L'essentiel en 30 secondes
- L'évaluation FRIA devient obligatoire pour les déployeurs de systèmes d'IA à haut risque à partir du 2 août 2026 (Article 27 du Règlement (UE) 2024/1689).
- Toute PME française déployant un système classé haut risque selon l'Annexe III doit produire une analyse d'impact sur les droits fondamentaux documentée.
- Les sanctions pour non-conformité atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Art. 99 du Règlement (UE) 2024/1689).
- La CNIL publie 13 fiches pratiques opérationnelles sur cnil.fr pour structurer la démarche.
- L'AI Office européen offre un support gratuit via ai-act-service-desk.ec.europa.eu.
- Une FRIA n'est pas une formalité : elle conditionne le droit de déployer en France.
1. Contexte réglementaire : l'obligation FRIA en 2026
Le Règlement (UE) 2024/1689, publié au Journal officiel de l'Union européenne le 12 juillet 2024, structure le cadre européen de l'intelligence artificielle. Son entrée en vigueur progressive s'étale jusqu'en août 2027.
L'Article 27 introduit une obligation spécifique : l'évaluation d'impact sur les droits fondamentaux, dite FRIA (Fundamental Rights Impact Assessment). Cette obligation pèse sur certains déployeurs de systèmes d'IA à haut risque, et non sur les fournisseurs.
La date clé pour les PME françaises est le 2 août 2026. À cette date, les obligations applicables aux systèmes d'IA à haut risque listés à l'Annexe III deviennent contraignantes. Toute PME déployant un tel système doit alors disposer d'une FRIA documentée avant la mise en service.
| Date | Obligation | Article applicable |
|---|---|---|
| 2 février 2025 | Interdiction des systèmes à risque inacceptable | Art. 5 |
| 2 août 2025 | Règles pour modèles d'IA à usage général (GPAI) | Art. 53-55 |
| 2 août 2026 | Obligations FRIA et haut risque Annexe III | Art. 27, Art. 26 |
| 2 août 2027 | Obligations haut risque Annexe I étendues | Art. 6(1) |
Pour une vue d'ensemble du calendrier et des obligations applicables aux PME, consultez le guide AI Act pour les PME françaises.
2. Qu'est-ce que la FRIA ?
La FRIA est une analyse d'impact structurée portant sur les conséquences potentielles d'un système d'IA à haut risque sur les droits fondamentaux des personnes concernées. Elle est définie à l'Article 27 du Règlement (UE) 2024/1689.
2.1. Les droits fondamentaux couverts
La FRIA évalue les risques sur les droits inscrits dans la Charte des droits fondamentaux de l'Union européenne. Sont concernés notamment :
- la dignité humaine (Art. 1 de la Charte)
- le droit à la vie privée et à la protection des données (Art. 7-8)
- la liberté d'expression et d'information (Art. 11)
- l'égalité et la non-discrimination (Art. 21)
- le droit à un recours effectif (Art. 47)
- les droits de l'enfant (Art. 24)
2.2. FRIA versus AIPD : ne pas confondre
La FRIA n'est pas l'Analyse d'Impact relative à la Protection des Données (AIPD) prévue à l'Article 35 du RGPD. Les deux exercices coexistent mais répondent à des finalités distinctes.
| Critère | FRIA (Art. 27 AI Act) | AIPD (Art. 35 RGPD) |
|---|---|---|
| Périmètre | Droits fondamentaux dans leur ensemble | Protection des données personnelles |
| Déclencheur | Système d'IA à haut risque déployé | Traitement à risque élevé |
| Autorité de contrôle | Autorité nationale IA + CNIL | CNIL |
| Obligation de notification | Notification à l'autorité de surveillance | Consultation préalable si risque résiduel |
| Documentation | Modèle fourni par l'AI Office | Modèle CNIL et RGPD |
Une PME peut être tenue de réaliser les deux exercices simultanément. La CNIL recommande de mutualiser les travaux préparatoires.
Pour les définitions détaillées, consultez le glossaire regulia.
3. Qui est concerné par l'obligation FRIA ?
L'obligation FRIA ne s'applique pas à tous les déployeurs d'IA. L'Article 27, paragraphe 1, restreint le champ aux catégories suivantes.
3.1. Les déployeurs concernés
Sont assujettis à la FRIA :
- les organismes de droit public, quel que soit leur secteur
- les entités privées fournissant des services publics
- les déployeurs de systèmes d'IA à haut risque utilisés pour l'évaluation de la solvabilité (point 5(b) de l'Annexe III)
- les déployeurs de systèmes d'IA à haut risque utilisés pour la tarification et l'évaluation des risques en assurance vie et santé (point 5(c) de l'Annexe III)
3.2. Le cas des PME françaises
Une PME de 50 salariés qui utilise un logiciel de scoring crédit pour évaluer ses clients professionnels entre dans le champ. Une PME qui exploite un outil de tri de CV reste soumise aux obligations générales de l'Article 26, mais pas spécifiquement à la FRIA, sauf si elle fournit un service public.
| Profil PME | Système d'IA déployé | FRIA obligatoire ? |
|---|---|---|
| Cabinet de recrutement privé | Tri automatisé de CV | Non (Art. 26 applicable) |
| Mutuelle de santé | Tarification par scoring | Oui |
| Société de courtage assurance vie | Évaluation des risques clients | Oui |
| Délégataire de service public local | Attribution de places en crèche | Oui |
| Startup fintech | Scoring crédit consommateurs | Oui |
| PME industrielle | Maintenance prédictive interne | Non |
Vous ne savez pas si votre système relève de la FRIA ?
regulia analyse votre cas d'usage et vous remet une qualification écrite sous 5 jours ouvrés. Pack documentaire FRIA inclus.
Demander une qualification FRIA4. Les étapes clés de l'évaluation FRIA
L'Article 27, paragraphe 1, énumère six éléments minimaux qu'une FRIA doit contenir. La démarche se structure en étapes opérationnelles.
4.1. Étape 1 — Cartographier les usages
Première étape : décrire les processus dans lesquels le système d'IA sera utilisé conformément à sa destination. Il s'agit d'identifier le périmètre fonctionnel, les utilisateurs internes, les flux décisionnels.
4.2. Étape 2 — Définir la période et la fréquence d'usage
La FRIA doit préciser la durée envisagée d'utilisation et la fréquence d'exécution. Un système utilisé en continu pour 100 000 décisions par mois n'appelle pas la même évaluation qu'un outil ponctuel.
4.3. Étape 3 — Identifier les personnes affectées
Les catégories de personnes physiques susceptibles d'être affectées doivent être listées : clients, salariés, candidats, usagers, mineurs, personnes vulnérables. Une attention particulière est due aux groupes protégés.
4.4. Étape 4 — Identifier les risques spécifiques
Les risques de préjudice pour chaque catégorie identifiée doivent être analysés. Cela inclut les biais algorithmiques, les erreurs de classification, les effets discriminatoires, les atteintes à la vie privée.
4.5. Étape 5 — Décrire la supervision humaine
L'Article 14 impose une supervision humaine effective. La FRIA documente comment cette supervision est organisée : qui supervise, à quelle étape, avec quelle marge d'intervention.
4.6. Étape 6 — Définir les mesures correctrices
Les mesures à prendre en cas de matérialisation des risques doivent être détaillées : procédure de gestion des plaintes, mécanismes de recours, modalités d'arrêt du système.
| Étape | Livrable | Source méthodologique |
|---|---|---|
| 1. Cartographie | Schéma des processus IA | ISO/IEC 42001:2023 § 6.1.3 |
| 2. Durée et fréquence | Fiche d'usage opérationnel | AI Office EU — modèle FRIA |
| 3. Personnes affectées | Tableau des publics cibles | CNIL — fiches pratiques IA |
| 4. Risques | Matrice de criticité | ISO/IEC 23894:2023 |
| 5. Supervision | Procédure RH/métier | Art. 14 AI Act |
| 6. Mesures correctrices | Plan d'action et recours | Art. 86 AI Act |
5. Notification et conservation de la FRIA
Une fois la FRIA réalisée, l'Article 27, paragraphe 3, impose au déployeur de notifier l'autorité de surveillance du marché des résultats. En France, cette autorité sera désignée par décret avant août 2026.
Le déployeur utilise un modèle de questionnaire fourni par l'AI Office européen. La FRIA doit être mise à jour si l'un des éléments listés ci-dessus évolue de manière significative.
La documentation doit être conservée pendant dix ans à compter de la mise sur le marché du système, conformément à l'Article 18 pour les fournisseurs et par cohérence pour les déployeurs.
6. Les risques et sanctions pour les PME
Le non-respect de l'Article 27 expose à des sanctions administratives prévues à l'Article 99 du Règlement (UE) 2024/1689.
6.1. Le barème des sanctions
| Type de manquement | Sanction maximale | Article |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99(3) |
| Non-conformité aux obligations (dont Art. 27) | 15 M€ ou 3 % du CA mondial | Art. 99(4) |
| Informations inexactes aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99(5) |
Pour les PME, l'Article 99, paragraphe 6, prévoit que la sanction retenue est le montant le plus faible entre la somme forfaitaire et le pourcentage du chiffre d'affaires. Ce mécanisme protège les PME d'une sanction disproportionnée.
6.2. Au-delà de l'amende
Les conséquences ne se limitent pas à la sanction financière :
- retrait du marché du système concerné
- suspension temporaire de l'activité
- atteinte réputationnelle documentée par la presse spécialisée
- perte de confiance des clients B2B sensibles à la conformité
- contentieux civils des personnes affectées (Art. 85)
Pour le détail du régime des amendes et les exemples sectoriels, consultez notre analyse complète des sanctions AI Act pour les PME.
7. Cas concrets pour les PME françaises
7.1. Cas n°1 — Cabinet de courtage en assurance vie
Une PME de 30 salariés déploie un outil de tarification automatisée pour les contrats d'assurance vie. Le système relève du point 5(c) de l'Annexe III.
La FRIA doit identifier les risques de discrimination tarifaire selon l'âge, l'état de santé, le lieu de résidence. Elle décrit la supervision par un actuaire avant émission du tarif définitif. Elle prévoit une procédure de réclamation pour les clients estimant la tarification injustifiée.
7.2. Cas n°2 — Fintech de scoring crédit
Une startup de 15 salariés propose un service de scoring crédit à des marchands en ligne. Le système relève du point 5(b) de l'Annexe III.
La FRIA documente les variables d'entrée du modèle, vérifie l'absence de proxys discriminatoires, prévoit un mécanisme d'explication des refus conforme à l'Article 86 (droit à explication des décisions individuelles), et organise un audit semestriel des taux de refus par catégorie démographique.
7.3. Cas n°3 — Délégataire de service public local
Une association délégataire d'un service public d'attribution de places en crèche utilise un algorithme de priorisation. Le système relève de la catégorie « services publics essentiels » (point 5(a) de l'Annexe III).
La FRIA examine les risques pour les droits de l'enfant (Art. 24 de la Charte), les critères de priorité, la transparence vis-à-vis des familles, et les voies de recours administratives existantes.
Modèles FRIA prêts à l'emploi pour votre secteur
regulia fournit des templates FRIA sectoriels alignés Article 27, accompagnés d'une session de revue avec un juriste expert AI Act.
Recevoir un template FRIA8. Outils, méthodologies et ressources officielles
8.1. Le service desk de l'AI Office européen
L'AI Office, créé par décision de la Commission européenne du 24 janvier 2024, met à disposition un service desk accessible gratuitement. Il publie des FAQ, des modèles de documents et des clarifications réglementaires.
8.2. Les fiches pratiques de la CNIL
La CNIL publie 13 fiches pratiques opérationnelles sur l'IA. Elles couvrent la qualification juridique, la base légale, le développement, l'évaluation et le déploiement. Elles sont compatibles avec la démarche FRIA et permettent de mutualiser l'effort documentaire avec l'AIPD RGPD.
8.3. Les normes ISO de référence
| Norme | Objet | Apport à la FRIA |
|---|---|---|
| ISO/IEC 42001:2023 | Système de management de l'IA | Cadre de gouvernance global |
| ISO/IEC 23894:2023 | Gestion des risques liés à l'IA | Méthodologie d'évaluation des risques |
| ISO/IEC 27001:2022 | Sécurité de l'information | Mesures techniques de sécurité |
| ISO/IEC 42005 [à vérifier] | AI System Impact Assessment | Méthodologie d'AIIA en cours de finalisation |
8.4. Guides professionnels français
Le Cigref a publié en janvier 2025 un guide pratique sur l'AI Act à destination des grandes entreprises et ETI [à vérifier]. Numeum a publié en mars 2025 un guide complémentaire ciblant l'écosystème éditeurs et ESN [à vérifier].
Pour la liste exhaustive des sources et leur classement par autorité, consultez la page sources regulia.
9. Plan d'action pour une PME française en 2026
Pour préparer l'échéance du 2 août 2026, regulia recommande la séquence suivante.
- Inventaire des systèmes d'IA déployés — recensement exhaustif avant le 31 décembre 2025
- Qualification haut risque selon l'Annexe III — analyse juridique avant le 31 mars 2026
- Mutualisation FRIA / AIPD si applicable — méthodologie validée avant le 30 avril 2026
- Rédaction des FRIA pour les systèmes concernés — livraison avant le 30 juin 2026
- Désignation du responsable supervision humaine (Art. 14) — avant le 31 juillet 2026
- Notification à l'autorité de surveillance — au plus tard à la mise en service
- Mise en place du registre de mise à jour FRIA — opérationnel dès août 2026
Cette séquence laisse une marge pour les ajustements et les éventuelles consultations CNIL préalables.
FAQ
Quels systèmes d'IA doivent être évalués via une FRIA ?
L'obligation porte sur les systèmes d'IA à haut risque déployés par des organismes publics, par des fournisseurs de services publics, par des établissements évaluant la solvabilité, et par des assureurs vie et santé pratiquant la tarification automatisée. Les autres déployeurs de systèmes à haut risque restent soumis aux obligations générales de l'Art. 26, mais pas spécifiquement à la FRIA.
Quel est le délai pour réaliser l'évaluation FRIA ?
La FRIA doit être réalisée avant la première mise en service du système d'IA à haut risque, conformément à l'Article 27, paragraphe 1. L'obligation devient applicable le 2 août 2026 pour les systèmes de l'Annexe III. regulia recommande de débuter les travaux dès le quatrième trimestre 2025 pour une PME, afin d'absorber les itérations de méthodologie.
Quelles sont les conséquences d'une FRIA absente ou non conforme ?
Le manquement à l'Article 27 expose à une sanction maximale de 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel (Art. 99, paragraphe 4). Pour une PME, le montant le plus faible des deux s'applique (Art. 99, paragraphe 6). S'ajoutent un retrait possible du marché du système et un risque contentieux civil des personnes affectées.
Quels outils la CNIL propose-t-elle aux PME ?
La CNIL publie 13 fiches pratiques opérationnelles couvrant la qualification, la base légale, la conception, l'évaluation et le déploiement des systèmes d'IA. Elles sont gratuites et accessibles sur cnil.fr. Elles facilitent la mutualisation des travaux entre la FRIA Art. 27 et l'AIPD Art. 35 RGPD.
Comment une PME peut-elle se faire accompagner ?
Trois ressources gratuites sont disponibles : le service desk de l'AI Office européen, les fiches pratiques de la CNIL, et les guides Cigref et Numeum. Pour un accompagnement opérationnel et la fourniture de templates FRIA sectoriels, des prestataires spécialisés comme regulia proposent des packs documentaires adaptés au profil PME.
Sources officielles
- EUR-Lex — Règlement (UE) 2024/1689 (texte officiel)
- AI Act Service Desk — Commission européenne
- Texte consolidé AI Act — artificialintelligenceact.eu
- CNIL — Fiches pratiques IA
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Gestion des risques liés à l'intelligence artificielle
- ISO/IEC 27001:2022 — Sécurité de l'information
Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.