Aller au contenu principal
Diagnostic gratuit

Glossaire

25 définitions clés du Règlement

Obligations

24 articles détaillés avec échéances

Échéancier

Dates clés de 2025 à 2027

Diagnostic

Identifiez vos obligations en 3 minutes

Conformité PME

Vérifiez vos obligations AI Act en 30 secondes

Souveraineté européenne

Hébergement 100% en France

Assistant IA

IA contextuelle avec mémoire inter-sections

Génération documentaire

Texte conforme Annexe IV généré par IA

Diagnostic

Classification automatique de votre système

Versioning

Traçabilité des évolutions de vos projets

Multi-clients

Gestion multi-clients pour agences

Export PDF

PDF professionnels prêts pour l'audit

TarifsBlogConnexion
fria ai actfria déployeurarticle 27 ai act

FRIA AI Act : qui doit la réaliser, comment la conduire et avant quand ?

23 mars 20268 min9
FRIA AI Act : qui doit la réaliser, comment la conduire et avant quand ?

En bref

  • Obligation Article 27 : la FRIA (Fundamental Rights Impact Assessment) est imposée aux déployeurs de systèmes IA à haut risque dans certains contextes - organismes publics, opérateurs de services essentiels et établissements d'enseignement ou de formation professionnelle
  • Distincte de l'AIPD : la FRIA va au-delà de la protection des données personnelles - elle évalue l'impact sur l'ensemble des droits fondamentaux (non-discrimination, dignité, accès à la justice, liberté d'expression...)
  • Avant le déploiement : la FRIA doit être réalisée avant la mise en service du système, pas après. Elle conditionne la légitimité du déploiement.
  • 15 champs minimum : le règlement impose un contenu structuré couvrant la description du système, les droits potentiellement affectés, les mesures d'atténuation et le plan de suivi
  • Enregistrement obligatoire : les résultats de la FRIA doivent être enregistrés dans la base de données EU des systèmes IA à haut risque
  • Échéance août 2026 : les déployeurs concernés doivent avoir réalisé leur FRIA avant le 2 août 2026, sauf report lié au Digital Omnibus

Quand on parle de conformité à l'AI Act, la documentation technique des fournisseurs concentre l'essentiel de l'attention. Pourtant, les déployeurs ont leurs propres obligations spécifiques - et parmi elles, une évaluation souvent ignorée : la FRIA, ou Fundamental Rights Impact Assessment. Traduite en français par "évaluation d'impact sur les droits fondamentaux", elle est imposée par l'Article 27 du Règlement (UE) 2024/1689 à certaines catégories de déployeurs, avant toute mise en service d'un système d'IA à haut risque.

Peu de contenus francophones lui sont consacrés. Résultat : beaucoup d'organisations concernées ne savent pas qu'elles y sont soumises, ou la confondent avec l'Analyse d'Impact relative à la Protection des Données (AIPD) du RGPD. Ce guide clarifie tout.

Qu'est-ce que la FRIA et d'où vient-elle ?

La FRIA est une évaluation structurée que le déployeur d'un système d'IA à haut risque doit conduire pour mesurer l'impact potentiel de ce système sur les droits fondamentaux des personnes concernées. Elle s'inspire des évaluations d'impact existantes en droit de l'Union - notamment l'AIPD du RGPD - mais son périmètre est beaucoup plus large.

Là où l'AIPD se concentre sur les risques liés au traitement de données personnelles, la FRIA couvre l'ensemble de la Charte des droits fondamentaux de l'Union européenne :

  • La dignité humaine et l'intégrité de la personne
  • Le droit à la non-discrimination (Article 21 de la Charte)
  • La protection des données et le respect de la vie privée
  • La liberté d'expression et d'information
  • Le droit à un recours effectif et à un procès équitable
  • Les droits de l'enfant et les droits des personnes vulnérables
  • L'égalité entre les femmes et les hommes
  • Les droits des travailleurs, notamment en matière de conditions de travail

En pratique, la FRIA oblige le déployeur à se poser une question fondamentale : "En utilisant ce système d'IA, est-ce que je risque de porter atteinte aux droits de base des personnes que ce système affecte ?"

Qui est concerné par la FRIA ?

Contrairement à ce que son nom pourrait laisser penser, la FRIA ne concerne pas tous les déployeurs de systèmes à haut risque. L'Article 27 la réserve à des catégories spécifiques :

Les organismes de droit public

Toute autorité publique ou tout organisme géré par l'État qui déploie un système d'IA à haut risque est soumis à la FRIA. Cela couvre notamment :

  • Les administrations d'État et les collectivités territoriales
  • Les établissements publics (hôpitaux, universités publiques, Pôle Emploi...)
  • Les organismes de sécurité sociale
  • Les autorités judiciaires et de répression
  • Les agences de contrôle aux frontières

Les opérateurs de services essentiels

Les entreprises privées gérant des infrastructures critiques ou fournissant des services essentiels sont également concernées. Cela inclut les opérateurs d'énergie, de transport, d'eau, de santé numérique, ou de systèmes bancaires systémiques qui déploient des systèmes IA à haut risque.

Les établissements d'enseignement et de formation professionnelle

Les écoles, universités et organismes de formation qui utilisent des systèmes d'IA pour évaluer les élèves, gérer l'accès aux formations ou orienter les parcours sont soumis à la FRIA si ces systèmes relèvent de l'Annexe III.

Si vous êtes une entreprise privée standard - et non un opérateur d'infrastructure critique - qui utilise simplement un logiciel RH IA ou un outil de scoring commercial, vous n'êtes en principe pas soumis à la FRIA. Vos obligations sont celles de l'Article 26 (supervision humaine, logs, information des personnes) mais pas l'évaluation formelle de l'Article 27.

FRIA vs AIPD : quelles différences concrètes ?

La confusion est fréquente, et compréhensible. Voici les différences clés :

  • Base légale : l'AIPD découle de l'Article 35 du RGPD, la FRIA de l'Article 27 de l'AI Act. Ce sont deux obligations distinctes issues de deux règlements différents.
  • Périmètre : l'AIPD couvre les risques liés au traitement de données personnelles uniquement. La FRIA couvre tous les droits fondamentaux, y compris ceux qui ne sont pas liés à la vie privée (non-discrimination, accès à la justice, droits des travailleurs...).
  • Déclencheur : l'AIPD est déclenchée par un traitement de données à risque élevé. La FRIA est déclenchée par le déploiement d'un système d'IA classé à haut risque par un déployeur concerné.
  • Coordination possible : les deux évaluations peuvent être conduites conjointement et leur contenu peut se recouper - notamment sur la protection des données et la non-discrimination. Le règlement encourage d'ailleurs cette coordination pour éviter les doublons.

Comment conduire une FRIA : les étapes

L'Article 27 ne fixe pas un modèle unique, mais impose un contenu minimum. Voici la structure recommandée :

Étape 1 - Description du système et de son contexte

Commencez par documenter précisément le système d'IA concerné : sa finalité, son fonctionnement technique simplifié, les décisions qu'il produit ou influence, et le contexte organisationnel dans lequel il est déployé. Qui l'utilise ? Pour quoi faire ? Sur quelles populations ?

Étape 2 - Identification des personnes concernées

Déterminez qui est affecté par le système - directement (les personnes soumises à ses décisions) ou indirectement (les personnes dont les droits pourraient être impactés sans être en contact direct avec le système). Portez une attention particulière aux groupes vulnérables : mineurs, personnes âgées, personnes en situation de handicap, minorités.

Étape 3 - Cartographie des droits fondamentaux potentiellement affectés

Pour chaque droit fondamental listé dans la Charte, évaluez :

  • Si ce droit peut être affecté par le système dans votre contexte de déploiement
  • La probabilité et la gravité de l'impact potentiel
  • Si cet impact serait direct ou indirect

Étape 4 - Identification et évaluation des risques concrets

Traduisez les impacts potentiels en risques concrets. Par exemple : un système de scoring de crédit peut créer un risque de discrimination indirecte si ses données d'entraînement reflètent des biais historiques liés au genre ou à l'origine. Un système d'évaluation des élèves peut porter atteinte au droit à l'éducation si ses erreurs ne peuvent pas être contestées.

Étape 5 - Mesures d'atténuation

Pour chaque risque identifié, documentez les mesures mises en place ou prévues pour l'atténuer :

  • Supervision humaine des décisions sensibles
  • Mécanismes de recours et de contestation pour les personnes affectées
  • Procédures de détection et correction des biais
  • Limitations d'usage ou périmètres d'application restreints
  • Formation du personnel sur les biais et les limites du système

Étape 6 - Plan de suivi et de révision

La FRIA n'est pas un exercice ponctuel. Définissez un calendrier de révision, les indicateurs de suivi que vous allez monitorer, et les conditions qui déclencheraient une nouvelle évaluation (modification substantielle du système, changement de contexte de déploiement, incidents signalés...).

Étape 7 - Enregistrement et publication

Les résultats de la FRIA doivent être enregistrés dans la base de données EU des systèmes d'IA à haut risque (Article 71). Certaines informations peuvent être exemptées de publication pour des raisons de confidentialité, mais la synthèse des résultats doit être accessible.

Les erreurs fréquentes à éviter

  • Conduire la FRIA après le déploiement : l'Article 27 est explicite - l'évaluation doit avoir lieu avant la mise en service. Une FRIA réalisée a posteriori ne satisfait pas l'obligation légale et peut exposer l'organisation à des sanctions.
  • Se limiter aux données personnelles : réduire la FRIA à une AIPD élargie est une erreur fréquente. La non-discrimination, l'accès à la justice ou les droits des travailleurs doivent être traités même si le système ne traite aucune donnée à caractère personnel.
  • Ne pas impliquer les personnes concernées : si le contexte le permet, consulter des représentants des populations affectées renforce significativement la qualité de l'évaluation et sa défendabilité en cas de contrôle.
  • Ignorer les risques indirects : un système peut affecter des droits sans que les personnes concernées soient en contact direct avec lui. Un algorithme d'attribution de logements sociaux affecte les droits de personnes qui n'interagissent jamais directement avec le logiciel.
  • Ne jamais la réviser : une FRIA réalisée en 2025 pour un système qui a évolué significativement en 2026 n'est plus valide. Prévoyez des révisions périodiques.

Le module Déployeur d'AiActo guide les organisations à travers la réalisation de leur FRIA avec plus de 15 champs structurés, couvrant l'ensemble des exigences de l'Article 27 et générant un document exportable prêt pour l'enregistrement réglementaire.

Questions fréquentes

La FRIA est-elle obligatoire pour une entreprise privée qui utilise un logiciel RH avec IA ?

En principe non, si l'entreprise est une société commerciale standard. L'Article 27 cible les organismes de droit public, les opérateurs de services essentiels et les établissements d'enseignement. Une PME qui utilise un outil de tri de CV IA doit respecter les obligations de l'Article 26 (supervision humaine, logs, information des candidats), mais pas nécessairement conduire une FRIA formelle.

Peut-on combiner la FRIA avec l'AIPD RGPD ?

Oui, et c'est même encouragé par le règlement. Les deux évaluations peuvent être menées conjointement si le système d'IA traite des données personnelles. Le contenu se recoupera notamment sur la protection des données, la non-discrimination et les mesures de sécurité. L'important est de s'assurer que le périmètre de la FRIA couvre l'ensemble des droits fondamentaux, au-delà du seul champ de l'AIPD.

Que se passe-t-il si le système d'IA est modifié après la FRIA ?

Toute modification substantielle du système d'IA déclenche une obligation de révision de la FRIA. Le règlement ne définit pas précisément ce qu'est une "modification substantielle", mais le principe général est qu'un changement affectant les capacités du système, ses données d'entraînement ou son périmètre d'application doit conduire à une réévaluation.

La FRIA doit-elle être rendue publique ?

Les résultats de la FRIA doivent être enregistrés dans la base de données EU des systèmes à haut risque. Certaines informations commercialement sensibles peuvent faire l'objet d'exemptions de publication. La règle générale est la transparence, avec des exceptions encadrées pour protéger les secrets d'affaires légitimes.

Quelle est la sanction en cas de non-réalisation de la FRIA ?

Le non-respect des obligations de l'Article 27 est une infraction aux dispositions du Chapitre III de l'AI Act, passible d'une amende pouvant aller jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel. Les autorités nationales de surveillance disposeront de pouvoirs d'enquête et de sanction à partir d'août 2026.

La FRIA est l'une des obligations les moins bien connues de l'AI Act - et pourtant l'une des plus structurantes pour les organismes publics et les opérateurs d'infrastructures essentielles. La conduire sérieusement, avant le déploiement, est à la fois une exigence légale et une démarche de responsabilité vis-à-vis des personnes que vos systèmes d'IA affectent. Consultez l'échéancier AI Act pour planifier cette étape dans votre calendrier de conformité.

Partager cet article