1. Pourquoi tenir un registre ?
Le règlement IA Act impose la documentation à plusieurs endroits. Pour les déployeurs (vous, dans la majorité des cas), la documentation prend la forme d'un registre interne qui peut prendre différents formats selon votre situation.
Trois raisons concrètes de tenir un registre :
- Conformité légale. Pour les systèmes haut risque (Annexe III), c'est obligatoire (article 26, paragraphe 6 du règlement). Pour les autres niveaux, c'est fortement recommandé pour démontrer votre bonne foi en cas de contrôle.
- Pression commerciale B2B. Vos clients grands comptes vont vous demander, dans leurs appels d'offres dès 2026, la liste des systèmes IA que vous utilisez. Avoir le registre prêt vous évite des semaines de recherche pour répondre.
- Outil de pilotage interne. Au-delà de la conformité, le registre vous donne une vision globale : qui utilise quoi, depuis quand, pour quoi. C'est précieux pour réduire les coûts (deux outils IA qui font la même chose), pour la sécurité (un outil obsolète ou non maintenu), et pour la formation des équipes.
2. Les 12 champs essentiels du registre
Voici les 12 colonnes (ou champs si vous préférez Notion/Airtable) que doit contenir un registre minimal robuste. Vous pouvez en ajouter d'autres selon votre activité.
| # | Champ | Description |
|---|---|---|
| 1 | Nom du système | ChatGPT, Claude, le chatbot Crisp avec IA, l'outil SaaS X qui intègre une IA... |
| 2 | Fournisseur | OpenAI, Anthropic, Google, votre éditeur SaaS, etc. |
| 3 | Version / modèle | GPT-4o, Claude Sonnet 4, Gemini 1.5 Pro, etc. |
| 4 | Cas d'usage | Description courte : "Rédaction emails clients", "Tri CV", "Chatbot site web" |
| 5 | Classe de risque | Inacceptable / Élevé / Limité / Minimal (cf. chapitre 2) |
| 6 | Rôle AzenFlow | Déployeur (le plus souvent) ou Fournisseur |
| 7 | Données traitées | Quel type de données passe dans l'outil (anonymes, pseudonymisées, personnelles, sensibles) |
| 8 | Date de mise en service | Quand vous avez commencé à l'utiliser dans l'entreprise |
| 9 | Responsable interne | Qui supervise cet usage dans l'entreprise (nom, fonction) |
| 10 | Mention IA appliquée ? | Oui / Non / Partielle. Où ? (CGV, signature email, chatbot...) |
| 11 | Doc fournisseur | Lien ou référence vers la documentation de conformité du fournisseur (article 13, à demander) |
| 12 | Dernière revue | Date de la dernière vérification que tout est encore correct |
Pour un système haut risque, ajoutez 4 champs supplémentaires : (13) audit de biais réalisé, (14) supervision humaine décrite, (15) information des personnes concernées, (16) plan de gestion des risques.
3. Quel format choisir ?
Le règlement n'impose pas de format. Vous avez 4 options pratiques selon votre maturité digitale :
Option 1 : Fichier Excel ou Google Sheets
Le plus simple, recommandé pour 80 % des PME. Une ligne par système, les 12 colonnes, un onglet par année. Avantage : tout le monde sait l'utiliser, pas de coût. Inconvénient : pas d'historique automatique des modifications.
Option 2 : Base Notion ou Airtable
Idéal si vous utilisez déjà Notion ou Airtable. Une base de données avec les 12 champs, des vues filtrées (par classe de risque, par responsable, par date). Avantage : historique des modifications, vues collaboratives. Inconvénient : un peu plus long à mettre en place.
Option 3 : Outil dédié IA Act
Pour les PME qui ont des dizaines de systèmes IA ou un haut risque marqué. Plusieurs SaaS spécialisés sont apparus en 2025-2026 (Naaia, Grace, etc.). Avantage : workflows complets, audits intégrés. Inconvénient : 100 à 500 €/mois, surdimensionné pour une PME en risque limité.
Option 4 : Génération automatique avec n8n auto-hébergé ⭐
Notre recommandation pour les TPE et PME qui utilisent n8n. Si vos automatisations IA tournent dans n8n auto-hébergé, le registre peut être généré automatiquement à partir des workflows. Voir le chapitre 7 pour le détail. C'est l'option la plus puissante et la plus économique.
4. Template Excel prêt à l'emploi
Voici le template complet pour démarrer votre registre. Copiez-collez ces colonnes dans un Google Sheets ou un Excel.
5. Exemple concret rempli (PME 12 personnes)
Voici à quoi ressemble un registre rempli pour une PME française type. Vous pouvez vous inspirer directement.
| Système | Fournisseur | Cas usage | Risque | Données | Mention IA |
|---|---|---|---|---|---|
| ChatGPT Plus | OpenAI | Rédaction emails commerciaux | Limité | Anonymes | Signature email |
| Claude Pro | Anthropic | Brouillons articles blog | Limité | Anonymes | Mention bas d'article |
| Crisp Chatbot | Crisp + OpenAI | Support client niveau 1 | Limité | Pseudonymisées | Message d'accueil "Assistant IA" |
| Pennylane (mini-IA) | Pennylane | Catégorisation pièces compta | Minimal | Pseudonymisées | N/A |
| Antidote | Druide informatique | Correction grammaticale | Minimal | Anonymes | N/A |
| Midjourney | Midjourney Inc. | Visuels marketing | Limité | Anonymes | Alt text "Image IA" |
Cette PME a 6 systèmes IA identifiés, tous en risque limité ou minimal, conformes après quelques mises à jour de signatures et de mentions. Effort total : 1 demi-journée pour cartographier + 1 jour pour mettre les mentions en place. Total = 1 jour et demi.
6. Lien avec le registre RGPD
Si vous traitez des données personnelles, vous avez déjà un registre des activités de traitement imposé par l'article 30 du RGPD. Bonne nouvelle : les deux registres sont complémentaires, pas redondants.
Pour gagner du temps, vous pouvez :
- Référencer croisé. Dans le registre RGPD, ajoutez une colonne "Système IA impliqué" qui pointe vers votre registre IA Act. Et dans le registre IA Act, ajoutez une colonne "Traitement RGPD lié" si applicable.
- Outil unique. Si vous utilisez Notion/Airtable, créez deux bases liées qui se référencent automatiquement.
- Champ "Données traitées". Ce champ est commun aux deux logiques, ne le dupliquez pas.
Important : ne fusionnez pas les deux registres en un seul. Ils répondent à des questions différentes (RGPD = "comment vous protégez les données personnelles", IA Act = "comment vous utilisez l'IA de manière responsable"). Garder deux registres distincts mais croisés est plus clair.
7. Routine de mise à jour
Un registre n'a de valeur que s'il est à jour. Voici la routine recommandée pour ne pas en faire un fardeau.
8. Qui doit y avoir accès ?
Le registre est un document interne. Vous n'avez pas besoin de le publier. Mais voici qui devrait y avoir accès :
- Le dirigeant et la direction. Vue d'ensemble des risques.
- Le DPO (si désigné). Lien avec le RGPD.
- Le responsable IT/digital. Vue technique.
- Le responsable conformité (si poste).
- Les autorités, sur demande. En cas de contrôle CNIL ou AI Office, vous devez pouvoir le présenter dans des délais raisonnables (typiquement 8 à 30 jours selon la gravité).
Pas besoin de le rendre public sur votre site web. C'est un document de travail interne, pas une publication marketing.
9. Erreurs fréquentes à éviter
Erreur 1 : "On le fera plus tard, quand on aura le temps"
Plus vous attendez, plus la cartographie initiale est longue. Si votre PME a 30 usages IA dispersés sans documentation, retracer tout ça prendra des semaines. Démarrez maintenant, même imparfait. Un registre à 60 % est mieux que pas de registre du tout.
Erreur 2 : Vouloir lister tous les sous-cas d'usage
Ne créez pas une ligne par cas d'usage de ChatGPT (rédiger un email, résumer un texte, brainstormer...). Une ligne par système avec un champ "Cas d'usage" qui décrit en quelques mots les usages principaux. Sinon le registre devient ingérable.
Erreur 3 : Oublier de mettre à jour quand un usage est arrêté
Si vous arrêtez d'utiliser un outil, marquez-le comme "Retiré" avec une date dans le registre, ne le supprimez pas. C'est important pour l'historique en cas de contrôle.
Erreur 4 : Confondre registre et politique IA
Le registre est la liste des outils. La politique IA est le document qui dit "comment l'entreprise gère ses usages IA" (qui peut utiliser quoi, avec quelles données, avec quelle approbation). Ce sont deux documents complémentaires. Pour une TPE de 5 personnes, une page de politique suffit. Pour une PME de 30+, c'est plus structuré.
10. À retenir avant le chapitre suivant
- Le registre est obligatoire pour les systèmes haut risque, fortement recommandé pour les autres
- 12 champs essentiels minimum, 16 si haut risque
- Format : Excel suffit pour 80 % des PME, Notion/Airtable pour les mieux organisées, n8n auto-hébergé pour la génération automatique
- Croiser avec le registre RGPD sans les fusionner
- Routine : ajout 7 jours par nouveau système, revue trimestrielle 15 min, revue annuelle 1h
- Total maintenance : ~2h par an pour une PME standard
Au chapitre 7 (la page pilier), on découvre comment n8n auto-hébergé sur un serveur français peut simplifier 80 % de vos obligations IA Act : registre auto-généré, traçabilité native, données qui ne quittent pas l'Europe, conformité RGPD intégrée. C'est l'architecture souveraine qui change tout pour les PME.