L'essentiel en 30 secondes - L'AI Act (Règlement (UE) 2024/1689) impose, via son Article 49, l'enregistrement des systèmes d'IA à haut risque dans la base de données européenne avant mise sur le marché. - ISO/IEC 42001:2023 exige, au titre de son système de management de l'IA (AIMS), un inventaire documenté et tenu à jour de tous les systèmes d'IA utilisés ou fournis. - Le registre AIMS interne et l'enregistrement public au titre de l'Art. 49 sont deux objets complémentaires : ne pas les confondre. - Les sanctions financières prévues par l'Article 99 du Règlement (UE) 2024/1689 peuvent atteindre 15 M€ ou 3 % du chiffre d'affaires mondial pour un manquement aux obligations « haut risque ». - Un registre conforme couvre cinq blocs : identification, classification du risque, mesures techniques, gouvernance, cycle de vie.
Un registre AIMS bien tenu n'est pas un classeur poussiéreux. C'est l'épine dorsale documentaire qui permet à une PME française de prouver, en cas de contrôle de la DGCCRF, de la CNIL ou d'un organisme notifié, qu'elle maîtrise ses systèmes d'IA. Ce guide opérationnel détaille la méthode pour le construire, l'aligner sur l'AI Act et sur ISO/IEC 42001, puis le maintenir vivant.
1. Pourquoi un registre AIMS est crucial pour une PME
Trois forces convergent pour rendre le registre incontournable, et aucune n'est facultative.
Une obligation légale précise. L'Article 49 du Règlement (UE) 2024/1689 impose au fournisseur d'un système d'IA à haut risque de l'enregistrer dans la base de données de l'UE avant sa mise sur le marché ou sa mise en service. Le déployeur public, ou agissant pour le compte d'une autorité publique, doit également s'inscrire au registre. Cette obligation déborde sur le registre interne, car il faut alimenter les champs publics avec des données issues d'un inventaire fiable.
Une exigence normative. ISO/IEC 42001:2023, première norme internationale dédiée à l'AI Management System, impose une approche systématique de la documentation. Son Annexe A inclut un contrôle dédié à l'inventaire des systèmes d'IA, et l'évaluation d'impact (AI system impact assessment) repose sur ce même inventaire. Sans registre, pas de certification possible.
Un bouclier face aux sanctions. L'Article 99 du Règlement prévoit une échelle graduée. Manquer aux obligations « haut risque » expose à une amende administrative pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total. Pour une PME, le seuil supérieur en pourcentage est rarement déclencheur, mais le seuil fixe en euros peut être ravageur. Voir notre dossier dédié sanctions AI Act et PME pour une lecture détaillée.
| Source de l'obligation | Référence | Objet | Sanction max |
|---|---|---|---|
| AI Act | Art. 49 | Enregistrement haut risque base UE | Art. 99 : 15 M€ / 3 % CA |
| AI Act | Art. 11 & Annexe IV | Documentation technique | Art. 99 : 15 M€ / 3 % CA |
| AI Act | Art. 12 | Tenue des journaux (logs) | Art. 99 : 15 M€ / 3 % CA |
| ISO/IEC 42001 | Annexe A (contrôles inventaire) | Registre interne AIMS | Refus / suspension de certification |
| RGPD | Art. 30 | Registre des traitements (lien IA/données) | Art. 83 : 10 M€ / 2 % CA |
2. Les cinq éléments-clés d'un registre AIMS conforme
Un registre qui se contente de lister des noms d'outils ne tient pas un audit. Il doit articuler cinq blocs cohérents.
- Identité du système. Nom commercial, identifiant interne unique, version, fournisseur (si externe), responsable produit, date de mise en service, périmètre d'usage (départements, processus métier concernés).
- Classification du risque. Catégorie au sens de l'AI Act (interdit / haut risque / risque limité / risque minimal), justification documentée, référence à l'Annexe III si haut risque, statut « modèle d'IA à usage général » le cas échéant.
- Mesures techniques et organisationnelles. Contrôles de qualité des données, gestion des biais, mesures de cybersécurité (alignées ISO/IEC 27001:2022), supervision humaine effective, traçabilité (logs Art. 12).
- Gouvernance. Propriétaire métier, responsable conformité IA, DPO, comité d'éthique le cas échéant, processus de décision en cas de modification substantielle.
- Cycle de vie. Date du dernier audit, prochaine échéance, historique des versions, incidents enregistrés, date prévisionnelle de retrait.
Ces cinq blocs ne sont pas un gabarit imposé par le législateur. C'est la synthèse opérationnelle des exigences croisées de l'AI Act, d'ISO 42001 et du RGPD que regulia recommande à ses clients PME.
3. Étape 1 : identifier les systèmes d'IA à enregistrer
Avant de construire le registre, il faut savoir quoi y mettre. Cette étape de cadrage prend rarement plus de cinq jours-homme dans une PME de moins de 250 salariés, à condition d'être structurée.
Cartographier sans angle mort. Beaucoup d'IA se cachent dans des outils SaaS « classiques » : module de scoring d'un CRM, filtre anti-spam avancé, détection de fraude dans un logiciel comptable, chatbot intégré au support client, analyse prédictive RH. Il faut interroger chaque direction métier, pas seulement la DSI.
Évaluer le risque selon le bon référentiel. La CNIL publie depuis 2024 des fiches pratiques IA qui aident à qualifier un cas d'usage. Pour la qualification AI Act, l'Annexe III énumère huit catégories de haut risque : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice/démocratie.
Prioriser pragmatiquement. Un système classé haut risque doit entrer immédiatement dans le registre. Les systèmes de risque limité (interfaces conversationnelles, contenu généré) y entrent ensuite, car ils déclenchent des obligations de transparence. Les systèmes à risque minimal y figurent par hygiène documentaire, mais avec un niveau d'exigence allégé.
| Cas d'usage typique PME | Catégorie probable | Inscription registre interne | Enregistrement base UE (Art. 49) |
|---|---|---|---|
| Tri automatique de CV | Haut risque (Annexe III, §4) | Oui | Oui si fournisseur ou déployeur public |
| Chatbot service client | Risque limité (Art. 50) | Oui | Non |
| Outil prédiction de churn | Risque minimal | Oui (allégé) | Non |
| Reconnaissance biométrique accès locaux | Haut risque ou interdit selon usage | Oui | Oui si haut risque |
| Génération assistée de contenu marketing | Risque limité + obligation marquage IA | Oui | Non |
4. Étape 2 : structurer le registre selon ISO/IEC 42001
ISO/IEC 42001:2023 ne prescrit pas un format unique. Elle exige une information documentée maîtrisée, accessible, protégée et révisée. À partir de cette exigence, une PME a deux options réalistes.
Option tableur structuré. Un fichier Excel, LibreOffice Calc ou Google Sheets suffit pour un parc inférieur à vingt systèmes. Les colonnes obligatoires couvrent les cinq blocs vus en section 2. La gouvernance des accès passe par les droits du système de fichiers ou de l'espace partagé. Avantage : coût nul, mise en place rapide. Inconvénient : versioning manuel, risque d'erreur humaine.
Option logiciel GRC ou outil dédié. Plusieurs éditeurs proposent désormais des modules « AI inventory » intégrés à une plateforme GRC. Cette option devient pertinente au-delà de vingt systèmes, ou en cas d'objectif de certification ISO 42001 dans les douze mois.
Dans les deux cas, la cohérence avec votre SMSI ISO 27001 est essentielle. Un registre AIMS qui ignore les références aux mesures de sécurité du SMSI produit une double documentation, qui dérive en quelques mois.
Champs minimaux recommandés :
- Identifiant unique (ex. AIMS-2026-014)
- Nom du système et version
- Fournisseur (interne / éditeur externe)
- Finalité métier en une phrase
- Catégorie de risque AI Act + justification
- Données traitées (catégories RGPD, données spéciales Art. 9)
- Mesures de sécurité (référence au contrôle ISO 27001 correspondant)
- Responsable produit + responsable conformité
- Date de mise en service / dernière revue / prochaine revue
- Lien vers la documentation technique (Art. 11 AI Act)
- Lien vers l'évaluation d'impact (DPIA RGPD + AI system impact assessment ISO 42001)
Gagnez trois mois sur la mise en place de votre registre AIMS
Le pack documentaire regulia inclut un modèle de registre AIMS pré-rempli, aligné sur l'AI Act et ISO/IEC 42001, ainsi que la matrice de classification de risque associée. Conçu spécifiquement pour les PME françaises.
Recevoir le pack documentaire5. Étape 3 : intégrer les exigences spécifiques de l'AI Act
Le registre interne ne se substitue pas aux obligations externes du Règlement. Il les alimente.
Documentation technique (Article 11). Pour chaque système haut risque, l'Annexe IV liste le contenu attendu : description générale, processus de développement, surveillance, performances, mesures de gestion des risques. Le registre AIMS doit pointer vers ce dossier, sans le dupliquer.
Tenue des journaux (Article 12). Les systèmes haut risque doivent enregistrer automatiquement leurs événements pendant toute leur durée d'utilisation. Le registre indique la politique de rétention, le lieu de stockage et la responsabilité opérationnelle.
Enregistrement à la base UE (Article 49). Le fournisseur d'un système haut risque inscrit le système avant mise sur le marché. Le déployeur, lorsqu'il est une autorité publique ou agit pour son compte, s'enregistre lui aussi avant utilisation. Les informations publiques exigées figurent à l'Annexe VIII du Règlement.
Signalement des incidents graves (Article 73). Le fournisseur notifie les incidents graves à l'autorité de surveillance du marché de l'État membre concerné, dans des délais courts. Le registre AIMS doit prévoir un champ « incidents » alimenté en temps réel et un workflow d'escalade documenté.
Transparence (Article 50). Pour les systèmes de risque limité (chatbots, contenu généré, deepfakes), l'utilisateur final doit être informé qu'il interagit avec une IA. Le registre tracera la formulation des avis utilisateur déployés.
| Article AI Act | Obligation | Lien avec le registre AIMS |
|---|---|---|
| Art. 9 | Système de gestion des risques | Champ « mesures de gestion des risques » + lien vers la procédure |
| Art. 10 | Données et gouvernance des données | Champ « catégories de données » et qualité |
| Art. 11 | Documentation technique | Lien vers dossier Annexe IV |
| Art. 12 | Tenue des journaux | Politique de rétention, lieu de stockage |
| Art. 14 | Contrôle humain | Description du dispositif de supervision |
| Art. 49 | Enregistrement base UE | Référence ID base UE après inscription |
| Art. 50 | Obligations de transparence | Texte de l'avis utilisateur déployé |
| Art. 73 | Incidents graves | Workflow d'escalade et journal incidents |
6. Outils et ressources utiles aux PME
L'écosystème mûrit vite. Une PME n'a pas besoin d'investir dans une plateforme à six chiffres pour démarrer correctement.
AI Act Service Desk de la Commission européenne. Le service ai-act-service-desk.ec.europa.eu offre une porte d'entrée officielle pour les questions d'interprétation. La base de données UE pour l'enregistrement Art. 49 sera l'outil opérationnel principal des fournisseurs concernés, son interface évoluant à mesure de l'application du Règlement [à vérifier — calendrier précis de mise à disposition].
Texte consolidé. Le site artificialintelligenceact.eu propose une version consolidée commodément navigable, utile pour vérifier rapidement le contenu d'un article.
Fiches pratiques CNIL. La CNIL a publié en 2024 puis 2025 une série de fiches pratiques IA, qui couvrent la base légale, l'analyse d'impact, la sécurité, les droits des personnes. Pertinentes pour articuler RGPD et AI Act.
Guides interprofessionnels. Le Cigref (grandes entreprises) et Numeum (éditeurs et ESN) ont chacun publié en 2025 un guide AI Act qui éclaire les pratiques attendues. Ils ne remplacent pas la lecture du Règlement, mais ils accélèrent la compréhension métier.
Normes ISO. ISO/IEC 42001:2023 (AIMS), ISO/IEC 23894:2023 (risk management dédié à l'IA), ISO/IEC 27001:2022 (sécurité de l'information) constituent le socle normatif cohérent. Voir notre glossaire pour les correspondances.
7. Maintenir le registre vivant : revues et mises à jour
Un registre figé après son lancement perd toute valeur probante en six mois. Quatre cadences à instituer.
Revue trimestrielle. Vérification de l'exactitude des champs, validation des responsables, contrôle des dates d'audit. Une heure par trimestre, animée par le responsable conformité IA, suffit pour un parc de quinze systèmes.
Mise à jour événementielle. Toute modification substantielle d'un système haut risque (changement de finalité, modification du modèle sous-jacent, extension de périmètre) déclenche une révision immédiate de l'entrée, avant déploiement.
Audit annuel interne. Revue complète, croisée avec la documentation technique Article 11, les journaux Article 12, les incidents enregistrés. Le rapport d'audit alimente la revue de direction ISO 42001.
Audit externe en cas de certification. Pour les PME engagées dans une certification ISO 42001, l'organisme certificateur vérifiera la complétude du registre. Préparer ce point en amont évite des écarts mineurs récurrents.
Un point souvent négligé : la formation du personnel. L'Article 4 du Règlement impose la maîtrise de l'IA (AI literacy) pour le personnel concerné. Le registre peut intégrer un champ indiquant les formations associées à chaque système.
8. Bonnes pratiques pour PME : ce qui fait la différence
Trois ans d'accompagnement de PME françaises montrent des écarts récurrents entre un registre administré « pour la forme » et un registre qui tient un contrôle.
Brancher le registre à la politique de sécurité. Chaque entrée doit renvoyer aux mesures techniques du SMSI ISO 27001. Cela évite que la sécurité IA vive en silo et garantit la cohérence en cas d'audit conjoint.
Impliquer le DPO dès la conception du registre. Le registre AIMS et le registre des traitements RGPD (Article 30) partagent des informations sur les données, leurs finalités, leurs destinataires. Une vue unifiée prévient les contradictions documentaires entre les deux registres.
Tester l'efficacité des mesures, pas seulement leur existence. Lister une mesure de contrôle humain n'a aucune valeur si personne n'a vérifié qu'elle fonctionne. Une fois par an, simuler un cas où l'IA produit un résultat incorrect et observer si le dispositif de supervision réagit comme prévu.
Documenter le « pourquoi », pas seulement le « quoi ». Pour la classification du risque, expliquer en deux lignes pourquoi le système rentre dans telle catégorie. En cas de contrôle, ce raisonnement écrit pèse davantage qu'une simple case cochée.
Anticiper la fin de vie. Prévoir dans le registre une procédure de retrait : désactivation, conservation des journaux pour la durée de rétention applicable, notification aux personnes concernées si nécessaire.
| Mauvaise pratique fréquente | Conséquence en audit | Correction |
|---|---|---|
| Champ « classification risque » sans justification écrite | Écart majeur | Ajouter une cellule « justification » obligatoire |
| Registre tenu uniquement par la DSI | Angle mort métier | Co-responsabilité DSI + métier + conformité |
| Mise à jour ad hoc sans cadence | Décalages > 6 mois | Imposer revue trimestrielle agendée |
| Absence de lien avec le registre RGPD Art. 30 | Risque de contradiction | Champ croisé « réf. registre RGPD » |
| Pas de journal des incidents | Manquement Art. 73 | Workflow et registre incidents dédié |
Auditez votre registre AIMS en 20 minutes
regulia met à disposition une checklist auto-évaluation alignée AI Act + ISO/IEC 42001 pour identifier les écarts les plus fréquents avant un contrôle. Idéal pour les PME en préparation de certification ou de mise en conformité.
Demander la checklist d'auditFAQ
Q : Quels systèmes d'IA doivent être enregistrés selon l'AI Act ?
L'Article 49 du Règlement (UE) 2024/1689 impose l'enregistrement dans la base de données de l'UE des systèmes d'IA à haut risque visés à l'Annexe III, ainsi que de leurs fournisseurs et, dans certains cas, de leurs déployeurs publics. Les PME doivent d'abord cartographier leurs systèmes d'IA, puis qualifier chacun d'eux à l'aide de l'Annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice) et de l'Article 6 sur la classification.
Q : Quelles sont les conséquences d'un registre AIMS incomplet ?
L'Article 99 du Règlement prévoit pour un manquement aux obligations applicables aux systèmes haut risque une sanction pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. La fourniture d'informations inexactes aux autorités peut entraîner jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires. Le seuil de 35 millions d'euros ou 7 % concerne les pratiques d'IA interdites (Art. 5), pas les manquements documentaires classiques.
Q : Comment articuler le registre AIMS avec ISO/IEC 42001 ?
ISO/IEC 42001:2023 exige un système de management documenté. Le registre AIMS en est l'artefact central. Pour articuler les deux référentiels, intégrez à chaque entrée du registre une référence aux articles applicables de l'AI Act (Art. 9, 10, 11, 12, 14, 49, 50, 73) et aux contrôles d'Annexe A de l'ISO 42001 mobilisés. Cela permet de répondre aux deux référentiels avec un seul outil et de préparer une certification ISO 42001 sans dupliquer la documentation.
Q : Quels outils gratuits une PME peut-elle utiliser ?
La Commission européenne met à disposition l'AI Act Service Desk (ai-act-service-desk.ec.europa.eu) pour les questions d'interprétation, ainsi que la base de données de l'UE pour l'enregistrement Article 49. Un tableur structuré (Excel, LibreOffice) reste suffisant pour un parc inférieur à vingt systèmes. Les fiches pratiques de la CNIL et le texte consolidé sur artificialintelligenceact.eu complètent l'outillage de base. Voir notre page sources officielles pour la liste complète.
Q : À quelle fréquence doit-on mettre à jour le registre AIMS ?
Trois cadences se cumulent. Mise à jour événementielle dès qu'un système subit une modification substantielle, conformément aux obligations de l'AI Act. Revue trimestrielle légère pour valider responsables et dates. Audit annuel complet, croisé avec la documentation technique Article 11 et les journaux Article 12. ISO/IEC 42001 ne fixe pas de cadence chiffrée, mais sa logique d'amélioration continue impose une revue régulière.
Sources officielles
- Règlement (UE) 2024/1689 (AI Act), version officielle : eur-lex.europa.eu — CELEX:32024R1689 [à vérifier — URL exacte de l'identifiant CELEX dans le brief]
- Commission européenne — AI Act Service Desk : ai-act-service-desk.ec.europa.eu
- CNIL — Intelligence artificielle : cnil.fr/fr/loi-sur-l-intelligence-artificielle et fiches pratiques IA : cnil.fr/fr/les-fiches-pratiques-ia
- Texte consolidé navigable : artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system : iso.org/standard/79198.html [à vérifier — n° de standard exact lié à 42001]
- ISO/IEC 23894:2023 — Risk management for AI
- ISO/IEC 27001:2022 — Information security management
Pour approfondir : pillar AI Act pour les PME françaises, dossier sanctions et amendes, guide ISO/IEC 42001 pour PME, glossaire, sources officielles.
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.