Notification Autorités IA Act : Procédure
📋 Obligation d'Enregistrement
Tout système IA haut risque doit être enregistré dans la base de données européenne AVANT sa mise sur le marché. L'absence de notification = interdiction de commercialisation + sanctions jusqu'à 15M€.
Vous développez un outil de scoring crédit ? Un système de tri de CV ? Une IA de diagnostic médical ? Ces systèmes doivent être déclarés aux autorités.
L'IA Act crée une base de données publique des systèmes IA haut risque opérant en Europe. Cette transparence permet aux citoyens de savoir quelles IA les affectent.
Ce guide détaille la procédure complète : qui doit notifier, quand, quelles informations fournir, et comment utiliser la base de données européenne.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA et Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez découvrir
- → Quels systèmes IA doivent être enregistrés
- → La procédure d'enregistrement étape par étape
- → Les informations à fournir (Article 71)
- → Les délais et sanctions en cas de non-notification
- → Les autorités nationales compétentes
Infographie : Processus de notification aux autorités IA Act
📋 Qui Doit Notifier un Système IA ?
L'obligation de notification concerne les systèmes IA haut risque listés à l'Annexe III de l'IA Act. Mais qui est responsable de l'enregistrement ?
🏭 Les Fournisseurs
Le fournisseur (développeur) du système IA haut risque est le principal responsable de l'enregistrement.
- ✅ Éditeurs de logiciels IA
- ✅ Entreprises développant des IA en interne pour la vente
- ✅ Startups IA commercialisant leurs solutions
- ✅ Intégrateurs créant des systèmes sur mesure
🏢 Les Déployeurs (Cas Spécifiques)
Les déployeurs doivent aussi s'enregistrer dans certains cas.
- 👮 Forces de l'ordre utilisant des IA d'identification
- ⚖️ Justice utilisant des IA d'aide à la décision
- 🛂 Autorités migratoires utilisant des IA d'évaluation
- 🏛️ Administrations publiques avec IA impactant les droits
⚠️ Attention Déployeurs
Si vous utilisez un système IA haut risque dans un contexte régalien, vous devez vous enregistrer en plus du fournisseur. Vérifiez l'Article 49.
📊 Systèmes Concernés (Annexe III)
| Domaine | Exemples de systèmes | Notification |
|---|---|---|
| Recrutement / RH | Tri CV, scoring candidats, évaluation performance | Obligatoire |
| Crédit / Finance | Scoring crédit, évaluation risque, détection fraude | Obligatoire |
| Éducation | Notation automatique, orientation scolaire | Obligatoire |
| Santé | Diagnostic IA, triage urgences, aide décision médicale | Obligatoire |
| Justice | Prédiction récidive, aide sentencing | Obligatoire |
| Biométrie | Reconnaissance faciale, identification à distance | Obligatoire |
Pour comprendre les obligations IA Act générales, consultez notre guide complet.
"La base de données européenne des systèmes IA sera l'équivalent du registre des traitements RGPD, mais à l'échelle de toute l'Europe et publiquement accessible."
— Thierry Breton, Commissaire européen au Marché intérieur
📝 Les 12 Informations Obligatoires (Article 71)
L'Article 71 de l'IA Act liste les informations à fournir lors de l'enregistrement dans la base de données européenne.
📌 Informations sur l'Opérateur
- 1️⃣ Nom et coordonnées du fournisseur/déployeur
- 2️⃣ Mandataire (si fournisseur hors UE)
- 3️⃣ Personne de contact pour les autorités
📌 Informations sur le Système
- 4️⃣ Nom commercial du système IA
- 5️⃣ Description générale (fonction, usage prévu)
- 6️⃣ Classification selon l'Annexe III
- 7️⃣ Statut (en développement, sur le marché, retiré)
📌 Informations sur la Conformité
- 8️⃣ Déclaration de conformité UE (lien ou copie)
- 9️⃣ Organisme notifié (si évaluation tierce)
- 🔟 Certificat de conformité (si applicable)
- 1️⃣1️⃣ États membres où le système est disponible
- 1️⃣2️⃣ Instructions d'utilisation (lien)
💡 Astuce
Préparez ces informations avant de commencer l'enregistrement. Le formulaire en ligne ne permet pas de sauvegarder un brouillon dans toutes les sections.
📋 Votre Système IA Doit-il Être Notifié ? (Quiz 3 min)
🔧 Procédure d'Enregistrement Étape par Étape
Voici le processus complet pour enregistrer un système IA haut risque dans la base de données européenne.
Vérifier l'obligation. Votre système est-il listé à l'Annexe III ? Est-il utilisé dans un contexte haut risque ?
Préparer les 12 informations. Rassembler tous les documents et données requis par l'Article 71.
Créer un compte. S'inscrire sur le portail de la base de données UE avec authentification eIDAS.
Remplir le formulaire. Compléter toutes les sections avec les informations préparées.
Joindre les documents. Téléverser la déclaration de conformité, certificats, instructions.
Soumettre. Valider l'enregistrement et recevoir le numéro d'identification unique.
Maintenir à jour. Mettre à jour l'enregistrement en cas de modification substantielle.
🌐 La Base de Données Européenne
La base de données est gérée par la Commission européenne et sera accessible publiquement.
- 🔗 Accès — Portail AI Act de la Commission européenne
- 🔐 Authentification — eIDAS (identité numérique européenne)
- 👁️ Visibilité — Informations publiques (sauf données sensibles)
- 💰 Coût — Gratuit (pas de frais d'enregistrement)
⏰ Délai Critique
L'enregistrement doit être effectué AVANT la mise sur le marché ou la mise en service. Aucun système IA haut risque ne peut être commercialisé sans numéro d'identification.
L'absence de notification entraîne des sanctions jusqu'à 15 millions d'euros.
🎯 3 Cas Pratiques de Notification
📍 Cas 1 : Startup FinTech - Scoring Crédit
Profil
Startup française développant un algorithme de scoring crédit pour les néobanques. API SaaS vendue à 15 clients en Europe.
Obligation : Notification obligatoire (Annexe III, point 5b)
Qui notifie : La startup (fournisseur)
Informations fournies :
- Identité : SAS CreditScore.ai, Paris
- Contact : DPO de l'entreprise
- Description : "Algorithme ML de scoring crédit basé sur données bancaires"
- Classification : Annexe III, 5b (évaluation solvabilité)
- États : France, Allemagne, Espagne, Italie
- Déclaration de conformité : Lien PDF
Délai : 2 semaines de préparation + 1 jour d'enregistrement
📍 Cas 2 : Éditeur RH - Tri CV Automatique
Profil
Éditeur logiciel RH proposant un module de tri automatique des CV par IA. 200 clients entreprises en France.
Obligation : Notification obligatoire (Annexe III, point 4a)
Particularité : Système existant avant l'IA Act → délai jusqu'au 2 août 2027
Actions :
- 1️⃣ Évaluation de conformité complète
- 2️⃣ Rédaction documentation technique
- 3️⃣ Création déclaration de conformité UE
- 4️⃣ Enregistrement base de données
- 5️⃣ Communication aux 200 clients (déployeurs)
Budget total : 45 000 - 70 000€ (conformité + enregistrement)
📍 Cas 3 : Préfecture - IA Reconnaissance Faciale
Profil
Préfecture utilisant un système de reconnaissance faciale pour le contrôle aux frontières. Système fourni par un prestataire externe.
Obligation : Double notification (fournisseur + déployeur)
Qui notifie :
- Fournisseur : L'entreprise ayant développé le système
- Déployeur : La préfecture (usage régalien)
Spécificités déployeur public :
- 🔒 Certaines informations peuvent être confidentielles
- 📋 Mention du cadre légal autorisant l'usage
- 👁️ AIPD (analyse d'impact) obligatoire en parallèle
La coopération autorités IA est essentielle pour le secteur public.
📋 Simulateur Délai Notification
🏛️ Autorités Nationales Compétentes
Chaque État membre désigne une autorité de surveillance du marché pour l'IA Act.
🇫🇷 En France
L'autorité compétente n'est pas encore officiellement désignée. Plusieurs acteurs sont pressentis :
- 🔐 CNIL — Pour les aspects données personnelles
- 🛡️ ANSSI — Pour les aspects cybersécurité
- 📊 DGCCRF — Pour la protection des consommateurs
- 🏭 DGE — Pour les aspects industriels
📅 À Venir
La France doit désigner son autorité de surveillance avant août 2025. Un projet de loi est en préparation pour créer une structure de coordination.
🇪🇺 Autres États Membres
| Pays | Autorité pressentie | Statut |
|---|---|---|
| 🇩🇪 Allemagne | Bundesnetzagentur | En discussion |
| 🇮🇹 Italie | AGID + Garante Privacy | En discussion |
| 🇪🇸 Espagne | AESIA (agence dédiée) | Créée |
| 🇳🇱 Pays-Bas | Autoriteit Persoonsgegevens | Désignée |
"L'Espagne a pris de l'avance avec la création de l'AESIA, une agence dédiée à l'IA. C'est un modèle que d'autres pays pourraient suivre."
— Carme Artigas, Secrétaire d'État à la Digitalisation, Espagne
❓ Questions Fréquentes - Notification IA
Les systèmes IA haut risque listés à l'Annexe III : RH (tri CV), crédit (scoring), éducation (notation), santé (diagnostic), justice, biométrie, infrastructures critiques. L'enregistrement se fait dans la base de données européenne.
La base de données est gérée par la Commission européenne. Elle sera accessible via le portail AI Act. L'URL exacte sera communiquée avant août 2025. Authentification eIDAS requise.
12 informations selon l'Article 71 : identité du fournisseur, nom du système, description, classification Annexe III, déclaration de conformité, États membres, instructions d'utilisation, etc.
Nouveau système : AVANT mise sur le marché. Système existant : avant le 2 août 2027. Modification substantielle : 30 jours après la modification. Aucun système haut risque ne peut opérer sans enregistrement.
Dans certains cas. Les déployeurs d'IA haut risque dans les domaines régaliens (police, justice, migration, administrations) doivent s'enregistrer en plus du fournisseur. Autres déployeurs : pas de notification.
Non. L'enregistrement dans la base de données européenne est gratuit. Cependant, l'évaluation de conformité par un organisme notifié (si requise) coûte 5 000 à 30 000€.
L'absence d'enregistrement est passible de sanctions jusqu'à 15M€ ou 3% du CA mondial. De plus, le système ne peut légalement pas être mis sur le marché ou utilisé.
Connectez-vous à votre compte sur la base de données, accédez à l'enregistrement, et mettez à jour les informations. Délai recommandé : 30 jours après toute modification substantielle.
Oui, mais différemment. Les modèles GPAI (GPT-4, Claude, Gemini) sont notifiés au Bureau IA de la Commission européenne, pas dans la base de données des systèmes haut risque.
Pas encore officiellement désignée. La CNIL, la DGCCRF et l'ANSSI sont pressenties. Une structure de coordination sera probablement créée. Confirmation attendue avant août 2025.
🎯 Conclusion : Anticipez Votre Notification
L'enregistrement dans la base de données européenne est une condition préalable à la mise sur le marché de tout système IA haut risque. Ne pas notifier = ne pas pouvoir commercialiser.
✅ Ce Qu'il Faut Retenir
- Qui : Fournisseurs de systèmes haut risque + déployeurs régaliens
- Quoi : 12 informations selon l'Article 71
- Où : Base de données européenne (portail AI Act)
- Quand : AVANT mise sur le marché (ou août 2027 pour existants)
- Sanction : Jusqu'à 15M€ si non-notification
Préparez vos informations dès maintenant pour être prêt le jour de l'ouverture de la base de données.
Formez vos Équipes aux Obligations IA Act
Maîtrisez la procédure de notification et toutes les obligations. Finançable OPCO.
Me former → 500€Sources Officielles Citées
- Règlement (UE) 2024/1689 - IA Act (Articles 49-71) • Journal officiel UE
- Commission européenne - Cadre réglementaire IA • Documentation officielle
- CNIL - Dossier Intelligence Artificielle • Autorité française