L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (EU AI Act) impose une évaluation des risques pour les systèmes d'IA à haut risque, sous peine d'amendes pouvant atteindre 7 % du chiffre d'affaires annuel mondial selon l'Article 99. - La norme ISO/IEC 42001:2023, clause 6.1, structure cette obligation autour de cinq domaines : sécurité, performance, biais, conformité et impact humain. - L'AISIA (AI System Impact Assessment) doit être réalisée dès la conception du système et mise à jour à chaque évolution majeure. - Pour une PME française, le budget se situe entre 500 € et 10 000 € selon la complexité du système et le recours à des experts externes [à vérifier]. - La CNIL recommande de coupler l'AISIA avec une analyse d'impact relative à la protection des données (AIPD/DPIA) au titre de l'Article 35 du RGPD lorsque le système traite des données personnelles. - Des modèles officiels sont disponibles auprès de l'AI Act Service Desk de la Commission européenne et via les fiches pratiques de la CNIL.
L'AISIA n'est plus un exercice théorique. Depuis l'entrée en vigueur progressive du Règlement (UE) 2024/1689, les PME françaises qui développent, déploient ou utilisent un système d'IA classé à haut risque doivent documenter ses risques. Ce guide détaille la méthode opérationnelle pour produire une fiche d'impact conforme à la fois à l'EU AI Act, à la norme ISO/IEC 42001:2023 et au RGPD.
1. Contexte réglementaire : EU AI Act et ISO 42001
Trois textes structurent l'obligation d'évaluation d'impact des systèmes d'IA pour les PME françaises. Leur articulation détermine la portée et la profondeur de l'AISIA à produire.
Le Règlement (UE) 2024/1689 du 13 juin 2024, dit EU AI Act, impose aux fournisseurs et déployeurs de systèmes d'IA à haut risque une évaluation préalable et continue des risques. L'Article 9 du Règlement précise les exigences relatives au système de gestion des risques. L'Article 27 introduit l'évaluation d'impact sur les droits fondamentaux pour les déployeurs de certains systèmes à haut risque. Les sanctions sont codifiées à l'Article 99.
La norme ISO/IEC 42001:2023, première norme internationale dédiée aux systèmes de management de l'IA (AIMS), formalise dans sa clause 6.1 les exigences relatives à la planification de la gestion des risques liés à l'IA. Elle s'appuie sur ISO/IEC 23894:2023 pour la méthodologie de gestion des risques.
Le RGPD, à travers son Article 35, exige une analyse d'impact relative à la protection des données pour tout traitement « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». La CNIL considère qu'une grande partie des systèmes d'IA traitant des données personnelles entrent dans ce cadre.
| Texte | Périmètre | Article(s) clé(s) | Sanction maximale |
|---|---|---|---|
| EU AI Act (Règlement UE 2024/1689) | Systèmes d'IA à haut risque | Art. 9, Art. 27, Art. 99 | 35 M€ ou 7 % du CA mondial |
| ISO/IEC 42001:2023 | Toute organisation déployant l'IA | Cl. 6.1 | Perte de certification |
| RGPD (Règlement UE 2016/679) | Traitement de données personnelles | Art. 35 | 20 M€ ou 4 % du CA mondial |
Pour une lecture consolidée des sanctions applicables aux PME, consultez notre analyse Sanctions et amendes EU AI Act pour les PME.
2. Qu'est-ce qu'une fiche d'impact système IA (AISIA) ?
L'AISIA est un document structuré qui décrit un système d'IA, identifie ses risques, évalue leur probabilité et leur gravité, puis documente les mesures de mitigation appliquées tout au long du cycle de vie du système.
Elle se distingue de l'AIPD (DPIA) du RGPD sur trois points. Premièrement, son périmètre dépasse les seules données personnelles : elle couvre les risques techniques (robustesse, dérive du modèle), éthiques (biais, équité), opérationnels (sécurité, disponibilité) et sociétaux (impact sur l'emploi, sur les droits fondamentaux). Deuxièmement, elle s'applique même en l'absence de traitement de données personnelles. Troisièmement, elle implique une évaluation continue, pas un instantané.
L'AISIA est aussi distincte de la déclaration de conformité (Article 47 du Règlement) et du dossier technique (Annexe IV) du Règlement (UE) 2024/1689. Elle alimente ces deux documents sans s'y substituer.
| Document | Finalité | Référentiel | Obligation |
|---|---|---|---|
| AISIA | Évaluation des risques du système IA | ISO 42001 Cl. 6.1, AI Act Art. 9 | Systèmes haut risque + recommandé pour les autres |
| DPIA / AIPD | Évaluation des risques pour les données personnelles | RGPD Art. 35 | Traitement à risque élevé |
| FRIA (évaluation d'impact sur les droits fondamentaux) | Impact sur les droits fondamentaux | AI Act Art. 27 | Déployeurs publics et certains acteurs privés |
| Dossier technique | Démonstration de conformité | AI Act Annexe IV | Tous les systèmes haut risque |
3. Objectifs de la fiche d'impact système IA
Une AISIA correctement menée répond à quatre objectifs opérationnels qui s'enchaînent logiquement.
Le premier objectif est l'identification exhaustive des risques. Cela couvre les risques de biais algorithmique, les vulnérabilités de sécurité (attaques adversariales, empoisonnement des données, extraction de modèle), les risques de performance (taux d'erreur, dérive en production) et les risques de conformité juridique (RGPD, AI Act, droit sectoriel).
Le deuxième objectif est l'évaluation de l'impact sur les parties prenantes : utilisateurs finaux, personnes affectées par les décisions du système, employés concernés par l'automatisation, clients, partenaires. L'EU AI Act insiste particulièrement sur l'impact sur les droits fondamentaux (dignité, non-discrimination, vie privée).
Le troisième objectif consiste à proposer des mesures de mitigation. L'ISO/IEC 42001:2023 distingue les mesures techniques (chiffrement, sandboxing, supervision humaine en production) des mesures organisationnelles (gouvernance, formation, procédures d'incident).
Le quatrième objectif est la traçabilité. La fiche d'impact est le pivot documentaire qui démontre la conformité aux autorités de contrôle, qu'il s'agisse de la CNIL, de l'AI Office européen ou des régulateurs sectoriels (ACPR, ANSM, ARCEP).
Besoin d'un modèle d'AISIA prêt à l'emploi ?
regulia met à disposition un pack documentaire conforme ISO/IEC 42001 et EU AI Act, adapté aux PME françaises de 10 à 250 salariés.
Demander le pack AISIA4. Étapes de création d'une AISIA selon ISO 42001 Cl. 6.1
La clause 6.1 de la norme ISO/IEC 42001:2023 décrit un processus en quatre étapes itératif. Chaque étape produit des livrables documentés qui alimentent la fiche d'impact finale.
Étape 1 — Identifier les risques
L'identification commence par une cartographie du système : finalité, données d'entrée et de sortie, modèle utilisé, environnement de déploiement, utilisateurs cibles. Cette cartographie sert de base à un atelier d'identification des risques associant le métier, la DSI, le DPO et, si pertinent, un expert externe.
ISO/IEC 23894:2023 fournit une taxonomie de référence : risques liés aux données, risques liés au modèle, risques liés à l'usage, risques liés à l'écosystème.
Étape 2 — Évaluer l'impact
Chaque risque identifié est évalué selon deux dimensions : sa probabilité d'occurrence et la gravité de ses conséquences. La grille d'évaluation doit être documentée et reproductible. Une matrice 5×5 (probabilité × gravité) est l'approche la plus courante en PME.
| Niveau | Probabilité | Gravité (impact sur les personnes) |
|---|---|---|
| 1 — Très faible | < 5 % par an | Inconfort mineur, sans conséquence durable |
| 2 — Faible | 5 à 20 % | Désagrément ponctuel |
| 3 — Modéré | 20 à 50 % | Atteinte significative à un droit ou intérêt |
| 4 — Élevé | 50 à 80 % | Préjudice sérieux, partiellement réversible |
| 5 — Critique | > 80 % | Atteinte grave, irréversible aux droits fondamentaux |
Étape 3 — Définir les mesures de mitigation
Pour chaque risque dont le score (probabilité × gravité) dépasse le seuil d'acceptation défini par l'organisation, une mesure de mitigation doit être proposée. Les mesures doivent être priorisées et leur mise en œuvre planifiée avec un porteur, un délai et un budget.
Étape 4 — Documenter et maintenir
La fiche d'impact est un document vivant. Elle doit être mise à jour à chaque évolution majeure du système (changement de modèle, nouvelle source de données, extension d'usage) et révisée au minimum une fois par an. L'EU AI Act exige une surveillance continue (Article 72) après mise sur le marché.
5. Exigences spécifiques de l'EU AI Act pour les systèmes à haut risque
Pour les systèmes classés à haut risque au sens de l'Article 6 et de l'Annexe III du Règlement (UE) 2024/1689, l'AISIA doit intégrer des éléments supplémentaires.
L'Article 9 exige un système de gestion des risques « continu et itératif tout au long du cycle de vie du système d'IA à haut risque ». Le contenu minimal couvre l'identification des risques connus et raisonnablement prévisibles, l'estimation des risques résiduels après mitigation, l'évaluation des risques émergents identifiés via la surveillance post-commercialisation, et l'adoption de mesures de gestion des risques appropriées.
L'Article 27 impose, pour certains déployeurs (organismes publics et acteurs fournissant des services publics essentiels notamment), une évaluation d'impact sur les droits fondamentaux (FRIA) avant le premier déploiement. Cette FRIA doit décrire les processus du déployeur dans lesquels le système sera utilisé, la durée et la fréquence d'utilisation, les catégories de personnes physiques susceptibles d'être affectées, les risques spécifiques de préjudice et les mesures de surveillance humaine.
| Composant AISIA | Système risque limité | Système haut risque |
|---|---|---|
| Description du système | Recommandée | Obligatoire (Annexe IV) |
| Analyse des risques | Recommandée | Obligatoire (Art. 9) |
| Évaluation des droits fondamentaux | Optionnelle | Obligatoire pour certains déployeurs (Art. 27) |
| Surveillance post-déploiement | Recommandée | Obligatoire (Art. 72) |
| Validation par expert indépendant | Non requise | Selon module d'évaluation de la conformité |
| Fréquence de mise à jour | Annuelle conseillée | Continue |
Pour rappel, la qualification d'un système comme « à haut risque » est détaillée dans notre pillar AI Act PME France.
6. Intégration avec le RGPD
L'AISIA et l'AIPD sont deux exercices complémentaires. La CNIL, dans ses fiches pratiques sur l'IA publiées entre 2024 et 2025, recommande de mener les deux analyses de façon coordonnée pour éviter la duplication de travail.
Lorsqu'un système d'IA traite des données personnelles, l'Article 35 du RGPD impose une AIPD si le traitement est susceptible d'engendrer un risque élevé. La CNIL a publié une liste de traitements pour lesquels une AIPD est obligatoire (délibération n° 2018-327). Plusieurs cas concernent directement l'IA : profilage à grande échelle, surveillance systématique, traitement de données sensibles à grande échelle.
Le traitement de données sensibles au sens de l'Article 9 du RGPD (santé, opinions politiques, origine raciale ou ethnique, données biométriques d'identification) déclenche systématiquement l'obligation d'AIPD et impose une vigilance renforcée dans l'AISIA.
L'articulation pratique tient en trois principes :
- Une AISIA peut englober une AIPD lorsque le système traite des données personnelles, à condition de couvrir l'ensemble des éléments exigés par l'Article 35 du RGPD.
- Le DPO doit être impliqué dès l'étape d'identification des risques, et son avis formellement recueilli avant validation.
- Si le risque résiduel demeure élevé après mitigation, la consultation préalable de la CNIL au titre de l'Article 36 du RGPD est obligatoire.
Pour les définitions précises (déployeur, fournisseur, mise sur le marché), consultez notre glossaire AI Act.
7. Outils et ressources disponibles
Plusieurs ressources publiques et sectorielles facilitent la production d'une AISIA pour une PME française.
| Ressource | Éditeur | Type | Coût |
|---|---|---|---|
| Modèles AI Act Service Desk | Commission européenne | Modèles documentaires | Gratuit |
| Fiches pratiques IA | CNIL | Méthodologie + check-lists | Gratuit |
| Guide AI Act janvier 2025 | Cigref | Guide opérationnel | Gratuit (membres) |
| Guide AI Act mars 2025 | Numeum | Guide sectoriel ESN | Gratuit |
| Norme ISO/IEC 42001:2023 | ISO | Norme certifiable | ~150 € (texte) |
| Norme ISO/IEC 23894:2023 | ISO | Norme méthodologique | ~150 € (texte) |
| Outil PIA | CNIL | Logiciel libre AIPD | Gratuit |
L'outil PIA de la CNIL, bien que conçu initialement pour les AIPD, peut servir de support à une AISIA en l'enrichissant des dimensions spécifiques à l'IA prévues par ISO/IEC 42001:2023. La référence des sources officielles est consultable sur notre page Sources réglementaires.
Pour les PME ne disposant pas d'expertise interne, plusieurs voies existent : recours à un consultant spécialisé en gouvernance de l'IA, formation d'un référent interne via les programmes de France Num ou de la BPI, mutualisation au sein d'une fédération professionnelle.
8. Cas d'usage pour les PME
Quatre familles de cas d'usage sont fréquemment rencontrées en PME française. Chacune appelle une AISIA dimensionnée à sa criticité.
Chatbot client et automatisation conversationnelle. Un chatbot relevant principalement du Chapitre IV (transparence — Article 50) doit informer l'utilisateur qu'il interagit avec une IA. L'AISIA évalue les risques de réponses inexactes, de fuite de données et d'usage détourné. Elle reste légère (15 à 30 pages) sauf si le chatbot prend des décisions affectant le client.
Décision automatisée RH (présélection de candidats). Classé à haut risque par l'Annexe III point 4 du Règlement (UE) 2024/1689. L'AISIA doit couvrir le risque de biais discriminatoires (genre, origine, âge), prévoir une supervision humaine (Article 14) et documenter la performance par sous-population. Elle doit s'articuler avec une AIPD obligatoire au titre du RGPD.
Vidéosurveillance intelligente. Les systèmes d'identification biométrique à distance sont strictement encadrés (interdits ou à haut risque selon les cas, Article 5 et Annexe III). L'AISIA doit examiner la proportionnalité, l'information du public, la durée de conservation des données et l'impact sur le droit à la vie privée.
Analyse prédictive client (scoring, segmentation, recommandation). Risque modéré à élevé selon la finalité. L'AISIA évalue les risques de profilage abusif, d'enfermement algorithmique et de discrimination indirecte. L'AIPD est obligatoire dès lors que le profilage produit des effets juridiques ou affecte significativement la personne (Article 22 du RGPD).
| Cas d'usage | Classification AI Act | AIPD RGPD | Effort AISIA estimé |
|---|---|---|---|
| Chatbot client générique | Risque limité (Art. 50) | Selon données traitées | 5 à 15 jours-homme |
| Tri de CV automatisé | Haut risque (Annexe III, 4) | Obligatoire | 20 à 40 jours-homme |
| Vidéosurveillance biométrique | Haut risque ou interdit (Art. 5) | Obligatoire | 30 à 60 jours-homme |
| Scoring client | Risque limité à élevé | Obligatoire si Art. 22 | 10 à 25 jours-homme |
Ces estimations [à vérifier] dépendent de la maturité documentaire préexistante de l'organisation.
FAQ
Quel est le délai pour réaliser une AISIA ?
L'AISIA doit être réalisée avant la mise sur le marché ou la mise en service du système d'IA à haut risque. Pour les systèmes existants au moment de l'entrée en application des dispositions du Règlement (UE) 2024/1689, des dispositions transitoires sont prévues à l'Article 111 [à vérifier]. Le calendrier d'application complet du Règlement s'étale jusqu'en 2027 selon les obligations. Le temps de réalisation pratique varie de quelques semaines pour un système simple à plusieurs mois pour un système complexe.
Quelles sont les sanctions en cas d'absence d'AISIA ?
Le non-respect des obligations relatives à la gestion des risques et à la documentation pour les systèmes à haut risque est sanctionné selon l'Article 99 du Règlement (UE) 2024/1689. Le plafond peut atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Le plafond de 7 % (35 M€) concerne les pratiques interdites de l'Article 5. Les infractions liées à la fourniture d'informations inexactes aux autorités sont plafonnées à 7,5 M€ ou 1 % du CA. Pour les PME, la Commission a indiqué que le montant le plus bas s'applique. Voir notre analyse détaillée des sanctions EU AI Act pour les PME.
Comment choisir un expert pour valider une AISIA ?
Pour les systèmes à haut risque soumis à un module d'évaluation de la conformité par tiers, l'expert doit appartenir à un organisme notifié au sens du Chapitre III, Section 4 du Règlement. Pour les autres cas, le choix peut se porter sur un consultant disposant d'une expertise reconnue (publications, certifications ISO/IEC 42001 lead implementer ou auditor). Les organismes accrédités COFRAC pour la certification ISO/IEC 42001 commencent à se structurer en France [à vérifier].
Quelle est la différence entre AISIA et DPIA ?
L'AISIA évalue les risques d'un système d'IA dans toutes ses dimensions (technique, éthique, opérationnelle, juridique). La DPIA (ou AIPD en français) se concentre sur les risques pour les droits et libertés des personnes liés au traitement de données personnelles, conformément à l'Article 35 du RGPD. Une AISIA peut intégrer une DPIA lorsque le système traite des données personnelles, à condition d'en couvrir intégralement les exigences. Les deux exercices doivent rester traçables séparément.
Quel budget prévoir pour une AISIA en PME ?
Pour une PME française, le budget global d'une AISIA se situe entre 500 € (système simple, méthodologie interne, modèles publics) et 10 000 € (système complexe, accompagnement externe, validation par tiers) [à vérifier]. Ce budget couvre la phase initiale. La maintenance annuelle représente généralement 20 à 30 % du coût initial. L'utilisation de modèles préexistants et la formation d'un référent interne réduisent significativement le coût récurrent.
Accélérez votre mise en conformité AI Act
Obtenez le pack AISIA regulia : modèles documentaires, matrices de risques, check-lists ISO 42001 et AI Act, prêts à adapter à votre système d'IA.
Recevoir le pack documentaireSources officielles
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 — version consolidée EUR-Lex : eur-lex.europa.eu
- Texte de référence consolidé EU AI Act : artificialintelligenceact.eu
- AI Act Service Desk de la Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — fiches pratiques sur l'intelligence artificielle : cnil.fr
- Norme ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system : disponible sur le catalogue ISO
- Norme ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
- Norme ISO/IEC 27001:2022 — Information security management systems
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.