Comment enregistrer votre système IA dans la base de données UE (Article 71)
L'Article 71 de l'AI Act oblige les fournisseurs et, dans certains cas, les déployeurs de systèmes d'IA à haut risque à s'enregistrer dans la base de données UE avant la mise sur le marché. Ce guide pas-à-pas explique qui doit s'enregistrer, quelles données soumettre et les erreurs courantes à éviter.
La base de données UE des systèmes d'IA à haut risque est l'un des mécanismes de transparence les plus concrets de l'AI Act — et l'une des obligations qui ne peut pas être différée après la mise sur le marché. L'Article 71 impose l'enregistrement avant qu'un système d'IA à haut risque soit mis sur le marché ou mis en service. Pourtant, de nombreuses organisations ne découvrent cette exigence que tardivement dans leur processus de conformité, ce qui les contraint à s'y préparer dans l'urgence.
Ce guide explique qui doit s'enregistrer, à quel moment, quelles données soumettre, comment sont gérées les informations publiques et confidentielles, et les erreurs les plus courantes qui retardent ou invalident l'enregistrement.
Qu'est-ce que la base de données UE sur l'IA ?
La base de données UE (parfois désignée EUAIDB ou EUIDB dans les documents de la Commission) est un registre UE accessible au public répertoriant les systèmes d'IA à haut risque. Elle est établie par l'Article 71 et maintenue par la Commission européenne. Son objectif est double :
- Transparence : Permettre aux personnes concernées, à la société civile et aux régulateurs d'identifier quels systèmes d'IA à haut risque opèrent sur le marché UE.
- Surveillance du marché : Donner aux autorités nationales un point de référence consultable pour identifier les fournisseurs et leurs systèmes à des fins d'investigation et d'application de la loi.
La base de données n'est pas un registre de certification. L'enregistrement ne constitue pas une approbation, un marquage CE, ni une déclaration de conformité. C'est une obligation administrative de transparence qui s'exerce en parallèle de l'évaluation de conformité.
Qui doit s'enregistrer ?
Les obligations d'enregistrement incombent à différents acteurs selon la catégorie de l'Annexe III dans laquelle le système entre.
Les fournisseurs — toujours obligatoires
Tous les fournisseurs de systèmes d'IA à haut risque listés à l'Annexe III doivent enregistrer leurs systèmes avant de les mettre sur le marché UE ou de les mettre en service. Il n'existe pas d'exception fondée sur la taille de l'entreprise — les dispositions applicables aux PME et micro-entreprises (Article 62) réduisent certaines charges d'évaluation de conformité, mais ne dispensent pas de l'obligation d'enregistrement.
Les déployeurs — obligatoires pour l'Annexe III §1-7 en contexte non public
Voici ce que la plupart des organisations manquent. Pour les systèmes d'IA listés à l'Annexe III, points 1 à 7 (qui couvre la biométrie, les infrastructures critiques, l'éducation, l'emploi, l'accès aux services, le maintien de l'ordre, la migration et l'administration de la justice — mais pas l'IA à usage général), les déployeurs sont également tenus de s'enregistrer lorsque le système n'est pas fourni commercialement et que le déployeur l'a substantiellement modifié.
Plus concrètement, en vertu de l'Article 71(4), les déployeurs de systèmes d'IA relevant des catégories Annexe III §1-7 opérant dans un contexte non public (c'est-à-dire des déploiements internes à une entreprise non mis sur le marché ouvert) doivent s'enregistrer de manière indépendante s'il n'existe pas d'enregistrement du fournisseur. Cela concerne les entreprises qui développent des systèmes d'IA à haut risque en interne pour leur propre usage.
Qui est exempté de l'enregistrement ?
- Les fournisseurs et déployeurs de systèmes d'IA à haut risque utilisés exclusivement à des fins de sécurité nationale, militaires ou de défense (Article 2(3))
- Les systèmes d'IA à haut risque utilisés par les autorités compétentes à des fins de maintien de l'ordre listées, soumis aux règles séparées de l'Article 49
- Les modèles d'IA à usage général (couverts par le Titre VII, pas par l'Article 71)
Quand l'enregistrement doit-il intervenir ?
L'enregistrement doit être complété avant la mise sur le marché UE du système d'IA à haut risque ou sa mise en service. L'Article 71(1) est explicite : l'enregistrement est une condition préalable à la mise sur le marché, pas une tâche administrative postérieure.
En pratique, l'enregistrement doit être planifié pendant la phase d'évaluation de conformité, de sorte que lorsque la documentation technique est finalisée et la déclaration de conformité signée, l'enregistrement puisse être soumis immédiatement.
Suite à l'accord provisoire AI Omnibus (7 mai 2026), le délai pour les obligations haut-risque Annexe III — dont l'enregistrement — est repoussé au 2 décembre 2027 pour les systèmes autonomes et au 2 août 2028 pour les systèmes intégrés dans des produits couverts par l'Annexe I. Pour les systèmes déjà en service qui restent inchangés, les dispositions transitoires de l'Article 111(2) continuent de s'appliquer.
Quelles données doivent être soumises ?
L'Article 71(6) précise les informations que les fournisseurs doivent soumettre. Les champs requis incluent :
| Champ | Description |
|---|---|
| Nom et coordonnées du fournisseur | Raison sociale, adresse du siège, représentant autorisé (pour les fournisseurs hors UE) |
| Nom et version du système d'IA | Nom commercial et identifiant de version |
| Finalité prévue | Description précise de ce que le système est conçu pour faire |
| Statut sur le marché | Si le système est mis sur le marché, mis en service ou mis à jour |
| États membres d'exploitation | Tous les États membres UE où le système sera déployé ou utilisé |
| Procédure d'évaluation de conformité | Référence à la procédure utilisée (Annexe VI ou Annexe VII) |
| Détails de l'organisme notifié | Nom et numéro d'enregistrement de l'organisme notifié, le cas échéant |
| Déclaration UE de conformité | Numéro de référence et date |
| Référence à la documentation technique | Référence à l'emplacement de la documentation technique |
| Instructions d'utilisation | Résumé ou référence |
| Catégorie à haut risque | Entrée spécifique de l'Annexe III applicable |
Les fournisseurs doivent également indiquer si le système est destiné à interagir avec des personnes et, dans l'affirmative, dans quel contexte.
Accès public et informations confidentielles
Toutes les données d'enregistrement ne sont pas accessibles au public. L'Article 71(8) permet de désigner certaines informations comme confidentielles lorsque leur divulgation publique nuirait aux intérêts commerciaux légitimes du fournisseur ou compromettrait la sécurité du système.
Concrètement, les données suivantes sont généralement publiques :
- Nom et pays du fournisseur
- Nom du système d'IA et finalité prévue
- Catégorie à haut risque
- États membres de déploiement
- Statut (actif, retiré, mis à jour)
Les éléments suivants peuvent être désignés comme confidentiels :
- Description détaillée de l'architecture technique
- Sources de données d'entraînement spécifiques
- Métriques de performance propriétaires
- Instructions d'utilisation détaillées lorsqu'elles révèlent des informations concurrentielles
Les fournisseurs doivent néanmoins soumettre les informations confidentielles à la base de données — la Commission et les autorités nationales de surveillance du marché y ont accès complet. La désignation de confidentialité ne restreint que la visibilité publique, pas l'accès réglementaire.
Le lien avec l'EUIDB
L'EUIDB (base de données interne UE) est la plateforme opérationnelle maintenue par la Commission. À mi-2026, la Commission finalise l'interface pour les soumissions d'enregistrement public à la suite des actes d'exécution au titre de l'Article 74(3).
Les fournisseurs et déployeurs doivent surveiller le portail EUIDB sur le portail IA de la Commission (ai.ec.europa.eu) pour obtenir des orientations d'enregistrement, les spécifications des champs et les instructions de soumission technique au fur et à mesure de leur publication. L'interface devrait être pleinement opérationnelle d'ici le T3 2026.
Processus d'enregistrement pas-à-pas
Étape 1 : Confirmer le périmètre. Vérifier que votre système se qualifie comme à haut risque en vertu de l'Annexe III et que vous êtes le fournisseur ou le déployeur qualifiant tenu de s'enregistrer.
Étape 2 : Compléter la documentation technique. L'enregistrement ne peut pas être effectué de manière significative sans que la documentation technique requise au titre de l'Article 11 et de l'Annexe IV ne soit finalisée — de nombreux champs d'enregistrement font directement référence à la documentation technique.
Étape 3 : Achever l'évaluation de conformité. Si votre système nécessite une évaluation de conformité par tierce partie (Annexe VII), elle doit être complète avant l'enregistrement, car le numéro de référence de l'organisme notifié et la référence de la déclaration UE de conformité sont des champs obligatoires.
Étape 4 : Préparer les données d'enregistrement. Compiler tous les champs requis (voir tableau ci-dessus) et déterminer quels champs désigner comme confidentiels au titre de l'Article 71(8).
Étape 5 : Soumettre sur le portail EUIDB. Créer un compte sur le portail EUIDB de la Commission, compléter le formulaire d'enregistrement et soumettre. Conserver le numéro d'enregistrement attribué pour l'inclure dans la documentation technique et la déclaration de conformité.
Étape 6 : Maintenir l'enregistrement à jour. L'enregistrement n'est pas une soumission unique. Toute modification substantielle du système d'IA, changement de finalité prévue, retrait du marché ou mise à jour du statut d'évaluation de conformité doit se refléter dans une mise à jour de l'enregistrement dans un délai raisonnable.
Erreurs courantes
S'enregistrer après la mise sur le marché. L'Article 71 exige l'enregistrement avant la mise sur le marché. Les entreprises qui traitent l'enregistrement comme une tâche administrative post-lancement sont immédiatement non conformes.
Description vague de la finalité prévue. Le champ relatif à la finalité prévue doit correspondre précisément à la documentation technique. Des entrées vagues comme « IA pour les processus métier » sont insuffisantes et devront être corrigées.
Omettre d'enregistrer dans tous les États membres concernés. L'enregistrement couvre le marché UE, mais la liste des États membres où le système opère doit être exacte et mise à jour lorsque le déploiement s'étend.
Ignorer l'enregistrement des déployeurs. Les développeurs en interne de systèmes d'IA à haut risque pour leur propre usage omettent fréquemment qu'ils peuvent se qualifier comme déployeurs tenus de s'enregistrer indépendamment au titre de l'Article 71(4).
Ne pas mettre à jour l'enregistrement après modifications. Une modification substantielle d'un système d'IA à haut risque déclenche une nouvelle évaluation de conformité et une mise à jour de l'enregistrement. Traiter l'enregistrement initial comme permanent est une lacune de conformité.
Confondre enregistrement et marquage CE. L'enregistrement confirme que l'obligation administrative de transparence est remplie. Il n'est pas équivalent au marquage CE et ne signale pas la conformité. Les deux sont requis, mais ce sont des procédures distinctes.
La plateforme de conformité DILAIG inclut une liste de contrôle de préparation à l'enregistrement Article 71 qui met en correspondance les champs de votre documentation technique avec les données EUIDB requises, identifie les lacunes avant soumission et maintient un journal historique des enregistrements. Préparez votre dossier d'enregistrement sur dilaig.com.