Sommaire
1. Le document que personne ne connaît — et que tout le monde doit avoir
L'article 6§3 de l'EU AI Act crée une obligation que la plupart des PME ignorent : même si aucun de vos outils IA n'est classé haut risque, vous devez documenter cette conclusion par écrit. Avec les critères utilisés. Et la justification.
Pas de document = non-conformité par défaut.
Le Registre des Systèmes IA est ce document. Il recense tous les outils d'intelligence artificielle utilisés dans votre entreprise, leur niveau de risque, leur usage, et leur statut de conformité. C'est le socle sur lequel repose toute votre gouvernance IA.
En aéronautique, un avion sans certificat de navigabilité est cloué au sol — même s'il fonctionne parfaitement. La charge de la preuve est sur l'exploitant. L'EU AI Act suit exactement la même logique : ce n'est pas parce que vos outils IA fonctionnent bien que vous êtes conforme. Vous devez le prouver par écrit.
Registre RGPD ≠ Registre IA
Si vous avez déjà un registre des traitements RGPD, c'est un bon début — mais ce n'est pas suffisant. Le registre RGPD recense les traitements de données personnelles. Le registre IA recense les systèmes d'intelligence artificielle avec leur classification par niveau de risque EU AI Act. Un outil IA peut apparaître dans les deux registres pour des raisons différentes. Les deux documents sont complémentaires, pas interchangeables.
Pour un aperçu complet des obligations EU AI Act, consultez notre guide de conformité pour les PME.
2. Ce que votre registre doit contenir — les 7 colonnes essentielles
Un registre efficace n'a pas besoin d'être complexe. Pour une PME, un tableur structuré avec 7 colonnes suffit :
| # | Colonne | Ce qu'elle contient | Exemple |
|---|---|---|---|
| 1 | Nom du système IA | Nom de l'outil ou du service | Microsoft Copilot |
| 2 | Fournisseur | Éditeur ou développeur | Microsoft |
| 3 | Niveau de risque | Inacceptable / Élevé / Limité / Minimal | Limité |
| 4 | Usage | Service utilisateur, fréquence, nombre de personnes | Marketing, 5 personnes, quotidien |
| 5 | Données traitées | Personnelles / confidentielles / publiques | Emails clients, documents internes |
| 6 | Responsable interne | Personne référente pour cet outil | Marie Dupont (DSI) |
| 7 | Statut de conformité | Conforme / En cours / Non conforme | En cours |
Pourquoi 7 colonnes et pas 20 ? Le principe de suffisance. Un registre trop complexe ne sera jamais maintenu. Ces 7 colonnes couvrent les exigences de l'EU AI Act pour une PME. Vous pourrez toujours ajouter des colonnes plus tard si nécessaire (date de déploiement, version, lien fournisseur, etc.).
3. Comment inventorier vos outils IA — la méthode en 4 étapes
L'inventaire est l'étape la plus importante — et la plus souvent bâclée. Voici une méthode systématique en 4 étapes, de la plus évidente à la plus cachée :
Les outils IA visibles
Ce sont les outils que tout le monde connaît : ChatGPT, Microsoft Copilot, MidJourney, DALL-E, Claude. Demandez à chaque chef de service : "Quels outils IA votre équipe utilise-t-elle ?" Vous obtiendrez les réponses évidentes. C'est le point de départ — pas la ligne d'arrivée.
Les IA intégrées aux SaaS existants
C'est là que la plupart des PME ont des angles morts. Vos outils SaaS existants intègrent de l'IA souvent activée par défaut : Notion AI, Slack AI, HubSpot AI, Salesforce Einstein, Google Gemini dans Workspace, Canva AI, Grammarly. Auditez chaque abonnement SaaS et vérifiez si des fonctionnalités IA sont actives.
Les IA invisibles
Certains systèmes IA fonctionnent en arrière-plan sans que personne ne les perçoive comme de l'IA : filtres anti-spam IA, correction orthographique intelligente, suggestions automatiques dans les emails, recommandations de contenu, scoring automatique dans le CRM. Ces outils sont souvent à risque minimal, mais ils doivent figurer dans le registre.
Le Shadow AI
Les outils IA non approuvés utilisés par les employés à l'insu de l'entreprise. Un sondage interne anonyme est le moyen le plus efficace de les découvrir. Question clé : "Utilisez-vous des outils IA personnels (ChatGPT, Perplexity, etc.) pour des tâches professionnelles ?"
Pour une méthode complète de détection du Shadow AI, consultez notre article dédié au Shadow AI dans les PME.
Pour une PME de 50 employés, attendez-vous à découvrir entre 8 et 20 outils IA en comptant les 4 catégories. Les outils visibles (étape 1) ne représentent généralement qu'un tiers de l'inventaire réel.
4. Classifier par niveau de risque — le process, pas le tableau
L'EU AI Act définit 4 niveaux de risque. Pour la classification détaillée avec exemples, consultez notre guide complet (section 4). Ici, nous nous concentrons sur le process de classification — les 3 questions à poser pour chaque outil.
Question 1 : l'outil prend-il des décisions affectant des personnes ?
Si l'outil IA influence des décisions sur le recrutement, l'accès au crédit, l'accès à des services essentiels, ou le diagnostic médical — il est potentiellement haut risque (Annexe III). C'est le signal d'alerte numéro un.
Question 2 : l'utilisateur sait-il qu'il interagit avec une IA ?
Si un client, un candidat ou un employé interagit avec une IA sans le savoir (chatbot client, assistant virtuel, contenu généré par IA présenté comme humain), vous avez une obligation de transparence. C'est le marqueur du risque limité.
Question 3 : l'outil traite-t-il des données sensibles sans supervision humaine ?
Si oui, examinez de plus près. Un outil qui accède à des emails clients, des données RH, ou des informations financières sans qu'un humain ne vérifie les résultats mérite une attention particulière.
Attention : un même outil peut avoir des niveaux de risque différents selon l'usage. ChatGPT utilisé pour rédiger des emails marketing = risque limité. ChatGPT utilisé pour pré-qualifier des candidats = potentiellement haut risque. Classifiez l'USAGE, pas l'outil.
En cas de doute, documentez l'outil comme risque limité et planifiez une évaluation approfondie. Mieux vaut sur-documenter que sous-documenter.
5. Template Excel Complyla — mode d'emploi pas à pas
Nous avons créé un template Excel gratuit avec 4 onglets pré-formatés, conçu pour les PME. Vous pouvez le télécharger et commencer à le remplir en moins de 30 minutes.
📄 Obtenez le template Registre des Systèmes IA
Excel pré-formaté, 4 onglets, exemples inclus, code couleur automatique. Remplissez notre évaluation rapide et recevez le template avec votre rapport personnalisé.
Évaluation gratuite → template inclusOnglet 1 — Registre IA
L'onglet principal. Une ligne par outil IA avec 12 colonnes pré-formatées (les 7 essentielles + des champs complémentaires : date de déploiement, version, catégorie d'usage, etc.). Des exemples pré-remplis vous guident. Le code couleur par niveau de risque — rouge, orange, bleu, vert — donne une vision instantanée de votre exposition.
Onglet 2 — Classification Risques
La matrice de décision par niveau de risque. Pour chaque outil de l'onglet 1, utilisez cette grille pour déterminer le niveau applicable. Les critères de l'Annexe III sont résumés en langage simple avec des exemples concrets (recrutement, chatbot, scoring).
Onglet 3 — Checklist Conformité
Une checklist structurée des obligations EU AI Act applicables à votre situation. Pour chaque obligation (littératie IA, transparence, documentation, supervision humaine), vérifiez si vous êtes conforme, en cours, ou non conforme. C'est votre outil de suivi trimestriel.
Onglet 4 — Infos légales
Les références réglementaires essentielles : articles clés de l'EU AI Act, dates d'entrée en vigueur, niveaux d'amendes, définitions officielles. Un aide-mémoire pour ne pas avoir à relire le règlement à chaque mise à jour du registre.
Fréquence de mise à jour : trimestrielle minimum. Déclenchez aussi une mise à jour à chaque adoption d'un nouvel outil IA dans l'entreprise. En pratique, réservez 30 minutes par trimestre — c'est suffisant pour une PME de moins de 250 employés.
6. Les 5 erreurs qui rendent votre registre inutile
Erreur #1 : ne lister que les outils "officiels"
Si votre registre ne contient que les outils approuvés par la direction, il est incomplet. Le Shadow AI — les outils utilisés par les employés sans autorisation — représente une part significative de l'inventaire réel. Un registre incomplet = un inventaire qui ne protège pas votre entreprise.
Erreur #2 : confondre outil et usage
ChatGPT n'a pas un seul niveau de risque. Il en a autant que d'usages. Rédiger des emails = risque limité. Analyser des CV = potentiellement haut risque. Résumer des rapports médicaux = potentiellement haut risque. Classifiez l'usage, pas le nom de l'outil.
Erreur #3 : créer le registre et ne jamais le mettre à jour
Un registre d'avril 2026 est obsolète en septembre 2026. De nouveaux outils IA sont adoptés chaque mois, des employés changent de poste, des fonctionnalités IA sont activées dans des SaaS existants. Sans mise à jour trimestrielle, votre registre devient un document historique — pas un outil de conformité.
Erreur #4 : oublier les IA intégrées aux SaaS
Microsoft Copilot est dans votre Office 365, même si personne ne l'a demandé. Google Gemini est dans Workspace. Notion AI est activable en un clic. Ces IA intégrées accèdent à vos emails, fichiers, CRM — et la plupart des PME ne les ont même pas identifiées.
Erreur #5 : classifier au feeling
La classification par niveau de risque doit suivre les critères de l'Annexe III de l'EU AI Act — pas votre intuition. "Ça ne me semble pas risqué" n'est pas une justification documentable. Utilisez les 3 questions de la section 4 et documentez votre raisonnement.
7. Questions fréquentes
Combien d'outils IA dois-je m'attendre à trouver dans ma PME ?
Entre 5 et 20 selon la taille de votre entreprise et votre secteur d'activité. Les outils visibles ne représentent qu'une fraction de l'inventaire réel — les IA intégrées aux SaaS et le Shadow AI augmentent significativement ce chiffre.
Dois-je inclure les outils IA gratuits dans le registre ?
Oui. L'EU AI Act ne fait aucune distinction entre outils IA gratuits et payants. Un employé qui utilise la version gratuite de ChatGPT pour traiter des données clients crée le même risque de conformité qu'un outil payant.
Qui doit maintenir le registre ?
L'EU AI Act n'impose pas de fonction dédiée. Dans les PME, c'est généralement le DPO (s'il existe), le DSI, le responsable qualité, ou le dirigeant. L'important est que cette personne ait la visibilité sur tous les services et l'autorité pour demander des informations à chaque département.
Un registre par département ou un seul ?
Un seul registre centralisé. Des registres séparés créent des angles morts : un même outil utilisé par deux services pourrait être classifié différemment. Le registre centralisé assure une vue consolidée et une classification cohérente.
Mon registre RGPD couvre-t-il le registre IA ?
Non. Ce sont deux documents distincts et complémentaires. Le registre RGPD recense les traitements de données personnelles. Le registre IA recense les systèmes d'intelligence artificielle. Un outil IA peut apparaître dans les deux pour des raisons différentes.
Que faire si je découvre un outil haut risque ?
Trois options : mettre le système en conformité (documentation technique, supervision humaine, évaluation des risques), remplacer le système par une alternative à risque plus faible, ou retirer le système. Dans tous les cas, documentez votre décision et son raisonnement.
8. Passer à l'action
Le registre des systèmes IA est le document de conformité numéro un de l'EU AI Act. Sans lui, aucune autre démarche de conformité ne tient. La bonne nouvelle : pour une PME, un tableur structuré avec les bonnes colonnes suffit pour démarrer.
Le premier pas est toujours le même : inventoriez ce que vous utilisez. Tout le reste découle de là. Pour un plan d'action complet semaine par semaine, consultez notre checklist de conformité en 90 jours.
Prêt à créer votre registre ?
Commencez par identifier vos outils IA avec notre questionnaire, ou téléchargez directement le template Excel.
Évaluation gratuite (10 min) Réserver un échange de 30 minCe contenu constitue un guide informatif et ne constitue pas un avis juridique. Pour toute question juridique spécifique relative à l'EU AI Act, consultez un avocat spécialisé.