Aller au contenu principal

Construire un registre IA en 90 minutes (règlement IA)

Une méthode en cinq étapes, bouclée en 90 minutes, pour le registre IA qu'impose aux PME européennes l'article 26 du règlement IA et les lignes directrices de l'ICO. Colonnes de départ, pièges, règles de responsabilité.

Construire un registre IA en 90 minutes (règlement IA)
Méthodologie : Daniela PiskackovaCo-founder & AI Audit Lead

La plupart des PME européennes voient le registre IA comme un livrable lourd, à produire le jour où l'application du règlement IA se fera mordante. C'est une erreur de catégorie. Une première version opérationnelle se monte en quatre-vingt-dix minutes si vous la cadrez comme un inventaire côté déployeur plutôt que comme un artefact de conformité. Voici la méthode en cinq étapes que nous déroulons avec les responsables d'exploitation lors de nos missions d'audit — celle-là même qui met sur une page, dès le vendredi après-midi, un panorama de risque au sens de l'annexe III, et qui dégage ensuite la marge pour mener le travail de fond comme il se doit.

Réponse rapide. Un registre IA est l'inventaire, côté déployeur, de chaque système d'IA présent dans votre organisation ; il découle des obligations du déployeur posées à l'article 26 du règlement IA [1] et s'aligne sur les lignes directrices de l'ICO au titre du UK GDPR [2]. Une première version opérationnelle se monte en quatre-vingt-dix minutes pour une PME de moins de 200 salariés : 15 minutes pour recenser, 20 pour classer par niveau de risque au regard de l'annexe III, 25 pour remplir les colonnes essentielles, et 30 pour attribuer les responsabilités et contrôler le contrôle humain par sondage.

Qu'est-ce qu'un registre IA ?

Le registre IA est aux obligations du déployeur de l'article 26 ce que le registre des activités de traitement est à l'article 30 du UK GDPR : un inventaire vivant qui nomme chaque système, classe son niveau de risque et désigne une personne responsable. C'est le document qu'un enquêteur de l'ICO, un service achats ou l'équipe sécurité-fournisseurs d'un client grand compte réclamera en premier.

Le règlement IA ne prescrit pas le format du registre dans son texte. L'article 26, paragraphe 5, impose aux déployeurs de systèmes à haut risque d'assurer un contrôle humain par une personne nommément désignée et compétente ; l'article 26, paragraphe 6, impose la journalisation des usages à haut risque pendant au moins six mois [1]. Le registre est le substrat opérationnel qui rend l'un et l'autre visibles. L'ICO l'affirme clairement depuis 2023 : une IA qui traite des données à caractère personnel au titre du UK GDPR déclenche la discipline de l'analyse d'impact relative à la protection des données (AIPD) et des obligations de responsabilité [2], et la boîte à outils d'audit de l'IA de l'ICO énumère les types de relevés structurés dont une PME aura besoin [3]. Aucun régulateur n'impose un outil précis. Un tableur qui nomme les bonnes colonnes et attribue les bons responsables passe le test.

Pourquoi quatre-vingt-dix minutes suffisent (et ce que cela ne vous achète pas)

Le registre n'est pas la destination. C'est la carte. Quatre-vingt-dix minutes suffisent pour faire émerger quelle IA est en service, classer son niveau de risque et attribuer la responsabilité — le triptyque de faits que tout déployeur doit pouvoir démontrer avant qu'un régulateur, un client ou un conseil d'administration ne le lui demande. Ce que quatre-vingt-dix minutes ne vous achètent pas : une analyse d'impact sur les droits fondamentaux au titre de l'article 27 pour chaque système de l'annexe III, un programme de maîtrise de l'IA au titre de l'article 4 proportionné à chaque fonction, un dossier de diligence raisonnable fournisseur couvrant les contrats de sous-traitance et les fiches de modèle, ou un protocole de contrôle humain entièrement rédigé [1]. Ce sont des chantiers en aval, cadrés à partir de ce que le registre fait émerger.

La discipline du temps imparti compte davantage que le fini. Dans nos missions d'audit, les PME qui traitent le registre comme un projet de plusieurs semaines n'en produisent généralement aucun ; celles qui plafonnent leur première version à quatre-vingt-dix minutes produisent un registre dès le premier jour, puis l'itèrent. Les obligations de l'article 26 sont continues, et non figées à un instant donné : une première version que vous pouvez mettre à jour vaut strictement plus qu'une troisième version que vous n'avez jamais commencée.

Comment se déroule la méthode du registre IA en 90 minutes ?

Étape 1 — Recenser chaque système d'IA en service (15 minutes)

Trois sources couvrent l'essentiel de ce que vous trouverez. Tirez les abonnements SaaS payants de votre grand livre comptable ou de votre carte de frais — tout fournisseur dont le nom de produit comporte « AI », « ML », « Copilot », « Assistant » ou « Insight » a sa place sur la liste. Tirez l'IA intégrée de vos plateformes existantes — Microsoft 365 Copilot, les fonctions Gemini de Google Workspace, Salesforce Einstein, HubSpot Breeze, les réponses automatiques d'Outlook, les comptes rendus de réunion de Teams entrent tous dans le périmètre, payants ou non. Tirez l'IA fantôme d'un message interne d'un paragraphe demandant à chacun quels outils d'IA il utilise au quotidien, comptes grand public non payants compris.

Traitez l'IA fantôme comme entrant dans le périmètre. Un salarié qui colle un CV dans un compte ChatGPT gratuit fait de la PME un déployeur à haut risque au sens de l'annexe III, au titre des dispositions du règlement IA relatives à l'emploi [1], et les données quittent votre environnement au regard du UK GDPR [2]. Le rôle du registre est de faire émerger ce phénomène, non de le réprimer. La police vient à l'étape 4, une fois que vous savez ce qui s'y trouve.

Étape 2 — Classer chaque système par niveau de risque au regard de l'annexe III (20 minutes)

L'annexe III du règlement IA énumère huit domaines à haut risque [1] : l'identification biométrique, les infrastructures critiques, l'éducation et la formation professionnelle, l'emploi et la gestion des travailleurs, l'accès aux services essentiels, la répression pénale, la migration et le contrôle des frontières, et l'administration de la justice. Pour les PME, les déclencheurs concrets sont le plus souvent l'emploi (tri de CV, classement des performances, planification automatisée), l'accès aux services (décisions de crédit, tarification d'assurance) et l'éducation (évaluations de formation, certifications).

Pour chaque système de votre liste, étiquetez-le comme l'un des suivants : à haut risque (correspondance avec l'annexe III), à risque limité (obligations de transparence au titre de l'article 50), à risque minimal (aucune obligation spécifique au-delà de la maîtrise de l'IA de l'article 4) ou déployeur d'IA à usage général (utilisant un modèle d'IA à usage général comme ossature d'un agent conversationnel ou d'un assistant) [1]. La plupart des parcs des PME se répartissent sur deux ou trois niveaux. La classification relève du déployeur ; elle n'est pas délégable au fournisseur et ne dépend pas de la taille de l'entreprise.

Étape 3 — Remplir les dix colonnes essentielles (25 minutes)

Les colonnes qui méritent leur place dans un registre de déployeur :

  1. Nom du système — celui que vos équipes lui donnent au quotidien.
  2. Fournisseur — l'entité juridique derrière le produit.
  3. Modèle ou version — lorsqu'il est connu (par exemple GPT-4o, Claude 3.5, Gemini 1.5, ou solution interne).
  4. Cas d'usage — une phrase décrivant ce que le système décide ou génère.
  5. Niveau de risque — haut / limité / minimal / déployeur d'IA à usage général.
  6. Données à caractère personnel concernées — oui/non, avec les catégories au titre du UK GDPR.
  7. Base juridique — la base de l'article 6 du UK GDPR (intérêt légitime, contrat, consentement, etc.).
  8. Personne responsable — une personne nommément désignée, non une équipe ou un rôle.
  9. Journalisation au titre de l'article 26, paragraphe 6 — oui/non/sans objet pour les déploiements à haut risque.
  10. Date de mise en service — au minimum le mois et l'année.

Un tableur doté de ces dix colonnes répond à la première question que poseront tout régulateur, tout client ou tout administrateur. Tout ce qui va au-delà relève du travail itératif, non de la première version. Résistez à l'envie d'ajouter des colonnes tant que vous n'avez pas rempli les dix sur chaque ligne.

Étape 4 — Désigner une personne responsable par système (15 minutes)

L'article 26, paragraphe 5, impose aux déployeurs de systèmes à haut risque d'assurer un contrôle humain par une personne compétente et responsable, dotée du pouvoir de suspendre ou de neutraliser le système [1]. Traduisez-le dans votre registre en désignant une personne réelle en regard de chaque ligne relevant de l'annexe III — non un rôle comme « responsable informatique » ou « directeur de l'exploitation ». La personne responsable doit réunir trois propriétés : elle sait lire les sorties du système, elle a le pouvoir de le couper, et on peut la joindre nommément dans votre registre.

Pour les systèmes hors annexe III, désignez tout de même un responsable. L'obligation formelle est plus légère ; la discipline est la même. Les responsables d'exploitation et les cadres supérieurs sont les pilotes naturels dans la plupart des PME ; un directeur technique ou un directeur des données n'est pas requis.

Étape 5 — Contrôler par sondage le contrôle humain sur un système à haut risque (15 minutes)

Pour la ligne la plus risquée de votre annexe III, passez en revue trois questions : un humain examine-t-il la sortie de l'IA avant qu'elle n'affecte une personne (le test de l'humain dans la boucle) ; cet humain peut-il, en pratique, neutraliser la décision de l'IA (le test de l'autorité) ; a-t-il reçu une formation adaptée à sa fonction au titre de l'article 4 (le test de la maîtrise) [1] ? Les réponses vont dans une colonne en texte libre « notes de contrôle humain », adjacente aux dix colonnes essentielles.

Vous n'achèverez pas le protocole de contrôle humain en quinze minutes. L'objectif est de faire apparaître où se situe l'écart, non de le combler. Une ligne indiquant « aucun examen humain sur le tri de CV ; écart à combler sous 30 jours » est exactement la bonne sortie. Le rôle du registre est de rendre l'écart visible ; le combler relève d'un chantier distinct et d'un budget distinct.

La méthode du registre IA en 90 minutes sous forme de flux à temps imparti : recenser les systèmes en 15 minutes, classer par niveau de risque au regard de l'annexe III en 20, remplir dix colonnes essentielles en 25, désigner un responsable en 15, et contrôler le contrôle humain par sondage en 15.
La méthode du registre IA en 90 minutes sous forme de flux à temps imparti.

Quels cinq pièges tuent une première version de registre IA ?

  • Traiter le registre comme un document à coup unique. Les obligations de l'article 26 sont continues ; le registre est un artefact vivant, revu au moins chaque trimestre et actualisé chaque fois qu'un nouveau système d'IA est déployé ou qu'un fournisseur pousse un changement majeur de modèle.
  • Passer à côté de l'IA fantôme. Les comptes grand public non payants et les sessions Copilot personnelles forment la catégorie la plus accidentogène et la moins visible. Si le registre ne les fait pas émerger, il ment.
  • Acheter un « outil de conformité » avant d'avoir recensé. Le SaaS de conformité d'un fournisseur ne classera pas vos cas d'usage — seule votre équipe le peut. D'abord le tableur, l'outil ensuite (ou jamais ; pour une PME de moins de 200 salariés, un tableur bien tenu suffit).
  • Attribuer un rôle au lieu d'une personne. On ne peut pas joindre une « équipe informatique » en urgence. Une personne nommément désignée, avec un numéro de téléphone, oui. L'article 26, paragraphe 5, présuppose la seconde [1].
  • Faire entièrement l'impasse sur la maîtrise de l'IA de l'article 4. L'article 4 s'applique depuis le 2 février 2025 à tout salarié utilisant l'IA, proportionnellement à sa fonction [1]. Ce n'est pas un niveau de risque — chaque système fait naître une obligation au titre de l'article 4. Notez-la dans le registre, même lorsque le programme lui-même relève d'un travail en aval.

Que faire après les quatre-vingt-dix minutes

Le registre est la couche de découverte. Trois chantiers de suivi en décollent généralement :

  1. Le cadrage de l'analyse d'impact sur les droits fondamentaux pour chaque ligne de l'annexe III, au titre de l'article 27 du règlement IA [1] — un document distinct et plus approfondi, que la colonne « niveau de risque » du registre amorce plutôt qu'elle ne le remplace.
  2. Le programme de maîtrise de l'IA au titre de l'article 4 — proportionné à la fonction, cadré à partir de la colonne « personne responsable » du registre plutôt qu'à partir de l'effectif.
  3. Le dossier de diligence raisonnable fournisseur — contrats de sous-traitance, fiches de modèle, lignée des modèles d'IA à usage général, cadré à partir de la colonne « fournisseur » du registre et actualisé au renouvellement des achats.

Ce sont les chantiers qu'une approche pensée dès le départ couvre en une douzaine de semaines pour 18 000 à 32 000 £, d'après notre expérience de mission, et que la même approche, menée en rattrapage, couvre en six semaines comprimées pour 85 000 à 145 000 £ — un facteur cohérent avec les données du MIT Sloan postérieures au RGPD, qui montrent les entreprises de l'UE réduisant de 26 % les données stockées et de 15 % le calcul sous la pression de l'application [4]. Le registre est le tout premier coup le moins coûteux que l'on puisse jouer contre cette arithmétique.

Résumé

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Lectures associées


Dernière mise à jour : mai 2026. Version 1.0.

Questions fréquentes

Un registre IA remplace-t-il le registre des activités de traitement du RGPD ?
Non : ce sont deux inventaires complémentaires aux fondements juridiques distincts. Le registre des activités de traitement est imposé par l'article 30 du UK GDPR et recense les flux de données à caractère personnel. Le registre IA en est le pendant côté déployeur, au titre de l'article 26 du règlement IA et des lignes directrices de l'ICO ; il recense chaque système d'IA, qu'il traite ou non des données à caractère personnel. Beaucoup de systèmes figurent dans les deux, mais le renvoi est de type « un-à-plusieurs » dans les deux sens.
Nos salariés utilisent ChatGPT gratuit et Copilot grand public. Cela compte-t-il pour le registre ?
Oui. Les obligations du déployeur prévues à l'article 26 incombent à la PME, que l'abonnement à l'IA soit professionnel ou grand public, payant ou gratuit. Dès qu'un salarié utilise un outil d'IA dans le cadre du travail, la PME est le déployeur et le système a sa place dans le registre. Les comptes grand public gratuits sont en outre dépourvus du contrat de sous-traitance qu'offre une formule entreprise, ce qui accroît l'exposition au titre du UK GDPR au lieu de la réduire.
Notre PME est établie hors de l'UE. Le règlement IA s'applique-t-il à notre registre ?
Pour une PME établie hors de l'UE, l'applicabilité directe du règlement IA est plus étroite, mais rarement nulle. Le règlement a une portée extraterritoriale dès que les sorties d'un système sont utilisées dans l'UE, ce qui est courant pour les produits SaaS et les services B2B. Même sans exposition à l'UE, les régulateurs nationaux suivent la logique du règlement côté déployeur : l'ICO aligne ses lignes directrices britanniques dessus depuis 2023, et des juridictions européennes hors UE emboîtent le pas. Un registre conçu pour l'article 26 satisfait aussi à ces orientations nationales.
Qui doit piloter le registre IA dans une PME sans directeur technique ?
Le directeur de l'exploitation, le responsable de la conformité ou un cadre rattaché à la direction générale. Le registre relève d'un travail éditorial, non technique : tenir les lignes à jour, réviser les niveaux de risque quand les systèmes évoluent et relancer chaque trimestre les personnes responsables. Un schéma fréquent en PME : un responsable désigné tient le registre à raison d'environ trois heures par trimestre, chaque personne responsable assumant par ailleurs les obligations propres à son système.
À quelle fréquence faut-il actualiser le registre ?
Le trimestre est le rythme plancher réaliste pour une PME, complété d'une mise à jour déclenchée par tout événement : acquisition d'un nouveau système d'IA ou changement majeur de modèle (un fournisseur passant d'une génération de modèle à la suivante, par exemple). Pour les lignes à haut risque de l'annexe III, les entrées de journalisation s'actualisent en continu au titre de l'article 26, paragraphe 6. Un registre figé, vieux d'un an, échoue au test de démonstrabilité devant un régulateur ou un service achats.
Un tableur suffit-il, ou faut-il un outil GRC dédié ?
Pour une PME de moins de 200 salariés, un tableur suffit. Ce sont les colonnes, les responsables désignés et la discipline de révision trimestrielle qui portent le poids de l'audit, non la plateforme. Un fichier Excel ou Google Sheets à accès restreint et à historique des versions satisfait à l'exigence de démonstrabilité. Les outils GRC dédiés deviennent utiles au-delà d'environ 500 salariés ou quinze systèmes d'IA ; en deçà, leur surcoût excède le temps gagné.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Et si cette analyse portait sur votre entreprise ?

L’AI Foundation Audit est une évaluation structurée de votre empreinte IA : risques d’intégration, lacunes de gouvernance et potentiel de ROI. Vous recevez un rapport complet et directement exploitable.

Démarrer l’audit

Vous recevez le Rapport stratégique et le Brief d’implémentation, adaptés à votre activité et livrés immédiatement.