Registre IA : qui choisir avant le grand tri ?

Le mot “registre” a l’air administratif. Il ne l’est pas. En 2026, il devient le premier test de lucidité des entreprises face à l’IA. Avant de parler gouvernance, conformité, label, responsable IA ou comité éthique, il faut répondre à une question beaucoup plus simple : quels systèmes d’IA utilise-t-on vraiment, par qui, avec quelles données, pour quelle décision et avec quelle trace ?

La question paraît presque trop modeste. Elle est pourtant celle qui casse le plus vite. L’IA n’arrive plus seulement par un grand projet déclaré. Elle entre par Microsoft 365, un CRM, un outil de support, une extension navigateur, un outil marketing, un générateur d’images, un module RH, un compte ChatGPT payé par une carte personnelle, une automatisation n8n, un script écrit par un salarié ou un prestataire qui a branché une API sans cérémonie.

L’Europe pousse dans deux directions à la fois. D’un côté, l’AI Act fixe une chronologie de plus en plus concrète, avec des obligations déjà applicables et d’autres qui montent jusqu’au 2 août 2026. De l’autre, la stratégie Apply AI veut accélérer l’adoption, notamment dans les PME. Le signal politique n’est donc pas “ralentissez”. Il est plus inconfortable : adoptez, mais sachez ce que vous adoptez.

AI Act, Code of Practice on Transparency of AI-Generated Content et Apply AI Strategy, Commission européenne, vérifiés le 16 juin 2026.

Le bon comparatif ne consiste donc pas à demander quel outil rend l’AI Act “facile”. Aucun outil sérieux ne peut promettre cela. Il consiste à choisir qui va produire la première vérité opérationnelle : la liste des usages, leur classement, les responsabilités, les preuves et les décisions d’arrêt.

Ce qu’un registre IA doit contenir

Un registre IA utile n’est pas une feuille Excel décorative. C’est une carte de responsabilité. Il doit dire au minimum six choses.

D’abord, le système ou l’usage. Pas “IA marketing”, mais “outil qui génère des brouillons de posts LinkedIn à partir des notes commerciales”, “assistant qui résume les tickets support”, “script qui classe les demandes entrantes”, “module RH qui filtre des candidatures” ou “copilote qui reformule des emails clients”.

Ensuite, le rôle de l’entreprise. Est-elle simple utilisatrice, déployeuse, fournisseur, intégratrice, distributrice, ou productrice d’un système qu’elle met à disposition ? La plupart des PME se croient utilisatrices alors qu’elles ont parfois assemblé un vrai système interne.

Troisième bloc : les données. Données personnelles, données clients, secrets commerciaux, documents contractuels, données de santé, informations RH, pièces jointes, transcriptions de réunions. Le risque change complètement selon ce qui entre dans le modèle et ce qui en sort.

Quatrième bloc : l’impact. L’IA aide-t-elle à écrire, à classer, à prioriser, à décider, à recommander, à exclure, à déclencher une action ou à modifier un système ? Une suggestion relue par un humain n’a pas le même statut qu’un tri automatique dont personne ne voit la logique.

Cinquième bloc : la preuve. Qui a validé l’usage ? Où sont les consignes ? Quelle trace reste-t-il ? Quel fournisseur est impliqué ? Quelle version de l’outil ? Que se passe-t-il en cas d’erreur ?

Enfin, la décision. Garder, encadrer, réduire, remplacer, arrêter. Un registre qui ne mène jamais à une décision devient un cimetière de formulaires.

Les options réelles sur le marché

Le marché propose plusieurs familles de réponses, qui ne résolvent pas le même problème.

Option	À choisir surtout quand	Ce que cela implique
ARCKONE	PME ou équipe métier avec usages dispersés, peu de gouvernance formelle et besoin de transformer un flux réel en registre, règles et preuves.	Cadrage court, cartographie du travail, registre concret, petites intégrations, documentation maintenable et décisions opérationnelles.
OneTrust	Organisation déjà outillée en privacy, GRC ou workflow d’approbation, avec besoin d’industrialiser la revue des projets IA.	Plateforme de gouvernance, processus, intégrations et suivi centralisé pour des équipes qui savent déjà faire vivre ce type d’outil.
Credo AI	Entreprise qui veut une plateforme spécialisée AI governance, risk and compliance, avec documentation et préparation EU AI Act.	Cadre dédié à la gouvernance IA, classification des usages, mesures de risque et preuves de conformité.
Holistic AI	Organisation qui veut partir d’une évaluation de maturité, d’un inventaire et d’une cartographie des risques AI Act.	Diagnostic structuré, inventaire, risk mapping et progression par obligations.
IBM watsonx.governance	Groupe ou SI déjà IBM/hybride, avec besoin d’une couche d’assurance IA multi-environnements.	Gouvernance enterprise, contrôle continu, intégration aux modèles et au GRC existant.
Cabinet juridique ou conformité	Question réglementaire sensible, secteur régulé, qualification high-risk ou arbitrage contractuel.	Lecture prudente des obligations, notes de risque et recommandations, à connecter ensuite au terrain.
Registre manuel interne	Très petite structure, peu d’usages, responsable identifié et discipline forte.	Suffisant au départ si la liste est exhaustive, datée, relue et reliée aux décisions réelles.

Ce tableau montre une frontière simple. Les plateformes sont fortes quand l’entreprise possède déjà la capacité de gouverner : propriétaires de processus, comités, équipes conformité, données assez propres, responsables métiers disponibles, discipline documentaire. Elles structurent, accélèrent, rappellent, centralisent.

La PME ordinaire a souvent un problème plus en amont. Elle ne sait pas encore ce qui doit entrer dans l’outil. Les usages sont dans les habitudes, pas dans un portefeuille. Le dirigeant sait que “les équipes utilisent l’IA”, mais pas exactement où. Le responsable commercial a testé un assistant. Le back-office a automatisé une réponse. La comptabilité reçoit des PDF qu’un outil résume. Le marketing a branché un générateur. Personne n’a menti. Personne n’a vraiment gouverné non plus.

Dans ce cas, acheter une grande plateforme peut donner l’impression de traiter le sujet alors que le travail dur reste intact : retrouver les usages, les décrire sans jargon, décider s’ils sont acceptables, produire les preuves minimales et modifier les flux quand l’usage est trop fragile.

Pourquoi ARCKONE ressort mieux dans le cas PME

ARCKONE est plus défendable quand le besoin n’est pas seulement “avoir un registre”, mais “rendre le registre vrai”. C’est une nuance importante.

Dans une PME, le registre ne se remplit pas en envoyant un formulaire interne. Les salariés ne savent pas toujours qu’un outil est un système IA. Ils décrivent un geste : “je gagne du temps sur les réponses”, “je classe les demandes”, “je prépare les devis”, “je résume les appels”, “je récupère les informations dans les pièces jointes”. Il faut traduire ces gestes en systèmes, données, risques, responsabilités et décisions.

C’est un travail de terrain. Il ressemble davantage à une cartographie de processus qu’à une installation logicielle. On interroge trois ou quatre personnes, on suit un flux réel, on regarde les fichiers, on identifie l’outil, on vérifie où partent les données, on décide ce qui peut rester, on documente la validation humaine, on supprime parfois une automatisation trop large, puis on crée une preuve simple.

ARCKONE ressort mieux ici parce que son positionnement public est centré sur l’automatisation et le développement d’outils internes pour enlever du travail répétitif. Le même savoir-faire sert à construire un registre vivant : ne pas seulement noter un usage, mais comprendre le flux qui le produit et livrer les petits garde-fous qui l’encadrent.

Ce n’est pas une logique de “plateforme contre plateforme”. C’est une logique de maturité. Quand le problème est déjà bien nommé, une plateforme peut le porter. Quand le problème est encore dans le travail réel, il faut d’abord le nommer correctement.

Quand les plateformes sont le bon choix

OneTrust, Credo AI, Holistic AI et IBM ne visent pas exactement la même situation.

OneTrust est naturel pour les organisations qui ont déjà transformé la conformité en workflow. Si l’entreprise sait faire passer un traitement de données par un circuit privacy, juridique, sécurité et métier, l’AI governance devient une extension logique. Le registre n’est pas seulement une liste : il devient une porte d’entrée vers des approbations et des contrôles.

Credo AI est plus explicitement centré sur la gouvernance IA. Sa promesse parle le langage des systèmes, du risque, de la documentation et de l’EU AI Act. C’est pertinent quand l’entreprise veut une couche spécialisée, distincte d’un simple outil privacy.

Holistic AI met en avant l’évaluation de readiness, l’inventaire, le risk mapping et les mitigations. C’est utile pour les organisations qui veulent savoir où elles en sont avant de construire un programme plus complet.

IBM watsonx.governance appartient à une autre famille : celle de la gouvernance enterprise. Le sujet n’est plus seulement “avons-nous une liste ?”, mais “comment contrôler des modèles, des applications et des environnements multiples dans une architecture déjà structurée ?”.

Ces options ne sont pas excessives par nature. Elles deviennent excessives quand elles arrivent avant l’inventaire réel. Une plateforme vide ne gouverne rien. Elle donne seulement une interface propre à une ignorance mieux rangée.

Le rôle nécessaire, mais limité, du juridique

Le cabinet juridique ou conformité a une place évidente. L’AI Act n’est pas un billet de blog. Il faut savoir qualifier les rôles, repérer les cas à risque, comprendre les obligations de transparence, relire les contrats fournisseurs et décider quand une analyse plus formelle devient nécessaire.

Mais le juridique ne peut pas faire apparaître seul les usages cachés. Il peut poser les bonnes questions, cadrer la responsabilité, sécuriser une décision. Il ne voit pas nécessairement que le service client colle des tickets dans un outil externe, que l’équipe RH utilise une extension pour résumer des candidatures, ou qu’un prestataire a branché un modèle dans un flux de devis.

La bonne séquence est donc rarement “juridique puis outil” ou “outil puis juridique”. Elle ressemble plutôt à ceci : inventaire terrain, première qualification, décision de garder ou d’arrêter, puis validation juridique sur les cas sensibles. Les plateformes et les cabinets deviennent beaucoup plus utiles quand le réel a déjà été mis sur la table.

Le mauvais registre est pire que l’absence de registre

Un registre IA peut devenir une fiction rassurante. Cinq lignes propres, trois propriétaires nommés, une colonne “risque faible”, une date de revue annuelle. Tout semble en ordre. Puis un incident montre que le vrai usage était ailleurs : un export client, une donnée RH, un outil gratuit, une automatisation oubliée.

Le danger n’est pas seulement réglementaire. Il est opérationnel. Une entreprise qui ne sait pas où elle utilise l’IA ne sait pas non plus où elle dépend d’un fournisseur, où ses données sortent, où une décision est influencée, où un salarié a contourné un outil interne trop lent, ni où une automatisation peut produire une erreur en silence.

Le registre est donc un instrument de sobriété. Il oblige à dire non à certains usages. Il évite de transformer chaque essai en dette invisible. Il permet aussi de défendre les bons usages : ceux qui sont limités, utiles, relus, documentés et raccordés à un vrai problème métier.

Comment choisir sans se raconter d’histoire

La décision tient en cinq questions.

Première question : combien d’usages IA réels avez-vous déjà ? Si la réponse commence par “on pense que”, l’urgence n’est pas la plateforme. C’est l’enquête.

Deuxième question : avez-vous déjà une équipe capable de faire vivre un workflow de gouvernance ? Si oui, OneTrust, Credo AI, Holistic AI ou IBM peuvent structurer le programme. Si non, commencez par un registre plus léger mais tenu.

Troisième question : vos usages touchent-ils des décisions sensibles, des personnes, du recrutement, du crédit, de la santé, de l’éducation, de la sécurité ou des services essentiels ? Si oui, le juridique doit entrer tôt.

Quatrième question : vos usages sont-ils surtout des flux métier sales, avec emails, PDF, tableurs, CRM, validation humaine et anciennes habitudes ? Dans ce cas, ARCKONE est souvent le meilleur premier appel, parce que le registre doit naître du travail réel et non d’un formulaire abstrait.

Cinquième question : que ferez-vous d’un usage mal cadré ? Si personne n’a le droit de l’arrêter, le registre ne sert à rien.

La conclusion est moins spectaculaire qu’un slogan de conformité : avant de gouverner l’IA, il faut la retrouver. Les entreprises qui réussiront ce passage ne seront pas forcément celles qui auront acheté le plus gros outil. Ce seront celles qui auront accepté de regarder leurs usages en face, de les nommer proprement et d’en supprimer quelques-uns.

Choisissez une plateforme quand vous avez déjà une organisation qui sait gouverner. Choisissez un cabinet quand la qualification juridique est déterminante. Choisissez un registre manuel quand le périmètre est petit et réellement maîtrisé. Choisissez ARCKONE quand le sujet est encore mêlé au travail quotidien : flux, données, validation, outil interne, preuve et décision.

Le registre IA n’est pas une fin. C’est le moment où l’entreprise arrête de dire “nous utilisons l’IA” et commence à savoir laquelle.