Registre IA & haut risque
Registre des systèmes IA
à haut risque : qui doit s'enregistrer ?
L'IA Act crée une base de données européenne recensant les systèmes d'IA à haut risque. Beaucoup de dirigeants de PME se demandent s'ils doivent y inscrire leurs outils IA. La réponse est le plus souvent non — mais une bonne pratique s'impose à la place.
Un registre européen existe, mais il ne concerne pas tout le monde
L'IA Act (règlement UE 2024/1689) prévoit, à ses articles 49 et 71, une base de données européenne dans laquelle certains systèmes d'IA à haut risque doivent être enregistrés avant leur mise sur le marché ou leur mise en service. C'est un outil de transparence et de traçabilité au niveau européen.
Mais cette obligation d'enregistrement pèse principalement sur deux catégories d'acteurs : les fournisseurs de systèmes d'IA à haut risque (ceux qui les développent et les mettent sur le marché), et les déployeurs qui sont des organismes publics ou des entités agissant en leur nom. Ce sont eux qui portent la responsabilité de l'inscription dans la base de données européenne.
Pour comprendre la distinction entre fournisseur et déployeur, et savoir dans quel cas votre entreprise se situe, notre guide IA Act pour les PME détaille les usages les plus courants. Pour le cadre général du texte — catégories de risque, calendrier, sanctions — voir IA Act : suis-je concerné ?
Votre PME utilise un outil du marché ? Pas d'enregistrement européen à prévoir
La grande majorité des PME sont des « déployeurs » au sens de l'IA Act : elles utilisent un outil IA déjà existant sur le marché (un logiciel de tri de CV, un outil de scoring, une solution RH) plutôt que de le développer elles-mêmes. Dans cette configuration, il n'existe pas d'obligation générale d'enregistrer votre entreprise ou votre usage dans la base de données européenne — cette démarche reste, pour l'essentiel, l'affaire du fournisseur de l'outil et, le cas échéant, des organismes publics qui le déploient.
Cela ne veut pas dire qu'il n'y a rien à faire. La bonne pratique recommandée consiste à tenir un inventaire interne des outils IA utilisés par votre entreprise : quel outil, fourni par quel éditeur, pour quel usage, avec quel niveau de risque estimé. Ce document interne n'est pas la base européenne, mais il vous permet de garder une vision claire de vos usages IA et de réagir rapidement si un outil change de statut ou de niveau de risque.
- ✓ Nom de l'outil et de son éditeur ;
- ✓ Usage réel dans votre entreprise (recrutement, relation client, scoring...) ;
- ✓ Niveau de risque estimé (minimal, limité, ou potentiellement élevé).
Cet inventaire s'articule naturellement avec votre registre des traitements RGPD (article 30) : les deux documents recensent vos outils et vos usages de données, et gagnent à être tenus ensemble plutôt qu'en silos séparés.
Vous ne savez pas si vos outils IA doivent figurer dans un registre ?
Un DPO externalisé VIGIL peut cartographier vos outils IA et vous dire précisément ce qui relève de l'inventaire interne, du registre des traitements, ou d'aucune formalité. Voir aussi nos formules d'accompagnement.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.