FRIA : réaliser une analyse d'impact sur les droits fondamentaux

Q: Quels systèmes d'IA nécessitent une FRIA ?

Tous les systèmes d'IA à haut risque selon la liste officielle de l'AI Act. Cela inclut les systèmes de recrutement, de surveillance vidéo, d'analyse de crédit, etc. Les PME doivent consulter la liste officielle sur eur-lex.europa.eu.

Q: Quel est le délai pour réaliser une FRIA ?

Les PME ont jusqu'au 31 décembre 2026 pour mettre en place une FRIA pour leurs systèmes d'IA à haut risque. Le processus doit être documenté et mis à jour régulièrement. Le service desk européen offre des conseils pour les délais.

Q: Quelles sont les conséquences d'une FRIA incomplète ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel et incluent l'interdiction de mise sur le marché de l'IA. La CNIL recommande de consulter le guide pratique pour éviter des erreurs. Les PME peuvent bénéficier de sanctions allégées si elles coopèrent.

Q: Comment intégrer la FRIA dans le développement d'IA ?

La FRIA doit être intégrée dès la phase de conception (design thinking). Utilisez des méthodologies comme les tests d'équité et les audits internes. La CNIL propose des outils pour les PME, et le service desk européen offre des formations.

Q: Où trouver des modèles de FRIA pour les PME ?

La CNIL fournit des modèles de FRIA sur cnil.fr. Le service desk européen (ai-act-service-desk.ec.europa.eu) propose également des outils et des exemples concrets. Les PME peuvent également utiliser des outils open-source comme Fairlearn.

L'essentiel en 30 secondes

Le FRIA est obligatoire pour les systèmes d'IA à haut risque (Article 35 du Règlement (UE) 2024/1689)

Sanctions jusqu'à 7 % du CA annuel pour non-respect (Article 83 du Règlement (UE) 2024/1689)

La CNIL recommande 5 étapes clés pour une analyse efficace

Les PME bénéficient de délais allongés jusqu'au 31 décembre 2026

Un service desk européen est disponible en ligne

En 2026, déployer un système d'IA sans analyse d'impact sur les droits fondamentaux, c'est s'exposer à une amende pouvant dépasser le budget annuel de votre département informatique. Le FRIA n'est pas une formalité administrative : c'est la preuve documentée que vous avez anticipé les risques humains de votre IA. Ce guide vous explique comment le réaliser concrètement, en quatre étapes, avec les bons outils.

1. Qu'est-ce qu'une analyse d'impact sur les droits fondamentaux (FRIA) ?

La FRIA — Fundamental Rights Impact Assessment — est une analyse systématique des risques qu'un système d'IA peut faire peser sur les droits fondamentaux des personnes. L'Article 35 du Règlement (UE) 2024/1689 en fait une obligation pour tout déployeur de système d'IA à haut risque opérant dans des secteurs sensibles.

Les droits visés sont concrets et définis par la Charte des droits fondamentaux de l'Union européenne : vie privée (Article 7), protection des données (Article 8), non-discrimination (Article 21), liberté d'expression (Article 11), droit à un recours effectif (Article 47). L'analyse ne se résume pas à une case à cocher. Elle impose d'identifier, de mesurer et d'atténuer les impacts avant tout déploiement opérationnel.

L'AI Act établit la liste officielle des systèmes à haut risque à son Annexe III. Figurent notamment : les outils d'évaluation des candidats à l'embauche, les systèmes de surveillance biométrique à distance, les logiciels d'analyse de solvabilité ou de crédit, les outils d'aide à la décision judiciaire et les systèmes d'accès à des services publics essentiels. Si votre entreprise utilise l'un de ces systèmes, la FRIA est obligatoire.

Pour vérifier si votre système entre dans cette liste, consultez notre glossaire ou le texte consolidé sur artificialintelligenceact.eu. La page dédiée aux PME françaises détaille également les critères de classification par secteur d'activité.

2. Les étapes clés pour réaliser une FRIA

La FRIA suit un processus documenté en quatre temps. Chaque étape alimente la suivante et doit être tracée dans votre registre de conformité.

Étape 1 — Identifier les droits fondamentaux concernés

Listez explicitement les droits susceptibles d'être affectés par votre système. Un outil de scoring RH touche à la non-discrimination (Article 21 de la Charte) et à la protection des données (Article 8). Une caméra d'analyse comportementale en point de vente touche à la vie privée (Article 7) et à la liberté de mouvement. Soyez précis : notez le droit, la population concernée et le mécanisme d'impact potentiel.

Ne vous limitez pas aux impacts directs. Un système qui optimise les tournées de livraison peut indirectement affecter les conditions de travail des chauffeurs si ses algorithmes de productivité sont utilisés dans les évaluations individuelles. Cette cascade d'impacts secondaires est souvent la principale source de risques sous-estimés.

Étape 2 — Évaluer les risques identifiés

Pour chaque risque, estimez deux paramètres : la probabilité d'occurrence et la gravité de l'impact sur les personnes concernées. Une grille 3×3 (faible/moyen/élevé) suffit pour la majorité des PME. Documentez la source des données utilisées, les biais potentiels des jeux d'entraînement et les scénarios de défaillance les plus probables.

L'évaluation doit couvrir l'ensemble du cycle de vie du système : phase de test, déploiement initial, fonctionnement courant, mises à jour et retrait éventuel. Chaque phase peut générer des risques différents pour des populations différentes.

Étape 3 — Développer des mesures d'atténuation

Chaque risque classé moyen ou élevé exige une mesure concrète et réalisable. Exemples opérationnels : un mécanisme de supervision humaine obligatoire avant toute décision individuelle défavorable, un test d'équité mensuel sur les sorties du modèle, une procédure de contestation accessible par écrit aux personnes concernées dans un délai de 30 jours.

Ces mesures doivent être réalisables avec vos ressources actuelles. Une mesure théoriquement parfaite mais impossible à implémenter vaut moins qu'une mesure partielle réellement en place.

Étape 4 — Documenter l'analyse et les décisions

La documentation est votre principal élément de preuve en cas de contrôle. Conservez la méthodologie utilisée, les résultats détaillés de l'évaluation, les mesures retenues et leur justification, ainsi que les parties prenantes consultées. L'Article 26 du Règlement (UE) 2024/1689 exige que cette documentation soit accessible aux autorités compétentes sur demande et sans délai.

La FRIA doit être mise à jour à chaque modification substantielle du système et au minimum une fois par an. Votre registre de conformité doit en tracer toutes les versions successives avec date et responsable signataire.

3. Les outils et méthodologies à utiliser

Plusieurs approches existent. Le choix dépend de vos ressources disponibles, de la complexité du système analysé et du niveau de risque identifié.

Outil	Usage principal	Coût	Niveau de ressources
Matrice d'analyse des risques	Scoring probabilité × gravité	Gratuit	Faible
Fairlearn (Microsoft)	Tests de biais sur modèles ML	Gratuit (open-source)	Moyen
AI Fairness 360 (IBM)	Métriques d'équité multicritères	Gratuit (open-source)	Moyen
What-If Tool (Google)	Visualisation des scénarios	Gratuit (open-source)	Moyen
Audit externe (tiers certificateur)	Validation formelle ISO 42001	2 000–8 000 €	Élevé
Consultation parties prenantes	Identification des impacts réels	Variable	Variable

La matrice de risques constitue le point de départ universel. Elle croise les droits fondamentaux identifiés avec les scénarios de défaillance et produit une cartographie visuelle exploitable par votre direction générale sans compétence technique préalable.

Les tests d'équité deviennent indispensables dès que votre système prend des décisions différenciées selon des caractéristiques protégées : sexe, origine ethnique, âge, situation de handicap, orientation sexuelle. Fairlearn, outil open-source maintenu par Microsoft, mesure des indicateurs comme la parité démographique ou l'égalité des opportunités. Son utilisation est documentée en français et son intégration dans un pipeline Python prend moins d'une journée de travail.

La consultation des parties prenantes est souvent négligée. L'Article 9 du Règlement (UE) 2024/1689 la recommande pourtant explicitement pour les systèmes affectant des groupes vulnérables. Interrogez vos collaborateurs exposés, vos clients concernés, vos représentants du personnel. Leurs retours identifient des risques que les métriques statistiques ne détectent pas.

Le service desk européen de l'AI Act propose des guides méthodologiques gratuits, adaptés à différents secteurs d'activité, téléchargeables sans inscription.

Besoin d'accompagnement pour votre première FRIA ?

Regulia vous aide à structurer votre analyse d'impact en moins de 4 semaines : cartographie des droits concernés, matrice de risques, documentation conforme à l'Article 35 du Règlement (UE) 2024/1689.

Demander un accompagnement

4. Les sanctions en cas de non-respect

L'absence de FRIA n'est pas une option. L'Article 83 du Règlement (UE) 2024/1689 prévoit des sanctions administratives pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les infractions les plus graves, notamment l'utilisation de systèmes d'IA interdits.

Pour les violations portant spécifiquement sur les obligations des déployeurs — dont la FRIA — l'Article 83(3) fixe les amendes à 15 millions d'euros ou 3 % du CA annuel mondial. Ces seuils s'appliquent également aux PME. Il n'existe pas d'allègement automatique lié à la taille de l'entreprise.

La procédure de sanction type se déroule en trois phases :

L'autorité nationale compétente (en France : la CNIL pour les aspects données personnelles, l'ARCOM pour d'autres secteurs) reçoit un signalement ou ouvre un contrôle d'office.
Elle adresse une mise en demeure formelle avec un délai de mise en conformité, généralement fixé à trois mois.
En l'absence de réponse ou de correction satisfaisante, elle prononce l'amende et peut ordonner la suspension ou le retrait du marché du système concerné.

Les PME qui coopèrent activement dès la mise en demeure bénéficient systématiquement de sanctions réduites. L'existence d'une FRIA documentée — même imparfaite — démontre la bonne foi et réduit significativement l'exposition financière. Consultez notre page dédiée aux sanctions AI Act pour le détail des montants par catégorie d'infraction et par secteur.

5. Exemples concrets de FRIA pour les PME

Quatre situations illustrent les cas les plus fréquemment rencontrés dans les PME françaises.

Cas 1 — Chatbot RH

Une PME de 80 salariés déploie un assistant conversationnel pour présélectionner les candidatures entrantes. Le risque principal : la discrimination indirecte si le modèle a été entraîné sur des données historiquement biaisées (surreprésentation de profils masculins dans les postes à responsabilité, par exemple). La FRIA doit identifier les groupes protégés concernés, tester la parité des taux de sélection par sexe et par origine perçue, et prévoir une validation humaine obligatoire avant tout refus de candidature.

Cas 2 — Système de scoring de recrutement

Un outil commercial attribue un score de "compatibilité culturelle" aux candidats sur la base de tests comportementaux en ligne. Ce type de système entre explicitement dans l'Annexe III, point 4(a) du Règlement (UE) 2024/1689. La FRIA doit documenter les critères de scoring retenus par l'éditeur, tester leur neutralité par rapport aux caractéristiques protégées, et prévoir un droit à l'explication individuelle pour tout candidat refusé, conformément à l'Article 22 du RGPD.

Cas 3 — Surveillance vidéo en entrepôt

Un gestionnaire logistique déploie une caméra analytique mesurant les temps de déplacement des opérateurs et générant des scores de productivité individuels. Impact direct sur la vie privée, la dignité au travail et les relations employeur-employé. La FRIA doit recenser précisément les données collectées, leur durée de conservation, les personnes ayant accès aux résultats individuels, et les mécanismes de contestation disponibles pour les salariés concernés.

Cas 4 — Gestion prédictive des données clients

Un système d'IA analyse les comportements d'achat pour segmenter les clients et personnaliser les offres commerciales. Si des données personnelles identifiables sont utilisées dans le modèle, la FRIA se double d'une AIPD (Analyse d'Impact relative à la Protection des Données) exigée par l'Article 35 du RGPD. Les deux analyses peuvent être fusionnées dans un document unique pour éviter les doublons de travail.

Retrouvez d'autres exemples sectoriels dans notre guide complet AI Act pour les PME françaises.

6. Les bonnes pratiques pour une FRIA efficace

Intégrez la FRIA dès la conception. Une FRIA réalisée une fois le système en production est toujours plus coûteuse et moins efficace. En phase de conception, vous pouvez encore modifier l'architecture du modèle, changer les données d'entraînement, ajuster les seuils de décision automatisée. En phase d'exploitation, vous subissez les contraintes techniques et contractuelles existantes.

Formez vos équipes avant de démarrer. La FRIA ne relève pas uniquement du service juridique ou de la DPO. Les développeurs, les chefs de produit, les responsables RH et les managers opérationnels doivent comprendre les droits en jeu et les risques qu'ils contribuent à créer ou à atténuer. Une formation transverse d'une demi-journée sur les fondamentaux de l'AI Act suffit pour aligner les équipes non techniques.

Mettez à jour l'analyse annuellement. Le système évolue, les données changent, le contexte d'utilisation se transforme et le cadre réglementaire s'affine. Planifiez une revue formelle de la FRIA chaque année, même en l'absence de modification majeure. Nommez un responsable FRIA chargé de déclencher les révisions lors des mises à jour du système.

Utilisez des outils open-source éprouvés. Fairlearn, AI Fairness 360 et What-If Tool sont gratuits, documentés et régulièrement maintenus. Ils permettent d'objectiver les mesures d'équité sans budget externe. Leur utilisation dans la FRIA renforce la crédibilité de votre démarche auprès des auditeurs.

Consultez également les sources officielles compilées par Regulia pour rester à jour sur les évolutions des textes applicables et les nouvelles recommandations de la CNIL.

7. Les ressources disponibles pour les PME

La CNIL publie un guide pratique de la FRIA directement sur son site, mis à jour régulièrement en fonction des décisions de contrôle et des nouvelles recommandations européennes. Ce guide propose des modèles de documentation, une checklist de vérification et une liste des erreurs fréquentes à éviter. Il est gratuit et téléchargeable sans inscription.

Le service desk européen de l'AI Act offre un service d'auto-évaluation en ligne, des FAQ sectorielles, et un formulaire de contact pour les questions complexes spécifiques à votre situation. Le service est disponible en français et traite les demandes sous cinq jours ouvrés.

L'ANSSI propose des formations certifiées sur la sécurité des systèmes d'IA, complémentaires à la FRIA pour les aspects cybersécurité et gestion des vulnérabilités. Ces formations sont éligibles au CPF et accessibles aux PME de moins de 50 salariés via les OPCO.

Le texte consolidé de l'AI Act est consultable gratuitement sur artificialintelligenceact.eu, avec des annotations par article, une fonction de recherche par thème et un historique des modifications.

FAQ

Quels systèmes d'IA nécessitent une FRIA ?

Tous les systèmes d'IA classés à haut risque selon l'Annexe III du Règlement (UE) 2024/1689. Cela inclut notamment les systèmes de recrutement et d'évaluation professionnelle, les outils de surveillance vidéo à analyse comportementale, les logiciels d'analyse de solvabilité ou de crédit, les systèmes d'aide à la décision judiciaire et les outils d'accès à des prestations sociales. Pour vérifier le statut de votre système, consultez le texte officiel sur artificialintelligenceact.eu ou notre glossaire.

Quel est le délai pour réaliser une FRIA ?

Les PME ont jusqu'au 31 décembre 2026 pour documenter une FRIA pour leurs systèmes à haut risque déjà en exploitation. Les nouveaux systèmes déployés après le 2 août 2026 doivent faire l'objet d'une FRIA préalable à leur mise en production. Le service desk européen peut vous aider à prioriser selon votre calendrier et votre secteur d'activité.

Quelles sont les conséquences d'une FRIA incomplète ?

Une FRIA incomplète ou absente expose à des amendes pouvant atteindre 15 millions d'euros ou 3 % du CA annuel mondial selon l'Article 83(3) du Règlement (UE) 2024/1689. Elle peut entraîner l'interdiction immédiate du système concerné sur le marché européen. Les PME qui coopèrent avec les autorités et présentent un plan de correction chiffré bénéficient généralement de sanctions allégées.

Comment intégrer la FRIA dans le développement d'IA ?

Lancez la FRIA en phase de conception, parallèlement à la rédaction des spécifications fonctionnelles. Impliquez dès le départ les équipes techniques, juridiques et métier. Utilisez des outils comme Fairlearn pour objectiver les tests d'équité à chaque sprint de développement. La CNIL propose des guides adaptés aux PME pour chaque phase du cycle de développement logiciel.

Où trouver des modèles de FRIA pour les PME ?

La CNIL fournit des modèles documentaires sur son site officiel. Le service desk européen propose des exemples sectoriels sur ai-act-service-desk.ec.europa.eu. Des outils open-source comme Fairlearn fournissent des templates de rapport d'équité réutilisables et exportables en PDF. Regulia met également à disposition des modèles adaptés aux PME françaises via notre page ressources.

Téléchargez notre modèle de FRIA pour PME

Un document structuré en quatre sections, conforme à l'Article 35 du Règlement (UE) 2024/1689, avec des exemples de contenu pour chaque champ et une checklist de validation finale.

Télécharger le modèle gratuit

Sources officielles

Avertissement — Cet article fournit une information générale et ne constitue pas un conseil juridique.