Qu'est-ce qu'un registre des systèmes d'IA et une entreprise doit-elle en tenir un ?
Réponse courte
Un registre des systèmes d'IA est un inventaire documenté de tous les systèmes d'intelligence artificielle utilisés dans l'entreprise. L'AI Act (Règlement UE 2024/1689) impose aux déployeurs de systèmes à systèmes à haut risque de les enregistrer dans la base de données européenne (article 49) avant leur mise en service. Même pour les systèmes à risque limité, la tenue d'un registre interne est une bonne pratique recommandée.
Au Luxembourg, la CNPD recommande aux entreprises de maintenir un registre interne complet de leurs systèmes d'IA, par analogie avec le registre des traitements RGPD (article 30). Ce registre doit documenter la finalité, le niveau de risque, les données traitées, les mesures de supervision et les responsables pour chaque système. Il constitue un outil de gouvernance essentiel et facilite la conformité en cas de contrôle.
Définition
Le registre des systèmes d'IA est un document interne répertoriant l'ensemble des systèmes d'intelligence artificielle utilisés, développés ou déployés par une entreprise. Il décrit pour chaque système sa finalité, son niveau de risque au sens de l'AI Act, les données traitées, les responsables, les mesures de sécurité et les évaluations réalisées.
Ce registre est l'équivalent pour l'IA du registre des activités de traitement prévu par l'article 30 du RGPD. Il constitue la pierre angulaire de la gouvernance IA de l'entreprise et permet de démontrer la conformité réglementaire en cas de contrôle de la CNPD ou d'audit.
Conditions d’exercice
Les obligations relatives au registre des systèmes d'IA varient selon le niveau de risque.
| Critère | Détail |
|---|---|
| Systèmes à haut risque | Enregistrement obligatoire dans la base de données européenne (article 49 AI Act) avant la mise en service ; documentation technique obligatoire (articles 11-15) |
| Systèmes à risque limité | Pas d'enregistrement européen obligatoire ; registre interne recommandé pour la gouvernance et la traçabilité |
| Systèmes à usage général (GPAI) | Obligations pour les fournisseurs (article 53) ; les déployeurs doivent documenter l'utilisation dans leur registre interne |
| Contenu du registre | Nom du système, fournisseur, finalité, classification de risque, données traitées, base légale RGPD, mesures de supervision humaine, responsable, date de déploiement, audits |
| Mise à jour | Actualisation à chaque nouveau déploiement, modification ou retrait d'un système ; revue annuelle complète |
| Conservation | Conservation des logs des systèmes à haut risque pendant au moins 6 mois (article 26 AI Act) |
| Responsable | Désignation d'un responsable du registre (DPO, responsable IA, directeur de la conformité) |
Modalités pratiques
La mise en place et la tenue du registre des systèmes d'IA suivent une méthodologie structurée.
| Étape | Détail |
|---|---|
| Inventaire initial | Recenser tous les systèmes d'IA utilisés dans l'entreprise ; inclure les outils intégrés aux logiciels existants (SIRH, CRM, ERP) souvent non identifiés comme IA |
| Classification | Classer chaque système selon les niveaux de risque AI Act : inacceptable, haut risque, risque limité, risque minimal ; documenter la justification |
| Fiche par système | Créer une fiche détaillée : nom, fournisseur, version, finalité, données traitées, base légale, mesures de sécurité, supervision humaine, évaluations |
| Enregistrement européen | Pour les systèmes à haut risque : procéder à l'enregistrement dans la base de données de l'UE (article 49) ; conserver la confirmation |
| Processus de mise à jour | Définir une procédure de notification pour tout nouveau déploiement ; intégrer dans le processus d'achat IT la vérification de la composante IA |
| Revue annuelle | Audit complet du registre ; vérification de l'exhaustivité et de l'actualité ; mise à jour des classifications de risque |
Pratiques et recommandations
Commencer par un inventaire exhaustif en interrogeant chaque département sur les outils utilisant de l'IA, car de nombreux systèmes intègrent des composantes IA sans que les utilisateurs en soient conscients.
Structurer le registre en s'inspirant du format du registre des traitements RGPD (article 30) pour faciliter la cohérence et permettre des synergies entre les deux registres.
Intégrer la vérification de la composante IA dans le processus d'achat et de validation des nouveaux outils informatiques pour éviter les déploiements non documentés.
Former les équipes IT et les responsables métier à identifier les systèmes d'IA dans leur périmètre, car la frontière entre un logiciel classique et un système d'IA n'est pas toujours évidente.
Centraliser la gestion du registre auprès d'un responsable unique (DPO, responsable conformité ou responsable IA) pour garantir la cohérence et l'exhaustivité de l'inventaire.
Cadre juridique
| Référence | Objet |
|---|---|
| AI Act - Article 49 | Enregistrement des systèmes à haut risque dans la base de données européenne |
| AI Act - Articles 11-15 | Documentation technique obligatoire pour les systèmes à haut risque |
| AI Act - Article 26 | Obligations des déployeurs : conservation des logs (6 mois minimum), supervision humaine |
| AI Act - Article 6 | Règles de classification des systèmes à haut risque |
| RGPD - Article 30 | Registre des activités de traitement (modèle de référence) |
| RGPD - Article 35 | AIPD : lien avec la documentation du registre IA |
| CNPD | Autorité compétente au Luxembourg pour le contrôle RGPD et AI Act |
Note
Le registre des systèmes d'IA est un outil de gouvernance indispensable, même au-delà des obligations strictes de l'AI Act. Il permet à l'entreprise d'avoir une vision complète de son exposition aux risques liés à l'IA, de démontrer sa conformité en cas de contrôle et de piloter efficacement sa transformation numérique. La CNPD encourage les entreprises luxembourgeoises à l'adopter proactivement.