des systèmes d’IA à inférer des modèles ou des algorithmes, ou les deux, à partir d’entrées ou de données. » Selon la Commission européenne, la génération de sorties concerne principalement la phase d’utilisation des systèmes d’IA tandis que l’inférence de modèles ou d’algorithmes concerne la phase de développement.

La Commission rappelle également que l’article 3(1) vise plus précisément la capacité d’inférer « la manière de générer. . . ». Pour l’organisme européen, cette précision est très importante et fait référence à l’utilisation, pendant la phase de développement, de « techniques d’IA » spécifiques permettant une telle inférence. Ces techniques incluent notamment (i) les différentes méthodes de machine learning (apprentissage supervisé, non supervisé, par renforcement, deep learning, etc.) ; (ii) les approches fondées sur la logique et les connaissances (modèles qui n’apprennent pas à partir de données brutes mais « raisonnent » à partir de règles, de faits et de relations entre les différents éléments, encodés par les développeurs), ainsi que les techniques hybrides.

6. Génération de sorties : Les systèmes d’IA doivent pouvoir générer des résultats appartenant à l’une des quatre catégories listées par l’article 3(1) :

• Prédictions : Il s’agit de la catégorie de résultats la plus commune des systèmes d’IA, correspondant à la capacité d’estimer une valeur inconnue à partir des données d’entrées fournies (valeurs connues). La Commission rappelle que les logiciels standards sont utilisés depuis très longtemps pour faire des prédictions, mais que ce qui distingue les système d’IA est qu’ils sont notamment capables de générer des prédictions précises dans des environnements très dynamiques et complexes (ex : les systèmes d’IA embarqués dans les voitures autonomes).

• Recommandations : Cela peut par exemple être des recommandations personnalisées en fonction des préférences et du comportement des utilisateurs (ex. recommandations de films sur une plateforme de streaming). Ici aussi, ce qui distingue les systèmes d’IA des logiciels standards est leur capacité d’exploiter des données à grande échelle, de s’adapter en temps réel, de fournir des recommandations hautement personnalisées, etc.

• Contenus : Création de textes, images ou vidéos basées sur des algorithmes génératifs (ex. chatbots conversationnels, IA générative d’images).

• Décisions automatisées : Exécution d’actions spécifiques en réponse à certaines conditions (ex. validation de prêts bancaires, détection de fraudes en temps réel). Il peut être rappelé ici que, lorsqu’elles sont entièrement automatisées et concerne une personne physique, ce type de décisions sont soumises aux dispositions spécifiques de l’article 22 du RGPD.

7. Influence sur l’environnement : La Commission ne donne pas beaucoup de détail sur ce dernier critère, se contentant de noter que les systèmes d’IA ne sont pas « passifs » et que l’influence d’un système d’IA peut s’exercer à la fois sur des objets tangibles (ex : le bras d’un robot) et sur des environnements virtuels. Cela ne devrait toutefois pas permettre de régler toutes les questions qui se poseront concernant ce critère, notamment sur ce qui distingue les systèmes d’IA des logiciels standards sur ce point.

Différenciation avec les logiciels traditionnels

Les lignes directrices insistent sur la distinction entre systèmes d’IA et logiciels conventionnels, en fournissant plusieurs exemples. Ces illustrations sont très importantes car, en se fondant seulement sur les critères rappelés ci-dessus, il peut rester difficile de fixer la limite entre un logiciel conventionnel extrêmement performant et un « système d’IA » – seul ce dernier étant soumis aux dispositions du Règlement européen.

En principe, un logiciel traditionnel exécute des instructions définies de manière statique, souvent sans capacité d’apprentissage ni de modification en fonction des données entrantes. Par exemple, une feuille de calcul effectue des calculs prédéfinis selon des formules fixes, un moteur de recherche restitue des résultats selon des critères d’indexation établis à l’avance, et un algorithme de tri classe des données selon des règles fixes. Ces systèmes sont fondamentalement déterministes et ne disposent pas des capacités intrinsèques aux systèmes d’IA décrites ci-avant.

La Commission note que certains logiciels conventionnels peuvent être dotés d’une capacité d’inférence, sans pour autant entrer dans le champ d’application de la définition des systèmes d’IA en raison de leur capacité limitée à analyser des modèles et à ajuster leurs résultats de manière autonome. La Commission donne plusieurs exemples détaillés pour illustrer son propos :

• Les systèmes d’amélioration de l’optimisation mathématique : La Commission vise notamment des systèmes utilisant des techniques d’apprentissage pour améliorer les performances de calcul, optimiser la gestion de ressources, ou améliorer l’efficacité d’algorithmes préexistants. Quand bien même ces systèmes peuvent incorporer des fonctionnalités « d’ajustement automatiques », la Commission considère qu’ils ne constituent pas un « système d’IA » dès lors qu’ils ne font qu’améliorer les performances de modèles préexistants, au lieu, par exemple, de permettre l’adaptation de ces modèles « de manière intelligente ».

• Les traitements de données basiques : Il s’agit par exemple des systèmes de gestion de base de données permettant de trier ou filtrer des données sur la base de critères spécifiques ou encore des logiciels de visualisation de données. Ces systèmes permettent de faire différentes opérations sur les données préexistantes, sans pour autant apprendre et raisonner à partir de ces données, qu’ils se contentent de présenter de manière informative.

• Les systèmes basés sur l’heuristique classique : La Commission note qu’une différence importante entre ces systèmes et les modèles d’apprentissage automatique modernes est que les systèmes basés sur l’heuristique classique appliquent des règles ou des algorithmes prédéfinis pour dériver des solutions, sans ajuster leurs modèles en fonction des relations entrée-sortie.

• Les systèmes de prédiction simples : La Commission donne plusieurs exemples de systèmes automatisés établissant des prédictions sur la base de règles d’apprentissage statistiques basiques. Selon les lignes directrices, ces systèmes « simples » ne relèvent pas de la définition de système d’IA en raison de leurs « performances » moindres.

Ces exemples pourront constituer une première base d’analyse. L’on perçoit toutefois à la lecture des lignes directrices, et en particulier des exemples fournis par la Commission, que la frontière entre logiciel conventionnel et système d’IA est loin d’être claire. La haute technicité du sujet lié aux critères parfois imprécis mis en avant par la Commission (notamment la référence à l’absence d’adaptation des modèles « de manière intelligente » dans le premier exemple ci-dessus, ou aux niveaux de « performance » moindres des systèmes de prédiction simples) ne permet malheureusement pas de disposer d’une grille d’analyse véritablement simple et fiable. Des analyses approfondies au cas par cas resteront toujours indispensables dans de nombreux cas, mais elles pourraient donner lieu à des divergences d’appréciation et donc à des conclusions différentes sur l’application du RIA à certains systèmes.es sur l’application du RIA à certains systèmes.