Registre des systemes d'IA : comment cartographier vos outils avant le 2 aout 2026 (la premiere etape que tout le monde saute)

Toutes les checklists AI Act commencent par le meme verbe : inventorier. Et pourtant, c'est l'etape que presque toutes les PME sautent, pressees d'arriver aux obligations concretes. Erreur de methode : on ne peut pas se mettre en conformite sur des systemes qu'on n'a pas recenses. Avant de parler transparence, litteratie ou documentation technique, il faut une carte. Cet article explique comment construire, en quelques heures, le registre des systemes d'IA de votre organisation — le document de base sur lequel repose tout le reste.

Le rappel de calendrier : le Digital Omnibus, dont l'accord politique a ete trouve le 7 mai 2026, reporte les obligations des systemes a haut risque de l'Annexe III au 2 decembre 2027. Mais la litteratie IA (article 4) et les pratiques interdites (article 5) s'appliquent depuis fevrier 2025, et la transparence (article 50) reste due au 2 aout 2026. Votre registre doit etre pret pour cette echeance.

Pourquoi vous avez plus d'IA que vous ne le pensez

Quand on demande a un dirigeant de PME combien de systemes d'IA il utilise, la reponse moyenne est "un ou deux, peut-etre ChatGPT". La realite est tout autre. L'IA s'est glissee partout, souvent sous forme de fonctionnalites integrees a des logiciels que vous utilisez deja : le chatbot de votre site, le module de scoring de votre CRM, l'anti-spam et le tri intelligent de votre messagerie, la reconnaissance de documents de votre logiciel comptable, le ciblage publicitaire de vos campagnes, le tri automatique de CV de votre outil de recrutement, la transcription de vos reunions, les recommandations de votre boutique en ligne. La plupart des PME en comptent entre dix et trente une fois l'inventaire fait serieusement.

Le reglement ne vous demande pas d'eliminer ces outils. Il vous demande de savoir ce que vous utilisez, de determiner votre role pour chacun (utilisateur ou fournisseur), et d'appliquer les obligations correspondantes. Sans inventaire, impossible de savoir lesquels declenchent une obligation de transparence au 2 aout, lesquels relevent du haut risque reporte a 2027, et lesquels ne demandent rien.

Les six colonnes d'un registre des systemes d'IA

Un registre utile tient dans un simple tableau. Pour chaque systeme recense, documentez six informations.

• Nom et fournisseur du systeme. Le logiciel ou le service, et l'editeur qui le fournit.
• Usage et finalite. A quoi il sert concretement dans votre activite (trier des candidatures, repondre aux clients, estimer un prix...).
• Donnees traitees. Le systeme manipule-t-il des donnees personnelles, des donnees sensibles, des donnees de salaries ou de clients ? Ce point fait le pont avec votre registre RGPD.
• Votre role. Etes-vous simple deployeur (vous utilisez un outil tiers) ou fournisseur (vous developpez ou commercialisez le systeme) ? Les obligations ne sont pas les memes.
• Niveau de risque. Interdit, haut risque (Annexe III), risque de transparence (article 50), ou risque minimal.
• Obligations et echeance. Ce qui s'applique et a quelle date.

Ce tableau est vivant : il s'enrichit a chaque nouvel outil adopte. C'est aussi la premiere piece qu'un auditeur, un client grand compte ou une autorite vous demandera.

Classer chaque systeme par niveau de risque

Une fois la liste etablie, attribuez a chaque ligne l'un des quatre niveaux de l'AI Act.

Risque inacceptable (interdit) — article 5

A ecarter immediatement. Cela vise notamment la notation sociale, la manipulation comportementale, ou la reconnaissance des emotions sur le lieu de travail. Si un systeme de votre liste tombe ici, ce n'est pas une question de documentation : il faut l'arreter. Cette interdiction est en vigueur depuis fevrier 2025.

Haut risque — Annexe III

Les systemes qui decident d'un acces a l'emploi, a une formation, a un credit, ou qui evaluent des personnes. Leurs obligations lourdes (documentation technique, evaluation de conformite, supervision humaine, logs) sont reportees au 2 decembre 2027 par l'Omnibus. Vous avez du temps, mais vous devez les avoir identifies pour ne pas etre pris de court.

Risque de transparence — article 50

Le niveau qui concerne le plus de PME au 2 aout 2026. Tout systeme qui interagit avec des humains (chatbots, voicebots, assistants) ou qui genere du contenu (textes, images, voix de synthese) doit etre signale comme une IA. C'est la mise en conformite la plus rapide a realiser, a condition d'avoir d'abord recense ces systemes.

Risque minimal

L'immense majorite des outils (anti-spam, recommandations, filtres). Aucune obligation specifique, mais ils figurent quand meme au registre pour la completude.

La methode en une demi-journee

Inutile d'un projet de six mois. Une PME peut batir son premier registre en une seance de travail structuree.

• Listez vos logiciels. Partez de vos abonnements et factures SaaS, de votre annuaire d'applications, des outils utilises par chaque service.
• Reperez les fonctions IA. Pour chaque logiciel, demandez : y a-t-il un chatbot, une suggestion automatique, un scoring, une generation de contenu, une analyse predictive ?
• Interrogez les equipes. Les usages "shadow" (un commercial qui utilise un outil IA non valide) n'apparaissent que si vous demandez. C'est souvent la que se cachent les risques.
• Classez et priorisez. Traitez d'abord l'interdit (a stopper) et la transparence (echeance du 2 aout), puis preparez le haut risque pour 2027.
• Datez et conservez. Un registre non date n'a aucune valeur de preuve. Mettez-le a jour a chaque nouvel outil.

Registre IA, registre RGPD : deux documents complementaires

Si vous tenez deja un registre des traitements RGPD, vous avez la moitie du travail. Beaucoup de systemes d'IA traitent des donnees personnelles et figurent donc dans les deux registres. L'AI Act regit le systeme (sa finalite, son niveau de risque, sa transparence), le RGPD regit les donnees (base legale, information, droits des personnes). Construire les deux en parallele evite les angles morts : un outil de tri de CV releve a la fois du haut risque AI Act (a terme) et du RGPD (donnees de candidats).

FAQ — registre des systemes d'IA

Le registre des systemes d'IA est-il obligatoire pour une PME ?

Aucun article de l'AI Act n'impose explicitement un "registre" comme le fait le RGPD pour les traitements. Mais sans inventaire, vous ne pouvez demontrer ni votre conformite a la transparence, ni votre maitrise des pratiques interdites, ni l'identification de vos systemes haut risque. C'est de facto la premiere piece de tout dossier de conformite et le point de depart attendu lors d'un controle.

Dois-je inscrire ChatGPT ou Copilot dans mon registre ?

Oui. Tout outil d'IA generative utilise dans l'entreprise doit y figurer, avec son usage et les donnees qui y sont saisies. Cela declenche l'obligation de litteratie IA (former vos equipes) et, si les contenus produits sont diffuses, l'obligation de transparence.

Combien de systemes d'IA une PME a-t-elle en moyenne ?

Beaucoup plus qu'estime : entre dix et trente une fois l'inventaire mene serieusement, en comptant les fonctionnalites IA integrees aux logiciels existants (CRM, messagerie, comptabilite, site web, recrutement).

Le report de l'Omnibus a 2027 me dispense-t-il du registre ?

Non. Le report ne concerne que les obligations des systemes haut risque de l'Annexe III. La transparence au 2 aout 2026 et les pratiques interdites restent applicables, et elles supposent d'avoir d'abord recense vos systemes. Le registre est utile maintenant.

En resume : avant toute action de conformite, il faut une carte. Le registre des systemes d'IA est le document fondateur : il revele les systemes interdits a stopper, les systemes a transparence a signaler avant le 2 aout 2026, et les systemes haut risque a preparer pour decembre 2027. Lancez le diagnostic gratuit MaConformite pour generer automatiquement la trame de votre registre en quelques minutes. Pour aller plus loin, consultez notre guide des obligations de l'entreprise utilisatrice d'IA et le point complet sur le Digital Omnibus.