L'article 49 du Règlement (UE) 2024/1689 établit l'obligation d'enregistrer les systèmes d'IA à haut risque dans une base de données européenne centralisée avant leur mise sur le marché ou mise en service. Cette base de données constitue un outil majeur de transparence et de surveillance du marché européen de l'IA.

Contrairement à d'autres réglementations de produits où la traçabilité repose principalement sur la documentation accompagnant le produit, l'AI Act crée un registre public permettant à quiconque de consulter les systèmes d'IA à haut risque commercialisés ou utilisés dans l'Union européenne.

Cette innovation réglementaire répond à la nature particulière des systèmes d'IA : produits souvent immatériels, distribués numériquement, et dont les impacts peuvent affecter un grand nombre de personnes sans contact physique avec le "produit" lui-même.

Texte officiel de l'article 49 de l'AI Act

1. Avant de mettre sur le marché ou de mettre en service un système d'IA à haut risque visé à l'article 6, paragraphe 2, le fournisseur ou, le cas échéant, le représentant autorisé enregistre lui-même et enregistre le système dans la base de données de l'UE visée à l'article 71.

2. Les systèmes d'IA à haut risque visés à l'annexe III, point 1, dans les domaines des activités répressives, de la migration, de l'asile et de la gestion des contrôles aux frontières, ne sont pas enregistrés au niveau du système individuel. Dans ces cas, le fournisseur ou, le cas échéant, le représentant autorisé enregistre les systèmes d'IA à haut risque au niveau du groupe.

3. Avant de mettre en service ou d'utiliser un système d'IA à haut risque visé à l'article 6, paragraphe 2, les déployeurs qui sont des autorités publiques, des institutions, organes ou organismes de l'Union, ou des personnes agissant pour leur compte s'enregistrent, sélectionnent le système et enregistrent son utilisation dans la base de données de l'UE.

4. Pour les systèmes d'IA à haut risque visés aux points 1, 6, 7 et 8 de l'annexe III, dans les domaines des activités répressives, de la migration, de l'asile et de la gestion des contrôles aux frontières, l'enregistrement visé aux paragraphes 1, 2 et 3 est effectué dans une section sécurisée non publique de la base de données de l'UE visée à l'article 71.

5. Les informations visées à l'annexe VIII, section A, sont accessibles au public.

Analyse juridique approfondie

L'obligation d'enregistrement préalable (paragraphe 1)

L'enregistrement est une condition préalable impérative à la mise sur le marché ou à la mise en service. Un système d'IA à haut risque non enregistré ne peut légalement être commercialisé dans l'Union européenne. Cette obligation :

  • S'impose au fournisseur ou à son représentant autorisé
  • Couvre à la fois l'enregistrement du fournisseur lui-même et celui du système
  • Doit intervenir avant la mise sur le marché (pas au moment ou après)
  • S'applique à tous les systèmes d'IA à haut risque visés à l'article 6, paragraphe 2

Le régime particulier pour les systèmes sensibles (paragraphes 2 et 4)

Pour les systèmes d'IA utilisés dans des domaines particulièrement sensibles (forces de l'ordre, migration, asile, contrôle aux frontières), un régime dérogatoire s'applique :

  • Enregistrement au niveau du groupe : Pas d'enregistrement système par système mais par catégories, pour éviter de révéler les capacités opérationnelles
  • Section sécurisée non publique : Les informations sont enregistrées mais non accessibles au public
  • Accès restreint : Seules les autorités compétentes peuvent consulter ces informations

Ce régime vise à concilier les impératifs de transparence avec les besoins légitimes de confidentialité dans les domaines de sécurité et de contrôle des frontières.

L'enregistrement par les déployeurs publics (paragraphe 3)

Le paragraphe 3 crée une obligation d'enregistrement spécifique pour les déployeurs publics (autorités, institutions de l'UE, personnes agissant pour leur compte). Ces acteurs doivent :

  1. S'enregistrer eux-mêmes en tant que déployeurs
  2. Sélectionner dans la base de données le système d'IA qu'ils utilisent
  3. Enregistrer l'utilisation spécifique qu'ils en font

Cette double obligation (fournisseur + déployeur) garantit une traçabilité complète depuis le développement jusqu'au déploiement effectif.

L'accessibilité publique (paragraphe 5)

Les informations définies à l'annexe VIII, section A, sont rendues publiques. Cela comprend notamment :

  • L'identification du fournisseur et du système
  • La description du système et de sa finalité prévue
  • Les informations sur le statut de conformité
  • Les références à la documentation technique

Cette transparence permet aux citoyens, aux organisations de la société civile et aux chercheurs de surveiller le déploiement des systèmes d'IA à haut risque en Europe.

Le contenu de l'enregistrement

L'annexe VIII du règlement définit les informations à fournir lors de l'enregistrement :

Section A - Informations publiques

  • Nom, adresse et coordonnées du fournisseur
  • Nom et description du système d'IA
  • Finalité prévue et catégorie de risque
  • Statut de conformité et date de mise sur le marché
  • États membres où le système est mis sur le marché
  • URL vers la déclaration UE de conformité
  • Le cas échéant, informations sur l'organisme notifié

Section B - Informations à accès restreint

  • Informations techniques détaillées
  • Données sur les procédures d'évaluation
  • Instructions d'utilisation
  • Informations sensibles sur les algorithmes

Exemple d'application

📋 Enregistrement d'un système de scoring crédit

Une fintech développe un système d'IA d'évaluation de la solvabilité (scoring crédit). Voici les étapes d'enregistrement :

  1. Enregistrement fournisseur : La fintech crée un compte sur la base de données européenne avec ses informations d'identification
  2. Enregistrement système : Elle saisit les informations sur le système :
    • Nom : "CreditAI Score v3.0"
    • Finalité : "Évaluation automatisée de la solvabilité pour l'octroi de crédits à la consommation"
    • Catégorie : Annexe III, point 5(b) - services financiers
    • Référence à l'organisme notifié : n° 1234
  3. Validation : Le système attribue un numéro d'enregistrement unique
  4. Publication : Les informations de la section A deviennent publiques

Ensuite, une banque française souhaitant utiliser ce système devra elle-même s'enregistrer comme déployeur et enregistrer son utilisation du système.

Articulation avec d'autres dispositions

  • Article 6 (Classification des systèmes à haut risque) : Définit quels systèmes doivent être enregistrés
  • Article 47 (Déclaration UE de conformité) : La déclaration est liée à l'enregistrement
  • Article 48 (Marquage CE) : L'enregistrement complète le dispositif de mise sur le marché
  • Article 71 (Base de données de l'UE) : Définit les caractéristiques techniques de la base de données
  • Annexe VIII : Précise le contenu de l'enregistrement

Implications pratiques

Pour les fournisseurs

  • Prévoir l'enregistrement dans le planning de mise sur le marché
  • Préparer toutes les informations requises à l'avance
  • Maintenir les informations à jour en cas de modification
  • Conserver le numéro d'enregistrement pour la documentation

Pour les déployeurs publics

  • S'enregistrer avant la mise en service du système
  • Documenter l'utilisation spécifique envisagée
  • Mettre à jour l'enregistrement si l'utilisation évolue

Pour les autorités de surveillance

  • Utiliser la base de données pour identifier les systèmes à contrôler
  • Vérifier la cohérence des informations enregistrées
  • Accéder à la section sécurisée pour les systèmes sensibles

Pour le public

  • Consulter la base pour identifier les systèmes d'IA utilisés
  • Vérifier la conformité des systèmes qui vous concernent
  • Identifier les fournisseurs en cas de réclamation

L'article 49 crée un mécanisme de transparence inédit dans la réglementation des produits : un registre public européen des systèmes d'IA à haut risque. Cette base de données permettra aux citoyens de savoir quels systèmes d'IA sont déployés autour d'eux, aux autorités de surveiller efficacement le marché, et aux chercheurs d'étudier le paysage de l'IA européenne. Tout en ménageant des exceptions justifiées pour les domaines sensibles, cette disposition constitue une avancée majeure pour la transparence algorithmique dans l'Union européenne.