TL;DR
L'essentiel en 30 secondes - L'Article 27 du Règlement (UE) 2024/1689 impose une évaluation d'impact sur les droits fondamentaux (FRIA) avant le déploiement de certains systèmes d'IA à haut risque. - La FRIA s'applique principalement aux déployeurs publics et à certains acteurs privés (services essentiels, banque, assurance) — toutes les PME ne sont pas concernées. - L'obligation entre en application le 2 août 2026 pour la majorité des systèmes à haut risque listés à l'Annexe III. - Le résultat de la FRIA doit être notifié à l'autorité de surveillance du marché concerné. - Les sanctions liées aux obligations des déployeurs peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (Art. 99). - Un registre interne des systèmes IA et une articulation claire avec l'AIPD-RGPD sont indispensables.
1. Qu'est-ce que l'Article 27 de l'AI Act ?
L'Article 27 du Règlement (UE) 2024/1689 introduit la Fundamental Rights Impact Assessment (FRIA), traduite en français par « analyse d'impact sur les droits fondamentaux ». Cette évaluation conditionne la mise en service de certains systèmes d'IA à haut risque.
Le texte officiel précise que le déployeur doit procéder à cette analyse « avant le déploiement d'un système d'IA à haut risque visé à l'article 6, paragraphe 2 », à l'exception des systèmes destinés à la gestion d'infrastructures critiques (Annexe III, point 2).
La FRIA n'est pas un audit ponctuel. C'est une démarche structurée qui documente :
- l'usage prévu du système ;
- la durée et la fréquence d'utilisation ;
- les catégories de personnes physiques concernées ;
- les risques spécifiques de préjudice ;
- les mesures de surveillance humaine ;
- les mesures à prendre si les risques se matérialisent.
⚠️ Précision juridique importante : la FRIA s'impose au déployeur (celui qui utilise le système dans le cadre de son activité), et non au fournisseur. Le fournisseur, lui, est soumis à une obligation distincte — l'évaluation de conformité (Art. 43). Cette distinction est centrale pour les PME : selon votre rôle, vos obligations diffèrent. Voir notre glossaire pour les définitions précises.
Qui est concerné par l'Article 27 ?
L'Art. 27, §1 limite explicitement le périmètre aux déployeurs suivants :
- Les organismes de droit public ;
- Les entités privées fournissant des services publics ;
- Les déployeurs de systèmes d'IA à haut risque utilisés pour l'évaluation de la solvabilité des personnes physiques (Annexe III, 5.b) ;
- Les déployeurs de systèmes d'IA utilisés pour la tarification et l'évaluation des risques en assurance-vie et assurance santé (Annexe III, 5.c).
Une PME française qui ne relève d'aucune de ces catégories n'est donc pas tenue de réaliser une FRIA au sens strict de l'Art. 27, même si elle déploie un système à haut risque. Elle reste néanmoins soumise aux obligations générales du déployeur (Art. 26).
2. Les droits fondamentaux concernés
La FRIA évalue l'impact du système IA sur les droits protégés par la Charte des droits fondamentaux de l'Union européenne. Les principaux droits concernés sont :
| Droit fondamental | Base juridique | Risques typiques liés à l'IA |
|---|---|---|
| Dignité humaine | Art. 1 Charte UE | Décisions automatisées dégradantes, profilage intrusif |
| Non-discrimination | Art. 21 Charte UE | Biais algorithmiques selon genre, origine, âge, handicap |
| Protection des données | Art. 8 Charte UE + RGPD | Traitement disproportionné, absence de base légale |
| Liberté d'expression et de réunion | Art. 11 et 12 Charte UE | Modération automatisée excessive, surveillance |
| Droit à un recours effectif | Art. 47 Charte UE | Décisions opaques sans possibilité de contester |
| Droits de l'enfant | Art. 24 Charte UE | Protection insuffisante des mineurs |
| Droits des personnes handicapées | Art. 26 Charte UE + Directive 2000/78/CE | Inaccessibilité, biais d'éligibilité |
Cette liste n'est pas limitative. La CNIL, dans ses fiches pratiques IA publiées en 2024-2025, insiste sur l'évaluation contextuelle : un même système peut présenter des risques différents selon les publics visés et le secteur d'application.
3. Obligations des PME françaises
Pour une PME qui entre dans le champ de l'Art. 27, les obligations concrètes sont les suivantes :
- Identifier précisément les systèmes d'IA à haut risque utilisés, en croisant l'Annexe III du Règlement avec les usages métier.
- Conduire la FRIA selon la méthodologie de l'Art. 27, §1, points a) à f).
- Notifier les résultats à l'autorité de surveillance du marché (Art. 27, §3). En France, cette autorité sera désignée par décret — la CNIL et l'ARCOM sont fortement pressenties pour plusieurs secteurs.
- Tenir un registre interne des systèmes IA déployés, articulé avec les obligations de l'Art. 26.
- Mettre à jour la FRIA si les circonstances changent matériellement (nouvel usage, nouveau public, modification de l'algorithme).
- Articuler la FRIA avec l'analyse d'impact relative à la protection des données (AIPD) lorsque le système traite des données personnelles (Art. 27, §4).
L'Art. 27, §5 prévoit que le Bureau européen de l'IA (AI Office) publiera un modèle de questionnaire facilitant la mise en conformité. À la date de rédaction, ce modèle n'est pas encore publié [à vérifier auprès de l'AI Office].
💡 Pour une vue d'ensemble des obligations de toutes les PME face à l'AI Act — au-delà de l'Art. 27 — consultez notre guide pillar AI Act PME France.
4. Processus d'évaluation FRIA
La FRIA suit un processus structuré en quatre étapes principales. Cette méthodologie n'est pas imposée littéralement par l'Art. 27, mais elle reflète les bonnes pratiques recommandées par la CNIL et le Cigref (guide AI Act, janvier 2025).
Étape 1 — Cartographie du système
Documenter l'usage prévu : finalité, processus dans lequel s'insère l'IA, type de décisions concernées, données d'entrée, catégories de personnes affectées, durée et fréquence d'utilisation.
Étape 2 — Identification des risques
Lister les risques spécifiques de préjudice pour les droits fondamentaux. Pour chaque risque, préciser :
- la nature de l'atteinte (discrimination, atteinte à la vie privée, etc.) ;
- les groupes vulnérables potentiellement affectés ;
- la probabilité et la gravité.
Étape 3 — Analyse des mesures existantes
Évaluer les contrôles déjà en place : surveillance humaine, possibilité de contestation, mécanismes de transparence vis-à-vis des personnes concernées (Art. 26, §11 sur l'information des personnes).
Étape 4 — Plan de mesures correctives
Définir les mesures à prendre si les risques se matérialisent : procédures de gouvernance interne, plaintes, escalade vers les autorités. Ces mesures doivent être documentées et traçables.
Comparaison FRIA vs AIPD
Beaucoup de DPO se demandent comment articuler la FRIA et l'analyse d'impact RGPD. Le tableau suivant clarifie cette distinction.
| Critère | FRIA (Art. 27 AI Act) | AIPD (Art. 35 RGPD) |
|---|---|---|
| Périmètre | Tous droits fondamentaux Charte UE | Protection des données personnelles |
| Déclencheur | Déploiement système IA haut risque (catégories limitées) | Traitement à risque élevé pour les personnes |
| Responsable | Déployeur | Responsable de traitement |
| Notification | Autorité de surveillance du marché | CNIL (en cas de risque résiduel élevé) |
| Articulation | Peut s'appuyer sur l'AIPD existante (Art. 27, §4) | Indépendante mais complémentaire |
L'Art. 27, §4 prévoit explicitement que « lorsque l'une des obligations prévues au présent article est déjà remplie au titre de l'analyse d'impact relative à la protection des données effectuée en vertu de l'article 35 du règlement (UE) 2016/679, l'analyse d'impact sur les droits fondamentaux visée au paragraphe 1 complète cette analyse d'impact ».
Besoin d'un modèle de FRIA conforme Art. 27 ?
regulia propose un pack documentaire incluant un template FRIA articulé avec l'AIPD-RGPD, validé par notre équipe juridique et adapté aux PME françaises.
Demander le pack documentaire5. Outils et ressources pour les PME
Plusieurs ressources institutionnelles permettent aux PME de structurer leur démarche FRIA sans repartir d'une page blanche.
Ressources françaises
- CNIL : les fiches pratiques IA (13 fiches publiées en 2024-2025) couvrent la base légale, la minimisation des données, l'AIPD étendue aux usages IA, et l'information des personnes.
- Cigref : guide AI Act janvier 2025, axé grandes entreprises mais transposable.
- Numeum : guide AI Act mars 2025, orienté éditeurs et intégrateurs.
Ressources européennes
- AI Act Service Desk de la Commission européenne : portail officiel d'assistance (ai-act-service-desk.ec.europa.eu).
- AI Office EU : autorité de coordination, publiera les modèles de FRIA (Art. 27, §5).
Normes ISO
- ISO/IEC 42001:2023 — système de management de l'IA. Cette norme structure la gouvernance IA et facilite la production des livrables FRIA. Voir notre dossier ISO 42001 pour PME.
- ISO/IEC 23894:2023 — gestion des risques IA, utile pour la cartographie des risques étape 2.
- ISO/IEC 27001:2022 — sécurité de l'information, complément essentiel pour les systèmes traitant des données sensibles.
6. Exemples concrets pour les PME
Les cas suivants illustrent l'application — ou la non-application — de l'Art. 27 à des situations PME courantes.
Cas 1 : Chatbot client avec analyse de sentiment
Une PME e-commerce déploie un chatbot qui analyse les sentiments des clients pour prioriser les tickets. Ce système n'est pas listé à l'Annexe III comme haut risque. L'Art. 27 ne s'applique pas. Restent applicables : le RGPD, l'obligation de transparence (Art. 50 AI Act sur les systèmes d'IA conversationnels).
Cas 2 : Logiciel de recrutement automatisé
Une PME de 80 salariés utilise un outil de présélection de CV. C'est un système à haut risque (Annexe III, point 4 — emploi et gestion des travailleurs). En tant que déployeur privé non assimilable à un service public, la PME n'est pas tenue de réaliser une FRIA au sens de l'Art. 27. Elle reste soumise à l'Art. 26 (obligations générales du déployeur), à l'AIPD-RGPD et à la transparence vis-à-vis des candidats.
Cas 3 : Plateforme de scoring crédit déployée par un courtier
Un courtier en crédit (PME de 25 salariés) utilise un système IA pour évaluer la solvabilité de clients particuliers. L'Art. 27 s'applique : Annexe III, point 5.b. La PME doit conduire et notifier une FRIA avant le 2 août 2026 si le système est déjà en production, ou avant tout nouveau déploiement.
Cas 4 : Outil de tarification en assurance santé
Une mutuelle PME utilise un système IA pour ajuster les primes en assurance santé. L'Art. 27 s'applique : Annexe III, point 5.c. La FRIA doit couvrir spécifiquement les risques de discrimination (état de santé, âge, handicap) et l'articulation avec les exigences de l'ACPR.
| Cas | Système haut risque ? | FRIA Art. 27 obligatoire ? | Autres obligations clés |
|---|---|---|---|
| Chatbot sentiment | Non | Non | RGPD, Art. 50 transparence |
| Recrutement CV | Oui (Annexe III.4) | Non (déployeur privé hors services publics) | Art. 26, AIPD-RGPD |
| Scoring crédit | Oui (Annexe III.5.b) | Oui | Art. 26, AIPD-RGPD, ACPR |
| Tarification santé | Oui (Annexe III.5.c) | Oui | Art. 26, AIPD-RGPD, ACPR |
7. Risques et sanctions
Le non-respect de l'Art. 27 expose à des sanctions prévues par l'Article 99 du Règlement.
Niveaux de sanction applicables
Pour le manquement aux obligations de l'Art. 27, les sanctions relèvent du régime général des obligations des déployeurs : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu (Art. 99, §4).
⚠️ Attention à la confusion fréquente : le seuil de 7 % du chiffre d'affaires (mentionné dans certaines synthèses) concerne les pratiques interdites de l'Article 5, pas les obligations FRIA. Pour les obligations de l'Art. 27, le plafond pertinent est 3 % ou 15 M€.
Pour les PME spécifiquement, l'Art. 99, §6 prévoit que les amendes administratives sont appliquées en tenant compte de la viabilité économique de l'entreprise. C'est une atténuation importante, mais pas une exonération.
Pour le détail complet du barème, voir notre analyse dédiée aux sanctions AI Act pour PME.
Risques non financiers
Au-delà des amendes, les conséquences indirectes peuvent être lourdes :
- Suspension du système IA par l'autorité de surveillance du marché ;
- Retrait des marchés publics (incompatibilité avec les exigences de conformité) ;
- Atteinte réputationnelle auprès des clients B2B et particuliers ;
- Contentieux civils introduits par des personnes affectées par une décision automatisée non conforme.
8. Échéances et transition
Le calendrier d'application de l'AI Act est progressif. Pour l'Art. 27, les dates clés sont les suivantes :
| Date | Événement | Impact Art. 27 |
|---|---|---|
| 1er août 2024 | Entrée en vigueur du Règlement | Compte à rebours démarré |
| 2 février 2025 | Application des pratiques interdites (Art. 5) | Sans effet direct sur FRIA |
| 2 août 2025 | Obligations modèles IA généralistes | Sans effet direct sur FRIA |
| 2 août 2026 | Application des systèmes haut risque Annexe III | FRIA pleinement opposable |
| 2 août 2027 | Application étendue aux systèmes haut risque Annexe I | FRIA extension produit |
Que faire d'ici août 2026 ?
- T-12 mois : cartographier les usages IA et identifier les systèmes potentiellement Annexe III.
- T-9 mois : qualifier le rôle (fournisseur ou déployeur) et déterminer si l'Art. 27 s'applique.
- T-6 mois : produire la FRIA en s'appuyant sur le modèle AI Office (s'il est publié) ou sur un template équivalent.
- T-3 mois : articuler la FRIA avec l'AIPD existante et préparer la notification à l'autorité de surveillance.
- T-0 : déclencher la notification dès que l'autorité française est désignée par décret.
L'Art. 111 prévoit un régime transitoire : les systèmes déjà en service avant le 2 août 2026 disposent d'un délai supplémentaire, mais cette tolérance ne dispense pas des obligations dès qu'une modification substantielle intervient.
Préparez votre conformité Art. 27 dès maintenant
regulia accompagne les PME françaises avec un pack documentaire FRIA complet : template Art. 27, registre des systèmes IA, articulation AIPD-RGPD, fiche de notification à l'autorité.
Recevoir le pack reguliaFAQ
Quelles PME sont concernées par l'Article 27 ?
Seules les PME entrant dans l'une des catégories de l'Art. 27, §1 : organismes de droit public, entités privées fournissant un service public, déployeurs de systèmes IA pour l'évaluation de la solvabilité (Annexe III.5.b), ou pour la tarification en assurance-vie et santé (Annexe III.5.c). Une PME utilisant un système haut risque dans le recrutement ou l'éducation n'est pas tenue de produire une FRIA au sens strict, mais reste soumise à l'Art. 26.
Quel est le délai pour réaliser une FRIA ?
La FRIA doit être réalisée avant le déploiement du système. Pour les systèmes déjà déployés au 2 août 2026, l'analyse doit être effectuée préalablement à toute mise sur le marché de nouvelles fonctionnalités ou à toute modification substantielle. En pratique, démarrer la démarche dès 2025 est recommandé.
Quelles sont les conséquences d'une non-conformité ?
Sanctions administratives jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (Art. 99, §4), suspension possible du système par l'autorité de surveillance, contentieux civils par les personnes affectées, exclusion des marchés publics. Pour les PME, l'Art. 99, §6 module les sanctions selon la viabilité économique.
Où trouver des modèles de FRIA ?
L'AI Office EU publiera un modèle officiel de questionnaire (Art. 27, §5) — à la date de rédaction, ce modèle n'est pas encore disponible [à vérifier]. En attendant, la CNIL propose des fiches pratiques IA, l'AI Act Service Desk fournit des ressources, et regulia diffuse des modèles adaptés aux PME françaises.
La FRIA remplace-t-elle l'AIPD du RGPD ?
Non. La FRIA et l'AIPD sont complémentaires. L'Art. 27, §4 précise que la FRIA complète l'AIPD existante lorsque celle-ci a déjà été réalisée au titre de l'Art. 35 RGPD. Concrètement, une PME peut s'appuyer sur les éléments déjà documentés dans l'AIPD (cartographie des données, mesures de sécurité) et étendre l'analyse aux droits fondamentaux non couverts par le RGPD (liberté d'expression, non-discrimination, recours effectif).
Sources officielles
- Règlement (UE) 2024/1689 — texte officiel EUR-Lex
- AI Act Service Desk — Commission européenne
- CNIL — Systèmes d'intelligence artificielle
- CNIL — Fiches pratiques IA
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
- Cigref — Guide AI Act, janvier 2025
- Numeum — Guide AI Act, mars 2025
Pour la liste complète des références utilisées par regulia, consultez notre page sources.
Disclaimer
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.