Données personnelles

Registre IA : logiciel de conformité AI Act

Registre IA et AI Act : inventorier vos systèmes d'IA, les classer par niveau de risque et suivre les obligations déployeur vs fournisseur avec le bon logiciel.

Un registre IA est l’inventaire structuré de tous les systèmes d’intelligence artificielle qu’une organisation développe, achète ou déploie, avec pour chacun sa finalité, son niveau de risque au sens de l’AI Act, le rôle joué (fournisseur ou déployeur) et les obligations associées. C’est la première pièce documentaire exigée par une gouvernance IA sérieuse — et le point où un logiciel dédié fait gagner le plus de temps, parce qu’il relie chaque système à ses échéances et à son analyse de risque. Voici comment fonctionne un registre IA, ce qu’un bon outil doit produire, et le comparatif des solutions du marché.

Points clés

  • Le registre IA n’est pas exigé mot pour mot par un article unique, mais découle des obligations de gestion des risques et de documentation technique du règlement (UE) 2024/1689 (AI Act).
  • Chaque système doit être classé par niveau de risque : inacceptable (interdit), haut risque (Annexe III), risque limité (transparence), risque minimal.
  • Les obligations diffèrent radicalement selon que vous êtes fournisseur (celui qui met sur le marché) ou déployeur (celui qui utilise le système).
  • Les échéances s’échelonnent : pratiques interdites depuis février 2025, modèles GPAI depuis août 2025, systèmes à haut risque de l’Annexe III en août 2026.
  • Un registre IA se relie naturellement au registre RGPD : la plupart des systèmes traitent des données personnelles.

Ce que le registre IA doit contenir

L’AI Act ne fournit pas de modèle de registre unique comme l’art. 30 RGPD pour les traitements. Mais l’obligation de fond est identique : vous devez être capable de démontrer, système par système, votre conformité. Un registre IA opérationnel documente au minimum :

  • Identification : nom du système, éditeur ou modèle sous-jacent, version, date de mise en service.
  • Finalité et cas d’usage : à quoi sert le système, sur quelles décisions il pèse.
  • Rôle AI Act : fournisseur, déployeur, importateur, distributeur — le même acteur peut cumuler des rôles selon les systèmes.
  • Classification de risque : inacceptable, haut risque, limité, minimal, avec la justification.
  • Données traitées : catégories, présence de données sensibles au sens de l’art. 9 RGPD, lien vers le traitement du registre RGPD.
  • Mesures : surveillance humaine, documentation technique, information des personnes, journalisation.
  • Échéance applicable et statut de mise en conformité.

Classification par risque : le cœur du registre

La valeur d’un registre IA tient à sa colonne « niveau de risque ». C’est elle qui déclenche les obligations. L’AI Act distingue quatre niveaux.

Niveau de risque Exemples Obligations principales Échéance
Inacceptable Notation sociale, manipulation, reconnaissance émotionnelle au travail Interdiction pure Février 2025
Haut risque (Annexe III) RH/recrutement, scoring de crédit, biométrie, éducation Documentation technique, gestion des risques, surveillance humaine, conformité Août 2026
Risque limité Chatbots, IA générative, deepfakes Transparence (art. 50) : informer l’utilisateur Août 2026
Risque minimal Filtres anti-spam, IA de jeux Aucune obligation spécifique

Le piège classique : croire qu’aucun de vos systèmes n’est à haut risque. Un outil de tri de CV, un score d’attribution de crédit ou un système d’aide à l’orientation scolaire relèvent tous de l’Annexe III. C’est précisément ce que le registre force à trancher, système par système, plutôt que par intuition.

Fournisseur ou déployeur : deux régimes distincts

L’erreur la plus fréquente consiste à confondre les deux rôles. Le fournisseur conçoit ou met sur le marché le système : il porte l’essentiel des obligations (évaluation de conformité, marquage CE, documentation technique). Le déployeur l’utilise sous sa propre autorité : il doit assurer la surveillance humaine, utiliser le système conformément à sa notice, et — s’il traite des données personnelles — mener l’analyse d’impact RGPD quand elle s’impose.

La plupart des PME et ETI françaises sont déployeuses : elles achètent des solutions d’IA. Mais dès que vous entraînez un modèle sur vos données ou que vous adaptez substantiellement un système existant, vous pouvez basculer au statut de fournisseur — avec les obligations lourdes qui l’accompagnent. Le registre doit tracer ce basculement. La CNIL a par ailleurs publié des recommandations pratiques sur l’articulation entre l’IA et le RGPD, qui aident à qualifier ces situations lorsque le système traite des données personnelles.

Comparatif des logiciels de registre IA

L’AI Act étant récent, l’offre logicielle se structure encore. Trois familles coexistent : les modules IA des suites de gouvernance, les plateformes RGPD qui ajoutent un module IA, et les tableurs.

Solution Approche Registre IA + classification Lien avec le registre RGPD Prix indicatif
OneTrust (AI Governance) Module d’une suite GRC Oui, très complet Oui Sur devis (segment enterprise)
Dastra Plateforme RGPD + module IA Oui Oui À partir d’env. 79 €/mois
Data Legal Drive Plateforme RGPD FR Module IA en développement Oui Sur devis
Legiscope Plateforme RGPD + IA, hébergement UE Oui, classification guidée Oui, registres reliés Sur devis
Tableur (Excel) Manuel À construire soi-même Aucun automatisme Gratuit

Le critère décisif n’est pas la longueur de la liste de fonctionnalités mais l’articulation registre IA / registre RGPD. Un système d’IA qui traite des données personnelles génère deux obligations parallèles ; les tenir dans deux outils déconnectés multiplie le travail et les incohérences. Une plateforme européenne qui gère les deux registres au même endroit, comme le propose Legiscope, évite la double saisie et garde la cohérence entre l’analyse d’impact IA et l’AIPD.

Comment démarrer votre registre IA

  1. Recenser sans filtrer : listez tout ce qui embarque de l’IA, y compris les fonctions IA cachées dans vos logiciels métier (CRM, ATS de recrutement, outils marketing).
  2. Qualifier le rôle : pour chaque système, fournisseur ou déployeur ? En cas de doute sur un modèle réentraîné, retenez l’hypothèse la plus exigeante.
  3. Classer le risque : confrontez chaque usage à l’Annexe III et aux pratiques interdites.
  4. Relier aux traitements RGPD : chaque système traitant des données personnelles doit pointer vers son traitement dans le registre RGPD, et vers une AIPD si le profilage ou les décisions automatisées sont en jeu.
  5. Planifier les échéances : datez chaque obligation, en priorité les systèmes à haut risque échéant en août 2026.

Pour une organisation qui doit aussi couvrir le RGPD, la NIS2 et DORA, un registre IA isolé n’a guère de sens : mieux vaut l’intégrer à une gouvernance de conformité unifiée. Pour le socle RGPD lui-même, notre comparatif du meilleur logiciel RGPD reste le point de départ, et le module IA doit s’y greffer sans rupture — voir aussi le logiciel de conformité RGPD + AI Act pour la couverture générale du règlement.

FAQ

Le registre IA est-il obligatoire ?

L’AI Act ne nomme pas un « registre IA » dans un article unique comme le fait l’art. 30 RGPD. Mais les obligations de gestion des risques, de documentation technique et de tenue de logs des systèmes à haut risque rendent l’inventaire indispensable pour démontrer la conformité. En pratique, aucune organisation ne peut prouver le respect de l’AI Act sans un inventaire structuré de ses systèmes.

Quelle différence entre registre IA et registre RGPD ?

Le registre RGPD (art. 30) recense les traitements de données personnelles ; le registre IA recense les systèmes d’IA avec leur niveau de risque. Ils se recoupent largement puisqu’un système d’IA traite souvent des données personnelles. L’idéal est de les tenir dans le même outil pour relier chaque système d’IA au traitement et à l’AIPD correspondants.

Suis-je fournisseur ou déployeur au sens de l’AI Act ?

Vous êtes déployeur si vous utilisez sous votre autorité un système d’IA acheté ou intégré. Vous devenez fournisseur si vous développez le système, le mettez sur le marché sous votre marque, ou le modifiez substantiellement (réentraînement, changement de finalité). Un même acteur peut être déployeur pour certains systèmes et fournisseur pour d’autres.

Quelles sont les échéances de l’AI Act ?

Les pratiques interdites s’appliquent depuis février 2025, les obligations des modèles d’IA à usage général (GPAI) depuis août 2025, et les obligations des systèmes à haut risque de l’Annexe III à compter d’août 2026. Certains systèmes à haut risque intégrés dans des produits réglementés bénéficient d’un délai jusqu’en 2027.

Un tableur suffit-il pour tenir un registre IA ?

Au tout début, pour recenser une poignée de systèmes, un tableur permet de démarrer. Mais il montre vite ses limites : il ne relie pas chaque système d’IA à son traitement RGPD ni à son AIPD, ne suit pas les échéances (notamment l’août 2026 des systèmes à haut risque), et ne conserve aucune trace horodatée de la classification de risque. Or c’est précisément cette traçabilité que l’AI Act exige pour démontrer la conformité. Dès que l’inventaire dépasse quelques systèmes, un outil reliant registre IA et registre RGPD devient nettement plus fiable.

Conclusion

Le registre IA est à l’AI Act ce que le registre des traitements est au RGPD : la pièce maîtresse qui organise toutes les autres obligations. Sa valeur tient à sa colonne « niveau de risque », qui déclenche des régimes très différents selon que vous êtes fournisseur ou déployeur. Le bon logiciel n’est pas celui qui empile les fonctions AI Act, mais celui qui relie proprement votre inventaire IA à votre registre RGPD et à vos AIPD — parce que la quasi-totalité de vos systèmes traitent des données personnelles. Commencez par recenser sans filtrer : c’est l’exercice qui révèle, presque toujours, un ou deux systèmes à haut risque insoupçonnés.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →