Quelles sont les sanctions pour non-conformité ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires mondial, comme prévu à l'article 83 de l'AI Act. Des mesures coercitives comme l'interdiction de mise sur le marché peuvent également être appliquées.

Article 49 AI Act : enregistrement dans la base de données UE pour les PME

Q: Quels sont les délais pour s'inscrire dans la base de données ?

Les fournisseurs d'IA doivent s'inscrire dans les 6 mois pour les systèmes d'IA de haut risque et dans les 12 mois pour les autres cas, après leur mise sur le marché. Ces délais sont fixés par l'article 49(4) de l'AI Act.

Q: Dois-je m'inscrire si je suis une PME française ?

Oui, si vous développez, commercialisez ou utilisez un système d'IA de haut risque. L'article 49 s'applique à tous les fournisseurs d'IA, indépendamment de leur taille ou de leur localisation.

Q: Comment accéder au service desk européen ?

Vous pouvez accéder au service desk européen via https://ai-act-service-desk.ec.europa.eu. C'est la plateforme officielle pour l'enregistrement et la gestion des informations sur les systèmes d'IA.

Q: Quelles informations dois-je fournir pour m'inscrire ?

Vous devez fournir une description détaillée de votre système d'IA, son usage prévu, les résultats de l'évaluation des risques, et la documentation technique. Les détails sont précisés à l'article 49(2) de l'AI Act.

TL;DR

L'essentiel en 30 secondes - L'Article 49 du Règlement (UE) 2024/1689 (AI Act) impose l'enregistrement des systèmes d'IA à haut risque dans la base de données UE avant leur mise sur le marché. - La base de données est gérée par la Commission européenne et accessible via le service desk officiel. - L'obligation pèse principalement sur les fournisseurs (providers), et dans certains cas sur les déployeurs publics (Art. 49(3)). - Les informations à fournir sont listées à l'Annexe VIII de l'AI Act : identité, description du système, finalité, statut sur le marché. - L'enregistrement devient obligatoire le 2 août 2026 pour les systèmes à haut risque listés à l'Annexe III. - Le non-respect expose à des sanctions pouvant atteindre 15 millions d'euros ou 3% du chiffre d'affaires mondial (Art. 99 AI Act).

L'enregistrement dans la base de données UE n'est pas une formalité administrative. C'est la pierre angulaire du dispositif de transparence voulu par le législateur européen. Pour les PME françaises, c'est aussi le premier point de contrôle visible par les autorités. Cet article détaille qui doit s'enregistrer, comment, dans quels délais, et comment s'y préparer.

1. Qu'est-ce que l'Article 49 de l'AI Act ?

L'Article 49 du Règlement (UE) 2024/1689 crée une obligation d'enregistrement public des systèmes d'IA à haut risque. Il s'agit du pendant transparence du dispositif de conformité.

Base juridique. L'Article 49 s'inscrit dans le Chapitre III, Section 4 du Règlement, dédié aux autorités notifiantes et organismes notifiés, ainsi qu'à l'enregistrement. Il fonctionne en tandem avec l'Article 71, qui crée la base de données UE proprement dite.

Objectif du législateur. La Commission européenne poursuit trois buts opérationnels :

Assurer la traçabilité des systèmes d'IA à haut risque sur le marché européen.
Permettre aux autorités de surveillance du marché (en France, la DGCCRF, l'ACPR, la HAS selon les secteurs) d'identifier les acteurs concernés.
Offrir au public une information sur les systèmes d'IA qui affectent leurs droits fondamentaux.

Portée matérielle. L'enregistrement vise principalement les systèmes d'IA à haut risque listés à l'Annexe III du Règlement. Cela inclut notamment l'IA utilisée dans le recrutement, l'évaluation du crédit, l'éducation, ou les services essentiels privés et publics.

Pour comprendre comment ce dispositif s'articule avec l'ensemble des obligations PME, consultez notre guide général AI Act pour PME françaises.

2. Qui doit s'inscrire ?

L'Article 49 distingue plusieurs catégories d'acteurs, avec des obligations différenciées. La confusion entre ces rôles est l'erreur la plus fréquente en PME.

Acteur	Définition	Obligation d'enregistrement
Fournisseur (provider)	Personne qui développe ou fait développer un système d'IA et le met sur le marché sous son nom	Oui, avant mise sur le marché (Art. 49(1))
Déployeur public	Autorité publique, institution UE ou organe utilisant un système d'IA à haut risque	Oui pour Annexe III (Art. 49(3))
Déployeur privé	Entreprise utilisant un système d'IA à haut risque	Non, sauf cas spécifiques
Importateur	Personne établie dans l'UE qui met sur le marché un système d'IA d'un fournisseur tiers	Vérification que le fournisseur s'est enregistré
Distributeur	Tout autre acteur de la chaîne d'approvisionnement	Pas d'obligation directe

Cas particulier des PME fournisseurs. Si votre PME développe un logiciel intégrant un système d'IA classé haut risque (par exemple un outil de tri de CV vendu à des employeurs), vous êtes fournisseur au sens de l'Article 3(3). L'enregistrement vous incombe.

Cas particulier des PME déployeurs privés. Si vous utilisez un outil d'IA à haut risque acheté à un éditeur tiers, vous n'avez pas à vous enregistrer dans la base UE. Vous restez cependant soumis aux obligations de l'Article 26 (gouvernance, supervision humaine).

Exemptions. L'Article 49(2) prévoit que les systèmes utilisés dans certains contextes de répression pénale ou de migration peuvent être enregistrés dans une section non publique de la base, sur décision de l'autorité compétente.

3. Quelles informations fournir ?

Le contenu de l'enregistrement est détaillé à l'Annexe VIII du Règlement. La liste est exhaustive et opposable.

Section A — informations à fournir par le fournisseur :

Nom, adresse et coordonnées du fournisseur.
Le cas échéant, nom et coordonnées du représentant autorisé.
Nom commercial du système d'IA, et toute référence supplémentaire d'identification.
Description de la finalité prévue (intended purpose).
Statut du système (sur le marché, en service, retiré, rappelé).
Type, numéro et date d'expiration du certificat délivré par l'organisme notifié, le cas échéant.
Copie scannée du certificat.
États membres dans lesquels le système est mis sur le marché.
Copie de la déclaration UE de conformité (Art. 47).
Instructions d'utilisation, en format électronique.
URL pour informations supplémentaires (optionnel).

Niveau de granularité attendu. La description de la finalité prévue doit être suffisamment précise pour qu'un tiers comprenne le périmètre d'usage. Une formulation vague type « optimisation des ressources humaines » ne suffit pas. Préférez « tri automatisé de candidatures sur la base de l'adéquation déclarée au poste, sans décision automatisée finale ».

Mises à jour. L'Article 49(4) impose une mise à jour sans délai des informations en cas de changement substantiel. Un changement de finalité, un retrait du marché, ou la modification du certificat de conformité déclenchent l'obligation.

Vous ne savez pas si votre IA relève de l'Annexe III ?

regulia propose un pack documentaire incluant la grille de classification, le formulaire d'enregistrement pré-rempli, et la trame de déclaration UE de conformité. Conçu pour PME françaises 10-250 salariés.

Demander le pack Article 49

4. Comment s'inscrire concrètement ?

L'enregistrement s'effectue exclusivement par voie électronique, via l'interface mise à disposition par la Commission européenne.

Étape 1 — Préparer son dossier. Avant toute connexion, rassemblez la documentation technique requise par l'Article 11 et l'Annexe IV : description du système, données d'entraînement et de test, méthodes de surveillance après commercialisation, évaluation des risques.

Étape 2 — Identification du responsable. Désignez une personne physique référente au sein de votre PME. Pour les fournisseurs hors UE, la désignation d'un représentant autorisé établi dans l'Union est obligatoire (Art. 22).

Étape 3 — Accès à la plateforme. L'enregistrement se fait via le service desk officiel de la Commission. L'authentification utilise le système EU Login.

Étape 4 — Saisie des informations. Le formulaire reprend les rubriques de l'Annexe VIII. Chaque champ obligatoire doit être renseigné. Les pièces jointes (déclaration de conformité, certificat) sont uploadées au format PDF.

Étape 5 — Validation. Une fois soumis, l'enregistrement génère un identifiant unique. Cet identifiant doit figurer sur la documentation accompagnant le système, conformément à l'Article 16.

Coût. L'enregistrement dans la base de données UE est gratuit. Les coûts éventuels concernent l'évaluation de conformité par un organisme notifié, pour les systèmes qui en relèvent (Annexe III points 1.a et certains usages biométriques).

5. Délais d'enregistrement

L'application de l'Article 49 suit le calendrier général d'entrée en vigueur du Règlement. Les dates ci-dessous sont à retenir.

Date	Événement	Conséquence opérationnelle
1er août 2024	Entrée en vigueur du Règlement	Début du compte à rebours
2 février 2025	Interdictions Article 5 applicables	Pratiques prohibées : retrait immédiat
2 août 2025	Obligations GPAI applicables	Modèles d'IA à usage général : transparence
2 août 2026	Régime haut risque Annexe III applicable	Enregistrement Art. 49 obligatoire
2 août 2027	Annexe I (produits réglementés) applicable	Extension aux IA intégrées dans produits

Délai d'enregistrement avant mise sur le marché. L'Article 49(1) exige l'enregistrement avant la mise sur le marché ou la mise en service. Il ne s'agit pas d'un délai post-commercialisation. Tout système mis sur le marché après le 2 août 2026 doit être enregistré au préalable.

Régime transitoire pour les systèmes déjà en service. Les systèmes d'IA à haut risque mis sur le marché avant le 2 août 2026 et qui font l'objet de modifications significatives de leur conception après cette date sont soumis aux obligations complètes du Règlement, y compris l'enregistrement (Art. 111).

Système d'IA des autorités publiques. Une dérogation existe : les systèmes déjà en service au sein des autorités publiques à la date du 2 août 2026 doivent se conformer au plus tard le 2 août 2030 (Art. 111(2)).

6. Conséquences du non-respect

Le non-enregistrement constitue un manquement aux obligations de l'AI Act et expose à des sanctions financières et opérationnelles substantielles.

Sanctions financières. L'Article 99 du Règlement fixe trois niveaux d'amendes administratives :

Type d'infraction	Plafond	Article concerné
Pratiques interdites (Art. 5)	35 M€ ou 7% CA mondial	Art. 99(3)
Non-respect des obligations (dont Art. 49)	15 M€ ou 3% CA mondial	Art. 99(4)
Information incorrecte aux autorités	7,5 M€ ou 1% CA mondial	Art. 99(5)

Pour les PME, l'Article 99(6) prévoit que le montant retenu est le plus faible des deux (montant fixe ou pourcentage). Cette adaptation ne supprime pas la sanction, elle la plafonne.

Pour une analyse complète du régime de sanctions, consultez notre article dédié : Sanctions et amendes AI Act pour PME.

Mesures coercitives non financières. L'autorité de surveillance du marché peut, en vertu de l'Article 79 :

Exiger la mise en conformité dans un délai défini.
Suspendre la mise à disposition du système.
Ordonner le retrait du marché.
Procéder au rappel des systèmes déjà déployés.

Impact réputationnel. La base de données UE étant publique, l'absence d'enregistrement d'un système connu pour être présent sur le marché est immédiatement visible. Cette visibilité peut entraîner des pertes de marché, notamment dans les appels d'offres publics où la conformité AI Act est désormais une condition courante.

Responsabilité contractuelle. En B2B, les clauses de conformité réglementaire deviennent standard. Un défaut d'enregistrement peut constituer un manquement contractuel ouvrant droit à résiliation ou à indemnisation.

7. Guide pratique pour les PME

Voici la séquence opérationnelle recommandée par regulia, adaptée aux contraintes des PME 10-250 salariés.

Étape 1 — Cartographier vos systèmes d'IA. Listez tous les systèmes d'IA développés, intégrés ou utilisés par votre entreprise. Pour chacun, identifiez votre rôle : fournisseur, déployeur, importateur, distributeur.

Étape 2 — Classifier selon l'Annexe III. Pour chaque système où vous êtes fournisseur, vérifiez s'il relève d'un des huit domaines de l'Annexe III :

Biométrie.
Infrastructures critiques.
Éducation et formation professionnelle.
Emploi, gestion de la main-d'œuvre, accès au travail indépendant.
Accès aux services privés essentiels et publics (crédit, assurance santé, aides sociales).
Application de la loi.
Migration, asile, contrôle aux frontières.
Administration de la justice et processus démocratiques.

Étape 3 — Réunir la documentation Annexe VIII. Si vous êtes fournisseur d'un système Annexe III, constituez le dossier d'enregistrement. Le glossaire AI Act précise les termes techniques utilisés.

Étape 4 — Désigner un responsable AI Act. Pour les PME sans DPO, cette fonction peut être cumulée avec celle de RSSI ou de responsable qualité. Pour les PME ayant un DPO, la coordination RGPD-AI Act est essentielle.

Étape 5 — S'inscrire via le service desk. Une fois le dossier complet, procédez à l'enregistrement effectif. Conservez l'accusé de réception et l'identifiant unique.

Étape 6 — Mettre en place la surveillance. L'Article 72 impose un système de surveillance après commercialisation. Documentez les incidents, les performances réelles, et les retours utilisateurs.

Étape 7 — Réviser annuellement. Programmez une revue annuelle pour vérifier que les informations enregistrées correspondent toujours à la réalité du système.

Besoin d'un accompagnement structuré ?

Le pack regulia inclut la grille de classification Annexe III, le modèle de déclaration de conformité, et le formulaire d'enregistrement Article 49 commenté. Conçu par des juristes spécialisés en droit du numérique.

Recevoir le pack documentaire

8. Articulation avec les autres obligations AI Act

L'enregistrement Article 49 n'est qu'une étape dans la conformité globale. Voici les obligations connexes auxquelles il renvoie.

Obligation	Article	Lien avec l'Art. 49
Documentation technique	Art. 11 + Annexe IV	Préalable à l'enregistrement
Évaluation de conformité	Art. 43	Génère le certificat à joindre
Déclaration UE de conformité	Art. 47	Pièce obligatoire de l'enregistrement
Marquage CE	Art. 48	Atteste la conformité visible
Surveillance après commercialisation	Art. 72	Déclenche les mises à jour
Signalement d'incidents graves	Art. 73	Peut modifier le statut enregistré

Cohérence avec le RGPD. Si votre système traite des données personnelles, l'enregistrement AI Act ne dispense pas de l'AIPD (Article 35 RGPD). Les deux dispositifs coexistent. La CNIL le rappelle dans ses fiches pratiques IA.

Cohérence avec ISO/IEC 42001. La norme ISO/IEC 42001:2023 sur le management de l'IA inclut des exigences documentaires compatibles avec l'enregistrement. Une PME certifiée 42001 dispose déjà d'une grande partie du contenu requis.

9. Ressources et outils utiles

Plateformes officielles :

Service desk AI Act de la Commission : enregistrement, FAQ, accompagnement.
Texte consolidé sur EUR-Lex : version officielle du Règlement.
CNIL — dossier IA : articulation RGPD et AI Act.
artificialintelligenceact.eu : texte consolidé navigable.

Documents regulia :

Pillar AI Act PME France : panorama complet.
Sanctions et amendes AI Act : régime de l'Article 99.
Glossaire AI Act : définitions opérationnelles.
Sources officielles : bibliothèque de références.

FAQ

Quels sont les délais pour s'inscrire dans la base de données UE ?

L'enregistrement doit intervenir avant la mise sur le marché ou la mise en service du système d'IA à haut risque, conformément à l'Article 49(1). L'obligation devient effective le 2 août 2026 pour les systèmes relevant de l'Annexe III. Pour les systèmes déjà en service avant cette date dans les autorités publiques, un délai jusqu'au 2 août 2030 est prévu par l'Article 111(2).

Quelles sont les sanctions pour défaut d'enregistrement ?

Le non-respect des obligations de l'Article 49 expose à une amende pouvant atteindre 15 millions d'euros ou 3% du chiffre d'affaires mondial annuel, selon le montant le plus élevé (Art. 99(4)). Pour les PME, l'Article 99(6) retient le montant le plus faible des deux. S'ajoutent les mesures coercitives prévues par l'Article 79 : retrait du marché, suspension, rappel.

Dois-je m'inscrire si je suis une PME française qui utilise un outil d'IA acheté à un tiers ?

Non, si vous êtes uniquement déployeur privé. L'obligation d'enregistrement Article 49 pèse sur le fournisseur (provider) du système, c'est-à-dire celui qui le développe et le met sur le marché sous son nom. En revanche, vous restez soumis aux obligations de l'Article 26 (gouvernance, supervision humaine, AIPD si données personnelles).

Comment accéder au service desk européen pour s'inscrire ?

L'accès se fait via https://ai-act-service-desk.ec.europa.eu. L'authentification utilise le système EU Login. Vous devez préalablement disposer d'un compte EU Login pour votre entreprise et avoir désigné un représentant autorisé si votre siège est hors UE.

Quelles informations dois-je fournir pour m'inscrire ?

L'Annexe VIII du Règlement liste les informations exhaustives à fournir : identité et coordonnées du fournisseur, nom commercial du système, description de la finalité prévue, statut sur le marché, copie du certificat de l'organisme notifié le cas échéant, copie de la déclaration UE de conformité, États membres concernés, instructions d'utilisation en format électronique. Toute modification substantielle déclenche une obligation de mise à jour sans délai (Art. 49(4)).

Sources officielles

Règlement (UE) 2024/1689 du 13 juin 2024 — texte sur EUR-Lex
Commission européenne — AI Act Service Desk
CNIL — dossier AI Act et fiches pratiques IA
AI Act consolidé navigable — artificialintelligenceact.eu
ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
Cigref — Guide AI Act janvier 2025
Numeum — Guide AI Act mars 2025

Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.