Le registre des systèmes IA — inventaire et classification de risque conformément à l'AI Act.
Le registre des systèmes IA est l'inventaire structuré, tenu à jour et opposable, de tous les systèmes d'intelligence artificielle utilisés par une organisation, qu'ils soient développés en interne, achetés à un fournisseur, ou intégrés dans un outil SaaS. Il constitue la pièce maîtresse de la gouvernance IA et la première pièce demandée par une autorité de contrôle en cas d'audit.
Pour les systèmes haut risque au sens de l'annexe III du règlement européen sur l'IA, la tenue du registre est obligatoire (articles 12 et 26 de l'AI Act). Pour les autres systèmes, elle n'est pas formellement imposée mais est devenue un standard de bonne gouvernance.
Au-delà de la conformité réglementaire, le registre des systèmes IA répond à un besoin opérationnel concret : une organisation ne peut pas gouverner ce qu'elle n'a pas inventorié. Sur une ETI typique, la cartographie initiale identifie habituellement entre 15 et 50 systèmes IA, dont la moitié échappe à toute connaissance de la DSI ou de la direction juridique avant la démarche.
Un registre des systèmes IA conforme aux exigences AI Act et utile opérationnellement comporte onze familles d'informations par système inventorié :
| Champ | Contenu attendu |
|---|---|
| Identification | Nom du système, version, date de mise en service, identifiant interne |
| Fournisseur | Raison sociale, localisation, contrat de référence, contact technique |
| Description | Finalité du système, cas d'usage, périmètre fonctionnel, utilisateurs cibles |
| Qualification AI Act | Catégorie (interdit / haut risque / transparence / risque minimal), référence à l'annexe applicable |
| Base légale RGPD | Si traitement de données personnelles : article 6 applicable, mentions article 9 si données sensibles |
| Données traitées | Catégories de données, source, fréquence de mise à jour, durée de conservation |
| Localisation | Pays d'hébergement, transferts internationaux, instruments d'encadrement (DPF, CCT, etc.) |
| Gouvernance interne | Référent métier, responsable technique, modalités de supervision humaine |
| Évaluations | Date de qualification, dates des revues, AIPD réalisée si applicable, évaluation de biais |
| Risques identifiés | Risques techniques, juridiques, réputationnels, sociaux ; mesures de mitigation |
| Incidents | Historique des incidents, signalements, mesures correctives apportées |
Pour les systèmes haut risque, des champs additionnels sont requis (documentation technique annexe IV, journalisation des évènements, plan de gestion des risques). Pour les systèmes de catégorie « risque minimal », un sous-ensemble simplifié suffit.
Trois approches outillage sont utilisées en pratique, selon la maturité et la taille de l'organisation :
Excel ou Google Sheets avec colonnes prédéfinies. Convient aux PME et au démarrage. Avantages : démarrage immédiat, coût nul, modifications libres. Inconvénients : pas de workflow, collaboration limitée, traçabilité faible. Acceptable pour 1 à 15 systèmes.
Intégration au système GRC (Governance, Risk, Compliance) de l'organisation : OneTrust, BigID, Witness, ServiceNow GRC, ou modules équivalents. Convient aux ETI et grands groupes qui disposent déjà d'un outil GRC. Mutualisation avec RGPD et conformité.
Plateformes spécifiquement conçues pour la gouvernance IA, émergentes depuis 2024 : Credo AI, Holistic AI, Trustible, etc. Convient aux organisations à fort volume de systèmes IA ou à exposition réglementaire forte (haut risque AI Act, secteurs régulés).
Quel que soit l'outil, le facteur clé de succès est la discipline d'actualisation continue : un registre figé après initialisation perd toute valeur. La tenue à jour doit être intégrée aux processus d'achat IT, de revue projet, et au mandat du comité IA.
Le registre des systèmes IA cohabite avec d'autres registres préexistants. L'articulation doit être réfléchie pour éviter doublons et incohérences :
L'initialisation d'un registre IA suit une démarche en quatre étapes :
Confidentiel par défaut. Le registre des systèmes IA est un document interne, communicable à l'autorité de contrôle sur demande, mais non publié. Pour les systèmes utilisés en relation avec le public (chatbot client, système de scoring proposé à des particuliers), des extraits peuvent être rendus accessibles dans la documentation produit ou la politique de confidentialité.
Tous les systèmes utilisant de l'intelligence artificielle, indépendamment de leur catégorie de risque. Cela inclut les outils transverses (ChatGPT, Claude, Copilot Microsoft 365), les modules IA intégrés à des SaaS métier (CRM, ATS, GED), les modèles développés en interne, et les agents construits sur API. Une PME peut découvrir 10 à 20 systèmes ; une ETI 30 à 80.
Oui. La doctrine émergente considère que tout outil intégrant des fonctions IA, même comme composant secondaire d'un produit SaaS classique, doit être inscrit au registre. La granularité peut être adaptée : un système peut être documenté par sa fonction IA principale (« moteur de recommandation produit dans le CRM X »), sans dupliquer l'inventaire d'usage de l'outil global.
En continu pour les ajouts et retraits. Revue formelle au moins trimestrielle par le comité IA. Audit annuel de cohérence (tous les systèmes inventoriés existent toujours, tous les systèmes existants sont inventoriés). Mise à jour systématique en cas d'évolution majeure (changement de fournisseur, élargissement du périmètre, nouvel usage).
Pour une PME (cartographie 10-15 systèmes) : 5 000 à 12 000 € HT en mission dédiée. Pour une ETI (30-50 systèmes) : 15 000 à 35 000 € HT. La démarche est généralement intégrée dans une mission plus large de mise en conformité AI Act ou de gouvernance IA. Voir AI Act entreprise et Offres.
Parlons de votre projet
Échangez avec un dirigeant Expert IA pour structurer votre projet d'intelligence artificielle — diagnostic du contexte, identification des cas d'usage prioritaires, cadrage de la démarche.