Lexique IA & droit.

Service de la Commission européenne créé en 2024, chargé de la mise en œuvre du règlement IA, en particulier pour les modèles d'IA à usage général et les sujets transfrontaliers.

Liste des domaines d'usage qui placent automatiquement un système IA dans la catégorie « haut risque » : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, justice et démocratie.

Cadre permettant à des entreprises de tester un système IA dans des conditions contrôlées, sous la supervision d'une autorité, avant sa mise sur le marché.

Code volontaire élaboré sous l'égide de l'AI Office pour préciser comment les fournisseurs de modèles d'IA à usage général démontrent leur conformité aux obligations du règlement IA.

Personne physique ou morale qui utilise un système d'IA dans le cadre de son activité professionnelle, sous sa propre autorité.

Personne physique ou morale qui développe un système d'IA, ou le fait développer, et le met sur le marché ou le met en service sous son propre nom.

Fundamental Rights Impact Assessment. Évaluation imposée par l'article 27 du règlement IA aux déployeurs publics et à certains déployeurs privés de systèmes IA à haut risque, avant la mise en service.

Événement entraînant ou susceptible d'entraîner un dommage à la santé, à la sécurité, à des biens ou aux droits fondamentaux, lié au fonctionnement d'un système IA à haut risque ou d'un GPAI à risque systémique.

Apposition obligatoire du marquage CE sur les systèmes IA à haut risque mis sur le marché européen, attestant de leur conformité au règlement.

Modèle d'IA capable d'effectuer un large éventail de tâches distinctes, intégrable dans une grande variété de systèmes ou d'applications en aval.

Obligation, prévue notamment à l'article 50, d'informer les personnes physiques qu'elles interagissent avec un système d'IA ou que le contenu qu'elles consultent a été généré ou modifié par une IA.

Catégorie spécifique du règlement IA visant les modèles à usage général dont les capacités, la portée ou l'usage peuvent entraîner des effets négatifs significatifs sur la santé, la sécurité, les droits fondamentaux ou la société.

Exigence de l'EU AI Act selon laquelle les systèmes IA à haut risque doivent être conçus pour permettre à des personnes physiques d'en superviser le fonctionnement et d'intervenir sur leurs sorties.

Au sens de l'EU AI Act, un système automatisé conçu pour fonctionner avec des niveaux variables d'autonomie et qui produit des sorties (prédictions, contenus, recommandations, décisions) influençant des environnements physiques ou numériques.

Catégorie de l'EU AI Act qui regroupe les systèmes IA dont l'usage peut porter une atteinte significative à la santé, à la sécurité ou aux droits fondamentaux des personnes.

Fondement juridique sur lequel repose un traitement de données à caractère personnel. Sans base légale identifiée, un traitement est par défaut illicite.

Décision fondée exclusivement sur un traitement automatisé, y compris du profilage, produisant des effets juridiques ou affectant significativement la personne. Encadrée par l'article 22 du RGPD.

Analyse d'impact relative à la protection des données (article 35 du RGPD), obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes.

Droit, dérivé du RGPD et renforcé par l'EU AI Act, d'obtenir des informations significatives sur la logique sous-jacente à une décision prise avec l'aide d'un système automatisé.

Question de la titularité et de la protection par le droit d'auteur des contenus générés par un système IA, en l'absence d'un auteur humain identifiable.

Principe selon lequel un traitement de données personnelles doit être limité à ce qui est strictement nécessaire au regard des finalités poursuivies (article 5, 1, c du RGPD).

Toute forme de traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels d'une personne physique, notamment pour analyser ou prédire son comportement, ses performances, sa situation économique, ses préférences.

Articulation entre les obligations de secret professionnel (avocat, médecin, banquier, expert-comptable) et l'usage d'outils IA externes susceptibles d'accéder à des informations couvertes par ce secret.

Système IA capable, à partir d'un objectif, de planifier une suite d'actions, d'utiliser des outils externes (recherche web, base de données, e-mail, code) et d'itérer jusqu'à atteindre l'objectif.

Distorsion systématique d'un système IA qui produit, en moyenne, des résultats défavorables ou avantageux pour certains groupes, indépendamment de toute intention de discriminer.

Contenu audio, image ou vidéo généré ou modifié par IA de façon réaliste, susceptible d'induire en erreur sur l'identité ou les propos d'une personne.

Données générées artificiellement (souvent par un modèle) pour reproduire les propriétés statistiques d'un jeu de données réel, sans contenir les enregistrements individuels d'origine.

Représentation vectorielle (suite de nombres) d'un texte, d'une image ou de tout autre contenu, qui permet de mesurer une « proximité sémantique » entre éléments.

Capacité d'un système IA à fournir des explications compréhensibles sur la façon dont il a produit une sortie, qu'il s'agisse d'une décision, d'une prédiction ou d'une recommandation.

Ré-entraînement ciblé d'un modèle pré-existant sur un jeu de données spécifique, pour l'adapter à un domaine, un style ou une tâche.

Production par un modèle d'une réponse plausible mais factuellement fausse : citation inexistante, source inventée, statistique fictive, jurisprudence imaginaire.

Large Language Model. Modèle d'IA entraîné sur de vastes corpus de texte, capable de produire du langage naturel, de répondre à des questions, de résumer, de traduire et de générer du code.

Document standardisé décrivant un modèle d'IA : ses objectifs, ses données d'entraînement, ses performances, ses limites connues, ses usages prévus et ses usages déconseillés.

Technique d'attaque consistant à insérer dans le contexte d'un système IA des instructions cachées qui détournent son comportement.

Architecture qui couple un modèle de langage à une base de connaissances : avant de répondre, le système recherche les passages pertinents dans la base et les injecte dans le contexte du modèle.

Démarche structurée consistant à attaquer délibérément un système IA pour révéler ses failles : biais, fuites de données, détournement, génération de contenus dangereux, vulnérabilités à la prompt injection.

Technique d'alignement d'un modèle de langage par renforcement à partir de préférences humaines : des annotateurs comparent plusieurs sorties et le modèle apprend à privilégier celles préférées.

Document décrivant un système IA dans son ensemble (modèle + garde-fous + interface + politique d'usage + outils intégrés), au-delà du seul modèle sous-jacent.

Technique consistant à insérer dans un contenu généré par IA (texte, image, audio, vidéo) une signature invisible mais détectable, permettant d'en identifier l'origine.

Document interne, court et lisible, qui définit ce qui est autorisé, ce qui ne l'est pas, et ce qui doit être déclaré, en matière d'usage IA dans l'organisation.

Instance interne pluridisciplinaire qui pilote la stratégie IA d'une organisation, arbitre les déploiements sensibles et supervise les risques.

Norme internationale publiée fin 2023 qui définit les exigences pour un système de management de l'IA (AIMS) au sein d'une organisation.

Cadre de gestion des risques IA publié par le NIST américain en 2023, articulé autour de quatre fonctions : Govern, Map, Measure, Manage.

Inventaire interne des systèmes IA déployés ou utilisés par une organisation, avec leurs caractéristiques, leur qualification juridique et les mesures de gouvernance associées.

Usage par les collaborateurs d'outils IA non validés par l'organisation : comptes personnels ChatGPT, extensions navigateur, copilotes installés en local, services SaaS gratuits utilisés à titre professionnel.