Je dois mettre mon organisation luxembourgeoise en conformité à l'article 71 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 71 cree une base de données publique européenne ou tout système d'IA a haut risque de l'annexe III doit être enregistré avant mise sur le marché. Le piège : les fournisseurs croient qu'il s'agit d'une simple formalite administrative, alors que cette base est publique, consultable et lisible par machine. Concretement, vos concurrents, journalistes, ONG et autorités (EU AI Office, futures autorités nationales de surveillance du marché IA) y verront le nom de votre système, sa finalité, son fournisseur et les coordonnees du représentant légal. Une déclaration incomplete, obsolete ou incoherente avec votre documentation technique (article 11) devient une preuve opposable contre vous lors d'un contrôle.Les pièges en pratique sur l'enregistrement EU AI DatabaseDonnées personnelles malgré vous : l'article 71(5) impose de déclarer les noms et coordonnees du représentant légal. La CNPD reste competente sur ce volet RGPD, et la base de données doit être traitée comme un traitement supplémentaire dans votre registre article 30.Double enregistrement : si vous êtes deployeur public (commune, ministere, hôpital public luxembourgeois), vous remplissez l'annexe VIII section C'en plus du fournisseur qui remplit sections A et B. Les deux doivent être coherents.Systèmes 'non haut risque' article 6(3) : même si vous estimez échapper a la qualification haut risque via l'exception, vous devez tout de même vous enregistrer et documenter votre raisonnement, qui devient public.Mise à jour continue : tout changement substantiel (nouvelle finalité, nouveau marché, nouveau sous-traitant IA) déclenche une obligation de mise à jour. Un enregistrement fige a J+0 devient une non-conformite a J+90.Coherence avec la documentation technique : ce que vous declarez publiquement doit correspondre exactement a votre dossier annexe IV. L'EU AI Office croisera les deux en cas de contrôle.Comment Luxgap automatise ce risqueNotre Luxgap AI Registry Sync elimine le risque de divergence entre votre base interne (registre IA, dossier technique annexe IV, évaluation d'impact) et la déclaration publique EU AI Database. L'outil agit comme un pont bidirectionnel : il extrait automatiquement les metadonnees de vos systèmes IA depuis vos sources connectees (Azure AI Foundry, AWS SageMaker, Google Vertex AI, Hugging Face Spaces, MLflow, Databricks Unity Catalog, GitLab MLOps), genere le payload conforme annexe VIII sections A, B et C, et alerte des qu'un ecart apparait entre l'état declare et l'état reel.Detecte automatiquement chaque nouveau modèle IA deploye dans votre SI via les connecteurs Azure, AWS, GCP et Hugging Face, et evalue s'il relevent de l'annexe III.Genere le dossier d'enregistrement EU AI Database prerempli avec les champs annexe VIII, prets a être soumis par votre représentant légal.Surveille en continu les changements substantiels (nouvelle finalité, nouveau dataset d'entrainement, nouveau marché cible) et déclenche une alerte Teams ou Slack quand u...

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 71

Base de données de l’UE pour les systèmes d’IA à haut risque énumérés à l’annexe III

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

Base de données de l’UE pour les systèmes d’IA à haut risque énumérés à l’annexe III

1. La Commission, en collaboration avec les États membres, crée et tient à jour une base de données de l’UE contenant les informations visées aux paragraphes 2 et 3 du présent article en ce qui concerne les systèmes d’IA à haut risque visés à l’article 6, paragraphe 2, qui sont enregistrés conformément aux articles 49 et 60 et les systèmes d’IA qui ne sont pas considérés à haut risque en vertu de l’article 6, paragraphe 3, et qui sont enregistrés conformément à l’article 6, paragraphe 4, et à l’article 49. Lorsqu’elle définit les spécifications fonctionnelles de cette base de données, la Commission consulte les experts compétents et, lorsqu’elle les met à jour, elle consulte le Comité IA.

2. Les données énumérées à l’annexe VIII, sections A et B, sont introduites dans la base de données de l’UE par le fournisseur ou, le cas échéant, par le mandataire.

3. Les données énumérées à la section C de l’annexe VIII sont introduites dans la base de données de l’UE par le déployeur qui est ou agit pour le compte d’une autorité, d’une agence ou d’un organisme public, conformément à l’article 49, paragraphes 3 et 4.

4. À l’exception de la section visée à l’article 49, paragraphe 4, et à l’article 60, paragraphe 4, point c), les informations contenues dans la base de données de l’UE enregistrées conformément à l’article 49 sont accessibles et mises à la disposition du public d’une manière conviviale. Ces informations devraient être consultables grâce à une navigation aisée et lisibles par machine. Les informations enregistrées conformément à l’article 60 ne sont accessibles qu’aux autorités de surveillance du marché et à la Commission, sauf si le fournisseur ou fournisseur potentiel a donné son consentement pour que ces informations soient également accessibles au public.

5. La base de données de l’UE ne contient des données à caractère personnel que dans la mesure où celles-ci sont nécessaires à la collecte et au traitement d’informations conformément au présent règlement. Ces informations incluent les noms et les coordonnées des personnes physiques qui sont responsables de l’enregistrement du système et légalement autorisées à représenter le fournisseur ou le déployeur, selon le cas.

6. La Commission est la responsable du traitement pour la base de données de l’UE. Elle met à la disposition des fournisseurs, des fournisseurs potentiels et des déployeurs un soutien technique et administratif approprié. La base de données de l’UE est conforme aux exigences applicables en matière d’accessibilité.

Spécificité Luxembourg

AI Act (UE 2024/1689) article 71 et annexe VIII, articulation avec le RGPD et la competence CNPD au Luxembourg

Au Luxembourg, l'autorité nationale de surveillance du marche IA n'est pas encore formellement désignée a date. Dans l'intervalle, la CNPD reste competente sur le volet protection des données de l'enregistrement EU AI Database (article 71(5)), et l'EU AI Office a Bruxelles supervise directement les systèmes d'IA a usage general. Pour les acteurs financiers, la CSSF peut interroger la coherence entre votre enregistrement public EU AI Database et vos déclarations DORA / circulaires IA.

Pratique Luxgap : nous recommandons aux fournisseurs et deployeurs publics luxembourgeois de préparer leur dossier annexe VIII des maintenant, en designant explicitement le représentant legal au sens de l'article 71(5), et de l'inscrire dans le registre RGPD article 30 transmis a la CNPD.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 71 cree une base de données publique européenne ou tout système d'IA a haut risque de l'annexe III doit être enregistré avant mise sur le marché. Le piège : les fournisseurs croient qu'il s'agit d'une simple formalite administrative, alors que cette base est publique, consultable et lisible par machine. Concretement, vos concurrents, journalistes, ONG et autorités (EU AI Office, futures autorités nationales de surveillance du marché IA) y verront le nom de votre système, sa finalité, son fournisseur et les coordonnees du représentant légal. Une déclaration incomplete, obsolete ou incoherente avec votre documentation technique (article 11) devient une preuve opposable contre vous lors d'un contrôle.

Les pièges en pratique sur l'enregistrement EU AI Database

Données personnelles malgré vous : l'article 71(5) impose de déclarer les noms et coordonnees du représentant légal. La CNPD reste competente sur ce volet RGPD, et la base de données doit être traitée comme un traitement supplémentaire dans votre registre article 30.
Double enregistrement : si vous êtes deployeur public (commune, ministere, hôpital public luxembourgeois), vous remplissez l'annexe VIII section C'en plus du fournisseur qui remplit sections A et B. Les deux doivent être coherents.
Systèmes 'non haut risque' article 6(3) : même si vous estimez échapper a la qualification haut risque via l'exception, vous devez tout de même vous enregistrer et documenter votre raisonnement, qui devient public.
Mise à jour continue : tout changement substantiel (nouvelle finalité, nouveau marché, nouveau sous-traitant IA) déclenche une obligation de mise à jour. Un enregistrement fige a J+0 devient une non-conformite a J+90.
Coherence avec la documentation technique : ce que vous declarez publiquement doit correspondre exactement a votre dossier annexe IV. L'EU AI Office croisera les deux en cas de contrôle.

Comment Luxgap automatise ce risque

Notre Luxgap AI Registry Sync elimine le risque de divergence entre votre base interne (registre IA, dossier technique annexe IV, évaluation d'impact) et la déclaration publique EU AI Database. L'outil agit comme un pont bidirectionnel : il extrait automatiquement les metadonnees de vos systèmes IA depuis vos sources connectees (Azure AI Foundry, AWS SageMaker, Google Vertex AI, Hugging Face Spaces, MLflow, Databricks Unity Catalog, GitLab MLOps), genere le payload conforme annexe VIII sections A, B et C, et alerte des qu'un ecart apparait entre l'état declare et l'état reel.

Detecte automatiquement chaque nouveau modèle IA deploye dans votre SI via les connecteurs Azure, AWS, GCP et Hugging Face, et evalue s'il relevent de l'annexe III.
Genere le dossier d'enregistrement EU AI Database prerempli avec les champs annexe VIII, prets a être soumis par votre représentant légal.
Surveille en continu les changements substantiels (nouvelle finalité, nouveau dataset d'entrainement, nouveau marché cible) et déclenche une alerte Teams ou Slack quand une mise à jour de l'enregistrement public devient obligatoire.
Croise votre déclaration publique avec votre dossier technique annexe IV et vos FRIA article 27 pour détecter les incohérences avant que l'EU AI Office ne les detecte.
Intégré le volet RGPD : declare automatiquement le traitement 'enregistrement EU AI Database' dans votre registre article 30 et notifié la CNPD si nécessaire.
Produit un journal horodate cryptographiquement scelle de chaque soumission et mise à jour, opposable en cas de contrôle de l'autorité de surveillance du marché.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration et nos équipes preparent un audit blanc gratuit sous 48h pour cartographier vos systèmes IA reellement deployes et mesurer votre exposition annexe III avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Base de données de l’UE pour les systèmes d’IA à haut risque énumérés à l’annexe III

Ils nous font confiance

Avant de discuter