.svg)
.svg)
.svg)
.svg)
La plupart des entreprises utilisent déjà bien plus d'IA qu'elles ne le pensent. ChatGPT ouvert par un commercial, une fonction d'IA activée dans un logiciel de paie, un assistant intégré à la messagerie. Sans inventaire, impossible de savoir ce qui tourne, sur quelles données, et avec quels risques.
Le registre des systèmes d'IA répond à ce problème. Ce n'est pas une formalité administrative de plus. C'est la base de toute gouvernance IA sérieuse, et le premier document qu'un auditeur ou un régulateur demandera.
Voici ce qu'il doit contenir, qui doit le tenir, et un modèle prêt à remplir.
Un registre des systèmes d'IA est un inventaire centralisé de tous les outils d'intelligence artificielle utilisés dans l'entreprise. C'est l'équivalent du registre des traitements du RGPD, appliqué à l'IA. Il documente chaque système, son fournisseur, sa finalité et son niveau de risque.
Avant de le construire, il faut comprendre à quoi il sert et ce que la loi exige réellement.
Si vous tenez déjà un registre des traitements pour le RGPD, vous connaissez le principe. Le registre des systèmes d'IA suit la même logique, appliquée aux outils d'intelligence artificielle. Il centralise, pour chaque système, qui l'utilise, pour quoi, sur quelles données et avec quel niveau de contrôle humain.
Son intérêt premier n'est pas réglementaire, il est opérationnel. On ne pilote pas ce qu'on ne mesure pas. Sans registre, une direction n'a aucune vue d'ensemble de ses usages IA, ni des risques associés. Avec lui, elle peut arbitrer, prioriser et sécuriser. C'est la première brique d'une vraie gouvernance de l'IA.
Distinguons deux choses. L'IA Act, adopté à l'été 2024, impose aux fournisseurs et à certains utilisateurs de systèmes d'IA à haut risque de les enregistrer dans une base de données européenne gérée par la Commission. L'application de ces obligations a été reportée : un accord politique provisoire de mai 2026, le "Digital Omnibus", repousse l'échéance principale du 2 août 2026 au 2 décembre 2027 pour les systèmes listés à l'annexe III. Ce report allonge le délai, il ne supprime pas les obligations.
Pour tous les autres systèmes, ceux qui ne sont pas classés à haut risque, aucune inscription dans la base européenne n'est exigée. Mais tenir un registre interne de l'ensemble de vos systèmes reste fortement recommandé, notamment par la CNIL, pour documenter votre conformité et articuler RGPD et IA Act. C'est exactement ce que couvrent les obligations de l'IA Act côté entreprise.
Un registre n'a de valeur que s'il est complet et exploitable. Trop léger, il ne prouve rien. Trop lourd, personne ne le tient à jour.
Pour chaque outil d'IA, le registre doit documenter au minimum : le nom du système et son propriétaire interne, le fournisseur externe, la finalité métier, les données utilisées, la classification de risque au sens de l'IA Act, le niveau de supervision humaine et les mesures de sécurité en place.
Ces colonnes ne sont pas décoratives. Ce sont elles qui permettent de répondre vite à une question simple mais redoutable : "qui, dans l'entreprise, utilise de l'IA sur des données clients, et avec quel garde-fou ?". Une charte IA claire complète utilement ce dispositif en fixant les règles d'usage.
C'est l'angle mort le plus dangereux. Un registre qui ne liste que les outils officiellement déployés passe à côté de l'essentiel. D'abord, le Shadow AI : les outils que vos équipes utilisent sans validation, comme un ChatGPT personnel pour traiter des documents internes. Ensuite, l'IA intégrée dans des logiciels que vous avez déjà, paie, gestion commerciale, messagerie, sans que vous l'ayez identifiée comme telle.
Un registre sérieux recense les trois sources : l'IA développée en interne, l'IA acquise via un fournisseur, et l'IA embarquée dans vos outils existants. Cartographier le Shadow AI est souvent l'étape qui révèle le plus de risques insoupçonnés.
Un registre n'est pas un projet ponctuel. C'est un document vivant. Voici comment le lancer et le maintenir.
La responsabilité doit être clairement attribuée, sinon le registre ne sera jamais à jour. Dans une organisation dotée d'un responsable IA ou d'un comité de gouvernance, la tâche lui revient naturellement. Ailleurs, elle peut être confiée au délégué à la protection des données, au responsable de la sécurité des systèmes d'information ou à un responsable conformité.
Un point clé, souligné par la CNIL : la gouvernance de l'IA doit être portée par la direction générale. Sans impulsion de la direction, le registre reste un fichier oublié que personne ne remplit.
Le registre se met à jour à chaque événement marquant : acquisition d'un nouvel outil, déploiement d'un système développé en interne, modification substantielle d'un usage existant, ou mise hors service. Une revue régulière, par exemple trimestrielle, permet de capter le Shadow AI qui apparaît entre deux mises à jour.
Pour démarrer sans repartir d'une feuille blanche, nous fournissons un modèle de registre prêt à remplir avec toutes les colonnes utiles. Il s'articule directement avec votre conformité RGPD et IA, sur le modèle du registre des traitements que vous tenez déjà.
L'IA Act impose l'enregistrement des systèmes d'IA à haut risque dans une base de données européenne. L'application de ces obligations a été reportée au 2 décembre 2027. Pour les autres systèmes, le registre interne reste la meilleure preuve de gouvernance et la base de toute mise en conformité.
Le modèle ne fait pas le travail. Un registre rempli une fois puis abandonné donne une fausse sécurité, pire que pas de registre du tout. Ce qui compte, c'est la routine : qui le tient, à quel rythme, et avec quel relais dans chaque service pour remonter les nouveaux usages.
C'est aussi une question de culture. Tant que les équipes voient le registre comme une contrainte, elles cacheront leurs usages. Quand elles comprennent qu'il les protège, elles déclarent spontanément. Ce basculement passe par la formation, pas par la sanction.
Vous voulez cartographier vos usages IA et bâtir un registre qui tient dans la durée ? Échangeons lors d'un cadrage de projet IA pour faire l'inventaire de vos systèmes, classer les risques et mettre en place une gouvernance simple à maintenir.
Expliquez-nous vos objectifs, nous vous guiderons vers la formation IA la plus adaptée.
On construit la formation à partir de votre quotidien.
.svg)
Formations IA concrètes et accompagnement sur mesure pour les entreprises françaises.
.svg){kind=small}
.svg)
.svg){kind=small}
.svg){kind=small}
.svg){kind=small}