Registre des Systèmes IA : Comment le Créer
⚠️ Constat Alarmant
87% des entreprises ne savent pas combien de systèmes IA elles utilisent réellement. Sans registre, impossible de prouver votre conformité AI Act.
Combien de systèmes IA votre entreprise utilise-t-elle ? Si vous hésitez à répondre, vous n'êtes pas seul. La plupart des organisations sous-estiment drastiquement leur exposition à l'IA.
Le registre des systèmes IA (ou inventaire IA, cartographie IA) est la première étape indispensable de toute mise en conformité AI Act. Sans lui, vous naviguez à l'aveugle.
Ce guide vous explique comment créer et maintenir un registre complet, avec un modèle pratique prêt à l'emploi.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez apprendre
- → Pourquoi le registre IA est indispensable (même sans obligation explicite)
- → Les 15 champs essentiels à documenter pour chaque système
- → Comment identifier l'IA "cachée" dans vos outils existants
- → Le processus en 7 étapes pour créer votre registre
- → Un modèle Excel prêt à l'emploi
Infographie : Les 6 catégories d'information du registre des systèmes IA
📊 Pourquoi Créer un Registre des Systèmes IA ?
Le registre des systèmes IA n'est pas une obligation explicite de l'AI Act, mais il est de facto indispensable pour plusieurs raisons.
📜 Les Obligations qui Imposent le Registre
Plusieurs articles de l'AI Act rendent le registre incontournable :
| Article | Obligation | Pourquoi le Registre est Nécessaire |
|---|---|---|
| Article 4 | Maîtrise suffisante de l'IA | Impossible de former les équipes sans savoir quelles IA elles utilisent |
| Article 26 | Obligations des déployeurs haut risque | Documentation de l'usage requise → nécessite un inventaire préalable |
| Article 27 | Analyse d'impact (FRIA) | L'analyse d'impact nécessite d'abord d'identifier les systèmes |
| Article 49 | Enregistrement base UE | Les fournisseurs doivent enregistrer leurs systèmes haut risque |
| Article 72 | Surveillance post-commercialisation | Suivi impossible sans registre des systèmes en production |
🎯 Les 5 Bénéfices Concrets du Registre
Au-delà de la conformité, le registre apporte des avantages opérationnels :
- 🔍 Visibilité : Savoir exactement quelle IA fait quoi dans l'entreprise
- ⚡ Réactivité : Identifier rapidement les systèmes impactés par un changement réglementaire
- 💰 Optimisation : Repérer les doublons et rationaliser les coûts IA
- 🛡️ Gestion des risques : Prioriser les actions sur les systèmes à haut risque
- 📋 Audit-ready : Répondre immédiatement aux demandes des autorités
Pour identifier correctement vos systèmes IA, consultez notre guide dédié à la cartographie.
"Une entreprise qui ne connaît pas son parc IA est comme un pilote qui décolle sans instruments. En cas de turbulences réglementaires, c'est le crash assuré."
— Direction Générale de la Conformité, Guide AI Act 2025
📝 Les 15 Champs Essentiels du Registre IA
Voici la structure détaillée d'un registre conforme et exploitable.
🔖 Bloc 1 : Identification (5 champs)
| Champ | Description | Exemple |
|---|---|---|
| ID système | Identifiant unique interne | IA-2024-RH-001 |
| Nom commercial | Nom du produit/service | HireVue AI Interview |
| Fournisseur | Éditeur ou développeur | HireVue Inc. (USA) |
| Version | Numéro de version en prod | v3.2.1 |
| Date déploiement | Mise en production | 15/03/2024 |
🎯 Bloc 2 : Usage et Impact (5 champs)
| Champ | Description | Exemple |
|---|---|---|
| Département | Service utilisateur principal | Direction des Ressources Humaines |
| Fonction/finalité | À quoi sert le système | Analyse vidéo des entretiens candidats |
| Données entrée | Types de données traitées | Vidéos, expressions faciales, voix |
| Données sortie | Résultats produits | Score de compatibilité, recommandation |
| Personnes impactées | Qui est affecté par les décisions | Candidats à l'embauche (500/an) |
⚠️ Bloc 3 : Risque et Conformité (5 champs)
| Champ | Description | Exemple |
|---|---|---|
| Niveau de risque | Classification AI Act | HAUT RISQUE |
| Justification | Pourquoi ce niveau | Annexe III, §4(a) - Recrutement |
| Responsable interne | Qui est accountable | Marie Dupont, DRH |
| Statut conformité | État actuel | En cours - Gap analysis terminé |
| Dernière révision | Date de mise à jour fiche | 01/12/2024 |
Les systèmes classifiés haut risque IA nécessitent une documentation plus complète.
🎯 Votre Cartographie IA est-elle Complète ? (Quiz 3 min)
🔍 Identifier l'IA "Cachée" dans Vos Outils
L'un des plus grands pièges : l'IA intégrée dans des logiciels que vous n'identifiez pas comme "IA".
⚠️ Les Sources d'IA Cachée les Plus Fréquentes
🔎 IA dans Microsoft 365
- → Copilot : Assistant IA générative dans Word, Excel, PowerPoint
- → Designer : Suggestions de mise en page PowerPoint
- → Editor : Corrections grammaticales avancées
- → Outlook : Suggestions de réponses, tri prioritaire
- → Teams : Transcription, résumé de réunions
🔎 IA dans Google Workspace
- → Gemini : Assistant IA dans Docs, Sheets, Slides
- → Smart Compose : Suggestions de texte Gmail
- → Smart Reply : Réponses automatiques suggérées
- → Explore : Analyse automatique dans Sheets
🔎 IA dans les Outils Métiers
- → Salesforce Einstein : Scoring leads, prédictions ventes
- → HubSpot : Chatbot, scoring prospects
- → SAP : Fonctionnalités IA dans les modules
- → Adobe : Sensei IA dans Creative Cloud
- → Zoom : Transcription, résumés IA
📋 Checklist de Détection IA Cachée
Pour chaque logiciel de votre parc :
- ✅ Vérifier les release notes récentes (mention "IA", "ML", "smart")
- ✅ Rechercher dans les paramètres : "IA", "automatique", "intelligent"
- ✅ Consulter la documentation fournisseur
- ✅ Vérifier les conditions générales (mention de traitement IA)
- ✅ Demander directement au support éditeur
Même les systèmes à risque limité comme les chatbots doivent figurer au registre.
🚀 Processus de Création en 7 Étapes
Voici la méthodologie structurée pour créer votre registre de A à Z.
Définir le Périmètre et Nommer un Responsable (Jour 1)
Désignez qui sera responsable du registre. Définissez ce qui constitue un "système IA" pour votre organisation (incluez l'IA intégrée).
Livrable : Note de cadrage + responsable désigné
Créer et Diffuser le Questionnaire Métiers (Jour 2-3)
Envoyez un questionnaire simple à chaque département : "Quels outils utilisez-vous qui font des suggestions automatiques, des prédictions, ou analysent des données ?"
Livrable : Questionnaire standardisé envoyé à tous les managers
Auditer les Contrats Fournisseurs (Jour 4-5)
Passez en revue tous vos contrats SaaS et licences. Recherchez les termes : IA, intelligence artificielle, machine learning, algorithme, automatisation.
Livrable : Liste des fournisseurs avec composants IA identifiés
Consolider et Dédupliquer (Jour 6-7)
Rassemblez les retours du questionnaire et de l'audit contrats. Éliminez les doublons, clarifiez les ambiguïtés.
Livrable : Liste consolidée des systèmes IA candidats
Classifier par Niveau de Risque (Jour 8-10)
Pour chaque système, appliquez la grille de classification AI Act. Documentez la justification de chaque classification.
Livrable : Liste avec niveau de risque attribué
Remplir les Fiches Complètes (Jour 11-15)
Créez une fiche détaillée pour chaque système avec les 15 champs essentiels. Priorisez les systèmes à haut risque.
Livrable : Registre complet avec toutes les fiches
Définir le Processus de Maintenance (Jour 16-20)
Intégrez la mise à jour du registre dans vos processus achats et IT. Définissez les triggers de mise à jour et la fréquence de révision.
Livrable : Procédure de maintenance + intégration processus
💡 Conseil Pratique
Commencez par les systèmes les plus évidents (ceux que tout le monde connaît), puis élargissez progressivement. Un registre incomplet mais vivant est préférable à un projet de cartographie qui n'aboutit jamais.
Les systèmes à risque minimal nécessitent moins de documentation mais doivent quand même figurer au registre.
📊 Modèle de Registre IA (Structure Excel)
Voici la structure recommandée pour votre fichier Excel de registre.
🗂️ Organisation du Fichier
📑 Structure Recommandée
- 1️⃣ Onglet "Registre" : Vue synthétique de tous les systèmes (1 ligne = 1 système)
- 2️⃣ Onglet "Fiches Détail" : Informations complètes par système
- 3️⃣ Onglet "Classification" : Grille de décision niveau de risque
- 4️⃣ Onglet "Actions" : Suivi des actions de conformité
- 5️⃣ Onglet "Historique" : Log des modifications
📋 Colonnes de l'Onglet Principal
| Colonne | Type | Valeurs Possibles |
|---|---|---|
| A - ID | Texte | IA-AAAA-XXX-NNN |
| B - Nom système | Texte | Nom commercial |
| C - Fournisseur | Texte | Nom éditeur |
| D - Département | Liste déroulante | RH, Finance, Marketing, IT... |
| E - Fonction | Texte | Description courte |
| F - Niveau risque | Liste déroulante | Interdit / Haut / Limité / Minimal |
| G - Statut conformité | Liste déroulante | Conforme / En cours / Non conforme / À évaluer |
| H - Responsable | Texte | Nom + fonction |
| I - Date déploiement | Date | JJ/MM/AAAA |
| J - Dernière révision | Date | JJ/MM/AAAA |
| K - Lien fiche détail | Hyperlien | Vers onglet Fiches |
🎨 Mise en Forme Conditionnelle
Utilisez les couleurs pour une lecture rapide :
- 🔴 Rouge : Interdit ou Non conforme → Action urgente
- 🟠 Orange : Haut risque ou En cours → Attention requise
- 🟡 Jaune : Risque limité ou À évaluer → À surveiller
- 🟢 Vert : Minimal ou Conforme → OK
🔢 Estimateur : Combien de Systèmes IA dans Votre Entreprise ?
🏢 Cas Pratiques : 3 Entreprises, 3 Registres
Voyons comment différentes organisations ont structuré leur registre IA.
🏭 Cas 1 : PME Industrielle (85 employés)
Contexte
Entreprise : Usinage de précision, sous-traitance automobile
Systèmes IA identifiés : 8
Temps de création : 2 jours
Systèmes recensés :
- 🔧 Vision IA : Contrôle qualité pièces (haut risque - sécurité)
- 📊 Predictive maintenance : Anticipation pannes machines (minimal)
- 📧 Microsoft Copilot : Assistant Office (limité)
- 💬 Chatbot support : Service client (limité)
- 📈 ERP IA : Prévision stocks (minimal)
Outil choisi : Excel simple avec 3 onglets
🏦 Cas 2 : Société de Conseil Finance (250 employés)
Contexte
Entreprise : Conseil en gestion de patrimoine
Systèmes IA identifiés : 23
Temps de création : 2 semaines
Systèmes à haut risque identifiés :
- 💰 Scoring client : Évaluation risque investissement (haut risque)
- 📋 Profilage MIF2 : Catégorisation investisseurs (haut risque)
- 🔍 Détection fraude : Analyse transactions suspectes (haut risque)
- 📊 Robo-advisor : Recommandations allocation (haut risque)
Outil choisi : Notion avec base de données relationnelle
🏥 Cas 3 : Groupe Hospitalier (2000+ employés)
Contexte
Entreprise : 3 établissements hospitaliers
Systèmes IA identifiés : 47
Temps de création : 6 semaines
Complexité spécifique :
- 🩺 Diagnostic IA : 12 systèmes d'aide au diagnostic (haut risque + dispositif médical)
- 📋 Planification : Optimisation planning personnel (haut risque)
- 💊 Pharmacie : Détection interactions médicamenteuses (haut risque)
- 📊 Administratif : Chatbots, transcription, facturation (limité/minimal)
Outil choisi : Solution GRC spécialisée intégrée au SI hospitalier
Attention aux systèmes interdits qui pourraient se cacher dans votre parc (scoring social, manipulation comportementale).
❓ Questions Fréquentes - Registre Systèmes IA
Un registre des systèmes IA est un inventaire documenté de tous les systèmes d'intelligence artificielle utilisés, développés ou commercialisés par une organisation. Il recense pour chaque système : son nom, sa fonction, son fournisseur, son niveau de risque AI Act, les données traitées, les personnes impactées, et le statut de conformité. Ce registre est la base indispensable de toute démarche de mise en conformité AI Act.
L'AI Act n'impose pas explicitement un "registre" en tant que tel, mais plusieurs obligations le rendent de facto indispensable : l'Article 4 exige une maîtrise suffisante de l'IA (impossible sans cartographie), les déployeurs de systèmes haut risque doivent documenter leur usage (Article 26), et les fournisseurs doivent enregistrer leurs systèmes dans la base de données européenne (Article 49). Sans registre interne, impossible de prouver sa conformité.
La cartographie IA s'effectue en plusieurs étapes : audit des contrats fournisseurs (rechercher les termes IA, ML, algorithme), questionnaire aux départements métiers, analyse des flux de données, revue des outils SaaS utilisés, entretiens avec l'IT et les data teams. N'oubliez pas l'IA "cachée" : fonctionnalités IA intégrées dans des logiciels classiques (CRM, ERP, outils Microsoft/Google).
Excel convient parfaitement pour les PME avec moins de 20 systèmes IA. Au-delà, un outil dédié (Notion, Airtable, ou solution GRC spécialisée) facilite la maintenance, les mises à jour collaboratives et la génération de rapports. L'essentiel est la complétude et la mise à jour régulière, pas l'outil. Commencez simple avec Excel, évoluez si nécessaire.
Le registre doit être mis à jour : immédiatement lors de tout nouveau déploiement IA, à chaque mise à jour majeure d'un système existant, lors de changement de fournisseur ou de version, au minimum trimestriellement pour une revue générale. Désignez un responsable du registre et intégrez la mise à jour dans vos processus achats et IT.
Oui, toute IA utilisée doit être recensée, y compris les fonctionnalités IA intégrées dans des suites logicielles : Copilot Microsoft 365, Google Gemini, fonctions IA de Salesforce, suggestions automatiques, etc. Vous êtes "déployeur" de ces systèmes même si vous n'avez pas choisi activement l'IA. Listez-les avec la mention "IA intégrée - fournisseur X".
Le registre doit être accessible au minimum par : le responsable conformité/DPO, le DSI/responsable IT, les responsables métiers concernés, la direction générale (vue synthétique), et les autorités de contrôle sur demande. Définissez des niveaux d'accès : lecture seule pour la plupart, modification pour les responsables désignés uniquement.
Le registre IA complète le registre des traitements RGPD mais ne le remplace pas. Idéalement, créez un lien entre les deux : chaque système IA du registre IA référence le(s) traitement(s) RGPD associé(s). Certaines informations sont communes (données traitées, finalités), d'autres spécifiques à l'IA (niveau de risque AI Act, supervision humaine). Un registre unifié est possible mais plus complexe.
Il n'y a pas de durée explicite dans l'AI Act pour le registre interne, mais par prudence, conservez l'historique complet pendant au moins 10 ans (aligné sur les obligations de documentation technique des fournisseurs). Cela permet de prouver votre conformité à un instant T en cas de contrôle ou litige, même des années après.
"Le registre IA est le miroir de votre maturité en matière d'IA. Un registre à jour et complet témoigne d'une gouvernance maîtrisée."
— Best practices AI Governance, Gartner 2025
✅ Conclusion : Le Registre, Fondation de Votre Conformité
Le registre des systèmes IA n'est pas qu'un document de conformité. C'est votre outil de pilotage stratégique pour l'IA dans votre organisation.
🎯 Les 3 Actions Immédiates
- 1️⃣ Désigner un responsable : Quelqu'un doit être accountable du registre
- 2️⃣ Lancer le questionnaire : Interrogez vos métiers cette semaine
- 3️⃣ Créer la première version : Un registre imparfait vaut mieux que pas de registre
Sans registre, vous ne pouvez pas démontrer votre conformité Article 4, ni prioriser vos actions sur les systèmes à haut risque, ni répondre aux autorités.
Commencez aujourd'hui. Le registre n'a pas besoin d'être parfait au départ, il doit être vivant et maintenu.
🚀 Formez Vos Équipes à l'AI Act
La formation Article 4 vous apprend à identifier, classifier et documenter vos systèmes IA. Indispensable pour créer un registre conforme.
Accéder à la Formation Certifiante → 500€✅ Finançable OPCO • ✅ Certificat nominatif • ✅ Module cartographie inclus
L'échéance Article 4 approche. Créez votre registre maintenant !
📚 Sources Officielles
- Règlement (UE) 2024/1689 - AI Act (Articles 4, 26, 27, 49) • Journal officiel de l'UE
- Commission européenne - Cadre réglementaire IA • Documentation officielle
- CNIL - Dossier Intelligence Artificielle • Autorité française
- AI Act Explorer - Annexe III (Classification Haut Risque) • Analyse détaillée