Source: OJ L, 2024/1689, 12.7.2024

Article 49 Enregistrement

Summary What does Article 49 of the AI act regulation say?

This article establishes the registration obligations that must be fulfilled before high-risk AI systems are placed on the market or put into service.

It connects directly to Article 71, which sets up the EU database where these registrations take place, and to Article 6(3), which governs how providers self-classify systems as non-high-risk.

The article covers three distinct groups of actors — providers, authorised representatives, and public authority deployers — each of whom must register themselves and their systems in that central database before proceeding.

A notable carve-out exists for sensitive areas such as law enforcement, migration, asylum, and border control, where registrations are confined to a restricted, non-public section of the database accessible only to the Commission and designated national authorities.

Important points:

Register yourself and your high-risk AI system in the EU database (Article 71) before placing it on the market or putting it into service.
Public authority deployers are also required to register their use of high-risk AI systems in the EU database before deployment.
For systems in law enforcement, migration, asylum, and border control areas, registration is held in a secure non-public section of the EU database, with access limited to the Commission and specific national authorities.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Avant de mettre sur le marché ou de mettre en service un système d’IA à haut risque énuméré à l’annexe III, à l’exception des systèmes d’IA à haut risque visés à l’annexe III, point 2, le fournisseur ou, selon le cas, le mandataire s’enregistre dans la base de données de l’UE visée à l’article 71 et y enregistre aussi son système.
1. Avant de mettre sur le marché ou de mettre en service un système d’IA à propos duquel le fournisseur a conclu qu’il ne s’agissait pas d’un système à haut risque au titre de l’article 6, paragraphe 3, ce fournisseur ou, selon le cas, le mandataire s’enregistre dans la base de données de l’UE visée à l’article 71 et y enregistre aussi ce système.
1. Avant de mettre en service ou d’utiliser un système d’IA à haut risque énuméré à l’annexe III, à l’exception des systèmes d’IA à haut risque énumérés à l’annexe III, point 2, les déployeurs qui sont des autorités publiques, des institutions organes ou organismes de l’Union ou des personnes agissant en leur nom s’enregistrent, sélectionnent le système et enregistrent son utilisation dans la base de données de l’UE visée à l’article 71.
1. Pour les systèmes d’IA à haut risque visés à l’annexe III, points 1, 6 et 7, dans les domaines des activités répressives, de la migration, de l’asile et de la gestion des contrôles aux frontières, l’enregistrement visé aux paragraphes 1, 2 et 3 du présent article figure dans une section sécurisée non publique de la base de données de l’UE visée à l’article 71 et comprend uniquement les informations suivantes, selon le cas, visées:
  1. à l’annexe VIII, section A, points 1 à 10, à l’exception des points 6, 8 et 9;
  2. à l’annexe VIII, section B, points 1 à 5, et points 8 et 9;
  3. à l’annexe VIII, section C, points 1 à 3;
  4. à l’annexe IX, points 1, 2, 3 et 5.
2. Seules la Commission et les autorités nationales visées à l’article 74, paragraphe 8, ont accès aux différentes sections restreintes de la base de données de l’UE énumérées au premier alinéa du présent paragraphe.
1. Les systèmes d’IA à haut risque visés à l’annexe III, point 2, sont enregistrés au niveau national.

Relevant recitals

Considérant 131 EU database of high-risk AI systems

Afin de faciliter les travaux de la Commission et des États membres dans le domaine de l’IA et d’accroître la transparence à l’égard du public, les fournisseurs de systèmes d’IA à haut risque autres que ceux liés à des produits relevant du champ d’application de la législation d’harmonisation existante de l’Union en la matière, ainsi que les fournisseurs qui considèrent qu’un système d’IA inscrit sur la liste des cas d’utilisation à haut risque dans une annexe du présent règlement n’est pas à haut risque sur la base d’une dérogation, devraient être tenus de s’enregistrer eux-mêmes et d’enregistrer les informations relatives à leur système d’IA dans une base de données de l’UE, qui sera établie et gérée par la Commission. Avant d’utiliser un système d’IA inscrit sur la liste des cas d’utilisation à haut risque dans une annexe du présent règlement, les déployeurs de systèmes d’IA à haut risque qui sont des autorités, des agences ou des organismes publics devraient s’enregistrer dans une telle base de données et sélectionner le système qu’ils envisagent d’utiliser. Les autres déployeurs devraient être autorisés à le faire volontairement. Cette section de la base de données de l’UE devrait être accessible au public sans frais, et les informations qu’elle contient devraient être consultables grâce à une navigation aisée et être facilement compréhensibles et lisibles par machine. La base de données de l’UE devrait également être conviviale, par exemple en offrant des fonctionnalités de recherche, y compris par mots-clés, afin de permettre au grand public de trouver les informations pertinentes devant être transmises au moment de l’enregistrement des systèmes d’IA à haut risque et les informations sur le cas d’utilisation de systèmes d’IA à haut risque, énoncés dans une annexe du présent règlement, auquel les systèmes d’IA à haut risque correspondent. Toute modification substantielle de systèmes d’IA à haut risque devrait également être enregistrée dans la base de données de l’UE. En ce qui concerne les systèmes d’IA à haut risque dans les domaines des activités répressives, de la migration, de l’asile et de la gestion des contrôles aux frontières, les obligations en matière d’enregistrement devraient être remplies dans une section non publique sécurisée de la base de données de l’UE. L’accès à la section non publique sécurisée devrait être strictement réservé à la Commission, ainsi qu’aux autorités de surveillance du marché pour ce qui est de la section nationale de cette base de données les concernant. Les systèmes d’IA à haut risque dans le domaine des infrastructures critiques ne devraient être enregistrés qu’au niveau national. La Commission devrait faire fonction de responsable du traitement pour la base de données de l’UE, conformément au règlement (UE) 2018/1725. Afin de garantir que la base de données de l’UE soit pleinement opérationnelle une fois déployée, la procédure de création de la base de données devrait prévoir le développement de spécifications fonctionnelles par la Commission et un rapport d’audit indépendant. La Commission devrait tenir compte des risques liés à la cybersécurité dans l’accomplissement de ses missions en tant que responsable du traitement des données dans la base de données de l’UE. Afin de maximiser la disponibilité et l’utilisation de la base de données de l’UE, y compris les informations mises à disposition par son intermédiaire, la base de données de l’UE devrait être conforme aux exigences prévues par la directive (UE) 2019/882.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.