L'essentiel en 30 secondes
- Le registre des activités IA documente chaque système d'intelligence artificielle déployé par votre PME : finalité, données traitées, risques et mesures de protection.
- L'obligation découle de l'Article 26 du Règlement (UE) 2024/1689 (AI Act) pour les déployeurs de systèmes d'IA à haut risque.
- Les sanctions maximales atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour la non-conformité aux obligations relatives aux systèmes à haut risque (Art. 99 AI Act).
- Les obligations applicables aux systèmes listés à l'Annexe III deviennent exigibles au 2 août 2026.
- Le registre IA complète — sans s'y substituer — votre registre des traitements RGPD (Art. 30 du Règlement (UE) 2016/679).
- Sources de référence : CNIL, Commission européenne (AI Office), norme ISO/IEC 42001:2023.
1. Qu'est-ce que le registre des activités IA ?
Le registre des activités IA est un document interne qui recense l'intégralité des systèmes d'intelligence artificielle utilisés, intégrés ou déployés par une organisation. Il décrit la finalité de chaque système, sa catégorie de risque, les données mobilisées, ainsi que les mesures de gouvernance et de sécurité mises en place.
L'obligation centrale pour les PME déployeurs figure à l'Article 26 du Règlement (UE) 2024/1689, dit « AI Act ». Ce texte impose aux déployeurs de systèmes d'IA à haut risque de tenir une documentation à jour, accessible aux autorités de surveillance compétentes — en France, la CNIL et, à terme, le coordinateur national désigné par décret [à vérifier].
À cela s'ajoutent les obligations de journalisation prévues à l'Art. 12 AI Act et, pour certains organismes publics ou opérateurs traitant des données sensibles, l'analyse d'impact sur les droits fondamentaux (FRIA) prévue à l'Art. 27 AI Act.
Différence avec le registre des traitements RGPD
Le registre des traitements RGPD, prévu à l'Article 30 du Règlement (UE) 2016/679, recense les traitements de données personnelles. Le registre des activités IA va plus loin : il s'applique aussi à des systèmes ne reposant pas sur des données personnelles, par exemple une IA de maintenance prédictive industrielle ou un modèle d'optimisation logistique.
| Critère | Registre des traitements RGPD (Art. 30) | Registre des activités IA (Art. 26 AI Act) |
|---|---|---|
| Périmètre | Traitements de données personnelles uniquement | Tous systèmes d'IA, avec ou sans données personnelles |
| Responsable | Responsable de traitement / sous-traitant | Déployeur ou fournisseur du système d'IA |
| Contenu minimal | 7 mentions listées à l'Art. 30 §1 RGPD | Documentation technique + journaux + analyse d'impact |
| Rythme de mise à jour | Continu | Continu + revue annuelle recommandée |
| Autorité de contrôle | CNIL | CNIL + coordinateur national AI Act [à vérifier] |
| Sanction maximale | 20 M€ ou 4 % du CA mondial (Art. 83 §5 RGPD) | 15 M€ ou 3 % du CA mondial (Art. 99 §4 AI Act) |
Pour la majorité des PME françaises, les deux registres devront coexister. Un système d'IA de recrutement qui analyse des CV concerne à la fois le RGPD (données personnelles des candidats) et l'AI Act (système à haut risque listé à l'Annexe III, point 4).
2. Obligations légales pour les PME
L'AI Act s'applique à toute PME qui développe, met sur le marché ou déploie un système d'IA dans l'Union européenne. L'effort de conformité dépend du rôle endossé : fournisseur, déployeur, importateur ou distributeur.
Systèmes concernés par le registre obligatoire
L'obligation documentaire au sens de l'Article 26 vise prioritairement les systèmes d'IA à haut risque. L'Annexe III du règlement liste huit domaines :
- Identification biométrique et catégorisation
- Infrastructures critiques (énergie, transport, eau)
- Éducation et formation professionnelle
- Emploi, gestion des travailleurs et accès au travail indépendant
- Accès aux services publics et privés essentiels
- Forces de l'ordre
- Migration, asile et contrôle aux frontières
- Administration de la justice et processus démocratiques
Pour les PME, les cas les plus fréquents relèvent du point 4 (recrutement, évaluation, attribution des tâches) et du point 5 (scoring de crédit, accès à l'assurance).
Calendrier d'application
| Étape | Date | Périmètre |
|---|---|---|
| Pratiques interdites (Art. 5) | 2 février 2025 | Tous opérateurs |
| Modèles d'IA à usage général (GPAI) | 2 août 2025 | Fournisseurs de modèles |
| Systèmes à haut risque (Annexe III) | 2 août 2026 | Déployeurs et fournisseurs PME |
| Applicabilité intégrale | 2 août 2027 | Systèmes intégrés à des produits réglementés (Annexe I) |
Source : Articles 113 et 111 du Règlement (UE) 2024/1689.
Cas particuliers des PME et microentreprises
L'AI Act prévoit des aménagements spécifiques pour les PME et microentreprises (Art. 62) : accès prioritaire aux bacs à sable réglementaires, documentation technique allégée, plafonds de sanctions adaptés. Ces aménagements ne dispensent pas de l'obligation de tenir un registre.
Pour approfondir le périmètre d'application, consultez notre pillar AI Act pour les PME françaises.
Votre PME doit-elle tenir un registre des activités IA ?
Réalisez en 5 minutes un diagnostic gratuit pour identifier vos systèmes d'IA à haut risque et obtenir un modèle de registre adapté à votre secteur.
Lancer mon diagnostic gratuit3. 7 éléments clés à inclure dans le registre
Le registre des activités IA doit, au minimum, documenter sept blocs d'information. Cette structure correspond à la fois aux exigences de l'Art. 26 AI Act et aux bonnes pratiques de la norme ISO/IEC 42001:2023.
| # | Élément | Contenu attendu | Référence |
|---|---|---|---|
| 1 | Finalité du système | Cas d'usage, objectif métier, population concernée | Art. 26 §6 AI Act |
| 2 | Données utilisées | Sources, qualité, biais identifiés, base légale RGPD | Art. 10 AI Act + Art. 6 RGPD |
| 3 | Analyse des risques | Risques pour les droits fondamentaux, gravité, probabilité | Art. 9 + Art. 27 AI Act |
| 4 | Mesures de sécurité | Robustesse, cybersécurité, contrôle humain, journalisation | Art. 14, 15 AI Act |
| 5 | Responsables désignés | DPO, IA Lead, métier, prestataire | Art. 37 RGPD + Art. 26 §2 AI Act |
| 6 | Plan d'audit et de contrôle | Tests périodiques, indicateurs de performance et de dérive | ISO/IEC 42001:2023 §9 |
| 7 | Procédures de mise à jour | Versioning, gestion des incidents, signalements (Art. 73) | Art. 72, 73 AI Act |
Précisions sur l'analyse des risques
L'évaluation d'impact sur les droits fondamentaux (FRIA, Art. 27) est obligatoire pour les déployeurs publics et pour les opérateurs privés utilisant un système à haut risque listé à l'Annexe III, point 5 (b) (scoring de crédit) et point 5 (c) (assurance vie et santé). Elle doit être notifiée à l'autorité de surveillance avant la première utilisation.
Pour les autres systèmes à haut risque, une analyse interne suffit, mais elle doit être documentée et conservée pendant toute la durée d'usage du système, plus dix ans après sa mise hors service (Art. 18 AI Act).
4. Étape par étape : créer votre registre
La construction d'un registre opérationnel suit six étapes. Ce séquencement est cohérent avec la méthodologie ISO/IEC 42001:2023 et les recommandations du guide Cigref de janvier 2025.
- Cartographier les systèmes d'IA en usage. Recenser tous les outils utilisés : SaaS intégrant de l'IA générative, modules d'IA dans vos ERP, prototypes internes. Ne pas oublier les « shadow IA » déployés par des équipes métier sans validation centrale.
- Qualifier le niveau de risque. Confronter chaque système à l'Annexe III de l'AI Act et à la liste des pratiques interdites (Art. 5). En cas de doute, appliquer le principe de prudence et classer le système à haut risque.
- Documenter les données. Pour chaque système, identifier les jeux de données d'entraînement, de validation et de test ; documenter leur provenance, leur qualité, et les biais éventuels (Art. 10 §2 et §3 AI Act).
- Définir les mesures de gouvernance. Désigner un responsable IA, formaliser la procédure de contrôle humain (Art. 14), établir les seuils d'alerte et le plan de réponse aux incidents graves.
- Faire valider par le DPO et la direction. Le registre engage la responsabilité civile et administrative du dirigeant. Une validation formelle, datée et signée, est indispensable.
- Planifier la revue. Mettre en place une revue annuelle minimum, ainsi qu'une revue ad hoc à chaque évolution majeure du système ou de la réglementation.
Cette démarche reste cohérente avec un système de management de l'IA conforme à ISO/IEC 42001:2023 pour les PME.
5. Outils et ressources pour les PME
Plusieurs ressources publiques et privées facilitent la construction du registre. Les PME peuvent les combiner selon leur maturité et leurs moyens.
| Ressource | Type | Usage recommandé |
|---|---|---|
| Fiches pratiques IA de la CNIL | Public, gratuit | Cadrage juridique RGPD-IA, 13 fiches |
| AI Act Service Desk (Commission EU) | Public, gratuit | Questions-réponses opérationnelles |
| Guide AI Act Cigref (janvier 2025) | Privé, gratuit | Référentiel grands comptes adapté ETI |
| Guide Numeum (mars 2025) | Privé, gratuit | Vision éditeurs et intégrateurs |
| Norme ISO/IEC 42001:2023 | Privé, payant | Système de management de l'IA |
| Regulia AI Registry | Privé, freemium | Modèle pré-rempli pour PME françaises |
Le glossaire regulia fournit les définitions juridiques clés (déployeur, fournisseur, système à haut risque, FRIA) en français.
Pour les PME du secteur santé, des outils spécifiques sont publiés par la HAS et l'ANSM. Les opérateurs financiers consulteront en priorité les orientations de l'ACPR.
6. Exemples concrets pour les PME
Les trois scénarios suivants illustrent comment trois PME types peuvent structurer leur registre. Ils ne reflètent pas des cas réels nominatifs mais des configurations courantes observées sur le marché français.
Cas 1 — PME de 50 salariés : IA de présélection de CV
Une entreprise de services utilise un module d'IA intégré à son ATS pour filtrer les candidatures. Ce système relève de l'Annexe III, point 4 (a) : haut risque. Le registre doit inclure : la finalité de présélection, la source des données d'entraînement du fournisseur, l'analyse des biais (notamment de genre), la procédure de contrôle humain par le recruteur, et le mécanisme d'information du candidat (Art. 26 §11 AI Act).
Cas 2 — PME de 150 salariés : moteur de recommandation client
Un site e-commerce utilise un système de recommandation produit. Ce système n'est pas en principe haut risque, mais le RGPD s'applique pleinement (profilage, Art. 22 RGPD). Le registre IA documente la logique de recommandation, le périmètre des données comportementales, l'option d'opposition au profilage, et la politique de transparence affichée à l'utilisateur (Art. 50 AI Act sur la transparence des systèmes d'IA générative et de recommandation).
Cas 3 — PME de 250 salariés : analyse prédictive des ventes
Une PME industrielle utilise un système prédictif pour optimiser ses stocks. Le système ne traite pas de données personnelles, ne relève pas de l'Annexe III, et n'est donc pas haut risque au sens AI Act. Le registre reste recommandé pour des raisons de gouvernance interne, d'auditabilité et de pilotage du risque opérationnel — conformément à ISO/IEC 42001:2023.
7. Audit et sanctions
Le contrôle de la conformité repose sur deux piliers : l'autorité de protection des données (CNIL) pour les volets RGPD, et l'autorité de surveillance du marché AI Act pour les volets règlement IA. En France, la désignation de cette dernière fait l'objet d'un décret d'application [à vérifier].
Échelle des sanctions AI Act (Art. 99)
| Manquement | Plafond | Référence |
|---|---|---|
| Pratique interdite (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99 §3 |
| Non-conformité système haut risque | 15 M€ ou 3 % du CA mondial | Art. 99 §4 |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99 §5 |
Pour les PME et microentreprises, l'Art. 99 §6 prévoit l'application du plus bas des deux plafonds, contrairement au régime général qui retient le plus haut. Cette disposition réduit significativement l'exposition financière d'une PME.
Régime RGPD applicable en parallèle
Lorsque le système d'IA traite des données personnelles, les sanctions RGPD s'ajoutent : jusqu'à 20 millions d'euros ou 4 % du CA mondial annuel (Art. 83 §5 RGPD).
Pour une analyse détaillée des cas et des modalités de cumul des sanctions, consultez notre dossier dédié aux sanctions AI Act pour les PME.
Recommandations pour réduire l'exposition au risque
- Tenir un registre à jour est l'élément le plus simple à objectiver lors d'un contrôle ; son absence est généralement le premier grief retenu.
- Documenter chaque décision de qualification de risque, même négative (« ce système n'est pas haut risque parce que… »).
- Conserver les preuves de formation des collaborateurs à l'IA (obligation d'« AI literacy » prévue à l'Art. 4 AI Act, applicable depuis le 2 février 2025).
Préparez votre registre avec un modèle conforme
Le pack documentaire regulia inclut un modèle de registre des activités IA pré-rempli, conforme à l'Art. 26 AI Act et adapté aux PME françaises.
Recevoir le pack documentaire8. Évolutions prévues en 2027
L'année 2027 marque l'applicabilité intégrale de l'AI Act. Trois évolutions méritent l'attention des PME.
D'abord, les systèmes d'IA intégrés à des produits réglementés par l'Annexe I (dispositifs médicaux, jouets, machines, équipements radio) entrent dans le périmètre des obligations à haut risque (Art. 113 AI Act). Une PME fabricant des dispositifs médicaux logiciels devra donc combiner la conformité MDR/IVDR avec l'AI Act.
Ensuite, les codes de conduite volontaires pour les systèmes à risque modéré, prévus par l'Art. 95, commencent à être adoptés sectoriellement. Les PME éditrices de logiciels métier ont intérêt à s'aligner sur ces codes, qui pourraient devenir des exigences contractuelles dans les marchés publics.
Enfin, la révision triennale de l'Annexe III par la Commission européenne (Art. 7) pourrait étendre la liste des cas d'usage à haut risque. Les obligations documentaires pourraient ainsi s'étendre à de nouveaux secteurs [à vérifier selon les actes délégués à venir].
FAQ
Quelles PME sont concernées par le registre des activités IA ?
Toutes les PME françaises qui déploient un système d'IA listé à l'Annexe III du Règlement (UE) 2024/1689 sont concernées. Les cas les plus fréquents : recrutement automatisé, scoring de crédit, évaluation des collaborateurs, accès aux services essentiels. Une PME de 100 salariés utilisant un outil d'IA pour le scoring de crédit relève bien des obligations de l'Art. 26 AI Act, en complément du registre RGPD (Art. 30 RGPD).
Quelles sont les conséquences d'une non-conformité ?
Les sanctions maximales prévues à l'Art. 99 §4 AI Act atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour les manquements aux obligations relatives aux systèmes à haut risque. Pour les PME, l'Art. 99 §6 prévoit l'application du plafond le plus bas. À cela peuvent s'ajouter les sanctions RGPD (jusqu'à 4 % du CA mondial, Art. 83 §5 RGPD) lorsque des données personnelles sont en jeu. Les exemples de sanctions concrètes seront à suivre via les communiqués officiels de la CNIL et de l'AI Office [à vérifier au fil des décisions publiées].
Comment mettre à jour mon registre ?
Le registre doit être actualisé dès qu'une modification significative survient : nouveau système d'IA, changement de finalité, modification du jeu de données d'entraînement, évolution de la classification de risque. Une revue annuelle minimale est recommandée par la norme ISO/IEC 42001:2023. En cas d'incident grave (Art. 73 AI Act), le registre doit refléter les mesures correctives prises.
Quels documents doivent être conservés ?
Le registre doit contenir : la description fonctionnelle et technique de chaque système, l'analyse de risque, les mesures de protection mises en œuvre, les procédures de contrôle humain, les rapports d'audit, et les preuves de formation des utilisateurs. L'Art. 18 AI Act impose une conservation de dix ans après la mise sur le marché ou la mise en service du système pour les documents techniques.
Où trouver des modèles de registre ?
La CNIL propose des modèles de registre des traitements RGPD sur cnil.fr. Pour le volet IA, regulia met à disposition un modèle pré-rempli avec exemples sectoriels via le pillar AI Act PME et la liste des sources officielles consolidées. Les PME engagées dans une démarche de management de l'IA pourront s'appuyer sur les annexes de la norme ISO/IEC 42001:2023.
Sources officielles
- AI Act Service Desk — Commission européenne
- Texte consolidé du Règlement (UE) 2024/1689 — EUR-Lex
- Fiches pratiques IA de la CNIL
- Norme ISO/IEC 42001:2023 — site ISO officiel
- Texte intégral commenté — artificialintelligenceact.eu
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.