Registre des systemes IA : obligation et modele pratique

Le reglement europeen sur l’intelligence artificielle (AI Act) instaure une obligation d’enregistrement des systemes d’IA a haut risque dans une base de donnees de l’Union europeenne. Cette obligation, prevue aux articles 49 et 71 du reglement, constitue un instrument de transparence et de surveillance du marche. Parallelement, les organisations ont un interet operationnel majeur a tenir un registre interne de l’ensemble de leurs systemes d’IA, qu’ils soient ou non a haut risque, afin d’assurer une gouvernance efficace et de documenter leur conformite.

Ce registre interne s’ajoute au registre des traitements impose par l’article 30 du RGPD lorsque les systemes d’IA traitent des donnees personnelles. La coherence et l’articulation entre ces deux registres sont essentielles pour eviter les redondances et garantir une vision d’ensemble de la conformite.

L’obligation d’enregistrement dans la base de donnees de l’UE

Le cadre legal : articles 49 et 71 du AI Act

L’article 49 du AI Act impose aux fournisseurs de systemes d’IA a haut risque d’enregistrer leur systeme et eux-memes dans la base de donnees de l’UE prevue a l’article 71, avant la mise sur le marche ou la mise en service du systeme. Cette obligation vise a assurer la transparence vis-a-vis du public et a faciliter la surveillance du marche par les autorites nationales competentes.

L’article 71 cree cette base de donnees de l’UE pour les systemes d’IA a haut risque, geree par la Commission europeenne. Cette base de donnees est accessible au public et contient les informations enregistrees conformement a l’article 49. Elle est alimentee par les fournisseurs et, pour certaines informations, par les deployeurs de systemes d’IA a haut risque.

Les deployers eux-memes ont une obligation d’enregistrement : l’article 49, paragraphe 3, impose aux deployeurs de systemes d’IA a haut risque qui sont des autorites publiques, des institutions, organes ou organismes de l’Union, ou des personnes agissant pour leur compte, de s’enregistrer et d’enregistrer l’utilisation du systeme dans la base de donnees.

Les informations a enregistrer

L’annexe VIII du AI Act definit les informations que les fournisseurs doivent enregistrer dans la base de donnees de l’UE. Ces informations comprennent le nom et les coordonnees du fournisseur et, le cas echeant, de son representant autorise, le nom commercial et toute reference supplementaire non ambigue permettant l’identification du systeme d’IA, une description de la finalite prevue du systeme, le statut du systeme (sur le marche, hors du marche, rappele), le type de systeme d’IA a haut risque (selon les categories de l’annexe III), les conditions d’utilisation et les limites du systeme et les Etats membres dans lesquels le systeme a ete mis sur le marche ou mis en service.

Le texte integral du reglement et de ses annexes est disponible sur EUR-Lex.

Le registre interne des systemes d’IA : pourquoi et comment

L’interet strategique du registre interne

Au-dela de l’obligation legale d’enregistrement dans la base de donnees de l’UE, la tenue d’un registre interne de l’ensemble des systemes d’IA utilises par l’organisation repond a plusieurs objectifs.

En matiere de gouvernance, le registre fournit une vision exhaustive du patrimoine IA de l’organisation. Il permet d’identifier les systemes a haut risque necessitant une conformite renforcee, de suivre le cycle de vie de chaque systeme, de coordonner les actions de conformite et de prioriser les efforts d’audit algorithmique.

En matiere de conformite, le registre interne permet de demontrer le respect du principe de responsabilite (accountability) prevu par le RGPD. Il constitue un element probatoire en cas de controle par les autorites de surveillance du marche ou par la CNIL. Il facilite la realisation des analyses d’impact (AIPD) en identifiant les systemes necessitant une telle analyse.

En matiere de gestion des risques, le registre permet une vision consolidee des risques lies a l’IA au sein de l’organisation, facilitant la detection des concentrations de risques et l’allocation des ressources de mitigation.

L’articulation avec le registre des traitements RGPD

Le registre des systemes d’IA et le registre des traitements prevu par l’article 30 du RGPD sont deux instruments distincts mais complementaires. Le registre RGPD recense les traitements de donnees personnelles. Le registre IA recense les systemes d’IA, qu’ils traitent ou non des donnees personnelles.

Pour les systemes d’IA traitant des donnees personnelles, les deux registres doivent etre coherents. Il est recommande d’etablir des references croisees entre les deux registres : chaque fiche du registre IA doit renvoyer aux fiches correspondantes du registre RGPD, et inversement. Cette articulation facilite la gestion documentaire et evite les incoherences.

Le contenu du registre interne : modele detaille

Identification du systeme

Chaque fiche du registre interne doit inclure une identification complete du systeme : denomination interne du systeme, version, fournisseur (interne ou externe), date de mise en service, statut (en developpement, en production, hors service), responsable interne (proprietaire metier et responsable technique), classification de risque AI Act (inacceptable, haut risque, risque limite, risque minimal) et reference dans la base de donnees de l’UE le cas echeant.

Description fonctionnelle

La fiche doit decrire la finalite prevue du systeme, les categories de decisions ou de resultats produits, les utilisateurs du systeme (deployeurs internes), les personnes affectees par le systeme et le contexte d’utilisation (domaine metier, processus concerne).

Informations techniques

La fiche doit documenter le type d’IA (apprentissage supervise, non supervise, renforcement, systeme expert, modele de langage, etc.), l’architecture du modele, les donnees d’entree et de sortie, les metriques de performance et la reference a la documentation technique detaillee.

Conformite reglementaire

Pour chaque systeme, le registre doit tracer le statut de l’evaluation de conformite AI Act, le statut de l’AIPD le cas echeant, les references aux fiches du registre des traitements RGPD, les resultats des audits algorithmiques realises, les mesures de controle humain mises en place et les mesures de transparence vis-a-vis des personnes affectees.

Sous-traitance et chaine de valeur

Lorsque le systeme d’IA est fourni par un tiers, la fiche doit documenter l’identite du fournisseur, les clauses contractuelles applicables, les responsabilites respectives du fournisseur et du deployeur, les droits d’audit prevus et la localisation des donnees traitees par le systeme.

Gestion du cycle de vie

Le registre doit tracer les evenements significatifs du cycle de vie de chaque systeme : date de mise en service, modifications substantielles, mises a jour, incidents, audits, evaluations de conformite et mise hors service.

Les obligations specifiques des deployeurs

L’inventaire des systemes deployes

Les organisations qui deploient des systemes d’IA a haut risque sans les avoir eux-memes developpes doivent neanmoins les recenser dans leur registre interne. Le AI Act impose aux deployeurs des obligations propres de diligence, qui supposent une connaissance precise des systemes utilises sous leur autorite.

Les deployeurs doivent verifier que le systeme est enregistre dans la base de donnees de l’UE par le fournisseur, s’assurer de la conformite du systeme avant de l’utiliser, mettre en oeuvre les mesures de controle humain prevues par les instructions d’utilisation et surveiller le fonctionnement du systeme pendant son utilisation.

La notification des incidents

Le AI Act impose aux fournisseurs de systemes d’IA a haut risque de notifier les incidents graves aux autorites de surveillance du marche. Les deployeurs doivent cooperer avec les fournisseurs pour la detection et la notification des incidents. Le registre interne doit tracer les incidents signales et les mesures correctives mises en oeuvre.

L’analyse d’impact sur les droits fondamentaux

L’article 27 du AI Act impose aux deployeurs de systemes d’IA a haut risque qui sont des organismes de droit public ou des entites privees fournissant des services publics de realiser une analyse d’impact sur les droits fondamentaux avant de mettre en service un systeme d’IA a haut risque. Cette analyse, distincte de l’AIPD du RGPD, doit etre documentee et tracee dans le registre.

La mise en oeuvre pratique

Le processus de recensement

La constitution initiale du registre passe par un processus de recensement systematique des systemes d’IA au sein de l’organisation. Ce recensement doit couvrir l’ensemble des directions et services, en incluant non seulement les systemes d’IA explicitement identifies comme tels, mais aussi les outils integrant des composants d’IA (systemes de recommandation, chatbots, outils d’analyse predictive, etc.).

L’experience montre que les organisations sous-estiment frequemment le nombre de systemes d’IA qu’elles utilisent. Un recensement rigoureux revele souvent l’existence de systemes d’IA “shadow”, deployes par les equipes metier sans validation prealable par les fonctions de conformite. Le formulaire d’inventaire peut etre adapte pour couvrir les specificites des systemes d’IA.

La gouvernance du registre

La responsabilite de la tenue du registre doit etre clairement attribuee. Dans les organisations disposant d’un responsable IA ou d’un comite de gouvernance de l’IA, cette responsabilite lui incombe naturellement. Dans les autres cas, elle peut etre attribuee au DPO, au RSSI ou a un responsable de la conformite, en fonction de l’organisation interne.

La mise a jour du registre doit etre integree dans les processus operationnels : toute acquisition, tout deploiement, toute modification substantielle ou toute mise hors service d’un systeme d’IA doit donner lieu a une mise a jour du registre. Un processus de revue periodique, au minimum annuel, doit etre instaure pour verifier l’exhaustivite et l’exactitude du registre.

Les outils de gestion du registre

Pour les organisations gerant un nombre limite de systemes d’IA, un tableur structure peut suffire. Pour les organisations disposant d’un patrimoine IA plus important, des outils dedies de gouvernance de l’IA offrent des fonctionnalites avancees : catalogage automatise, workflow de validation, gestion des versions, generation de rapports de conformite et integration avec les outils MLOps.

Le AI Act et le RGPD imposent des obligations documentaires qui se renforcent mutuellement. La coherence entre le registre des systemes IA, le registre des traitements RGPD et la documentation technique est essentielle pour une conformite robuste et verifiable.

Les sanctions en cas de non-respect des obligations d’enregistrement sont significatives. La fourniture d’informations inexactes, incompletes ou trompeuses aux autorites est sanctionnee par des amendes pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial. Le non-enregistrement d’un systeme a haut risque dans la base de donnees de l’UE constitue une violation des obligations du fournisseur. Les exigences de conformite sont detaillees sur le site de la strategie numerique europeenne.

FAQ

Mon organisation doit-elle tenir un registre interne meme si elle n’utilise pas de systemes d’IA a haut risque ?

Le AI Act n’impose l’enregistrement dans la base de donnees de l’UE que pour les systemes d’IA a haut risque. Toutefois, la tenue d’un registre interne de l’ensemble des systemes d’IA, quel que soit leur niveau de risque, constitue une bonne pratique de gouvernance fortement recommandee. Ce registre permet de demontrer le respect du principe de responsabilite du RGPD, d’identifier proactivement les systemes susceptibles d’etre reclasses a haut risque, de preparer l’organisation aux evolutions reglementaires et de maintenir une vision d’ensemble du patrimoine IA. De plus, la classification des risques peut evoluer avec les mises a jour de l’annexe III du AI Act, et un registre a jour permet de reagir rapidement a ces evolutions.

Comment articuler le registre IA avec le registre des traitements RGPD ?

L’articulation optimale repose sur un systeme de references croisees. Chaque fiche du registre IA relative a un systeme traitant des donnees personnelles doit contenir un renvoi vers les fiches correspondantes du registre RGPD (identifiant du traitement, finalite, base legale). Inversement, les fiches du registre RGPD relatives a des traitements impliquant un systeme d’IA doivent renvoyer vers la fiche du registre IA. Il est deconseille de fusionner les deux registres, car ils repondent a des obligations distinctes et ont des perimetres differents (le registre RGPD couvre tous les traitements de donnees personnelles, pas seulement ceux impliquant de l’IA ; le registre IA couvre tous les systemes d’IA, y compris ceux ne traitant pas de donnees personnelles). En revanche, ils doivent etre geres de maniere coherente, idealement par des equipes coordonnees.

Quelles sont les consequences de l’absence d’enregistrement d’un systeme a haut risque dans la base de donnees de l’UE ?

L’absence d’enregistrement d’un systeme d’IA a haut risque dans la base de donnees de l’UE constitue une violation de l’article 49 du AI Act. Cette violation expose le fournisseur a des sanctions financieres. Le systeme ne peut legalement etre mis sur le marche ou mis en service sans cet enregistrement prealable. Les autorites de surveillance du marche peuvent ordonner le retrait du systeme, sa mise en conformite ou l’interdiction de sa mise a disposition. L’absence d’enregistrement peut egalement etre interpretee comme un indice de non-conformite plus large, susceptible de declencher un controle approfondi de l’ensemble des obligations du fournisseur. Pour les deployeurs publics, l’utilisation d’un systeme non enregistre constitue elle-meme une violation de leurs obligations propres au titre du AI Act.