L'essentiel en 30 secondes - Le FRIA (Fundamental Rights Impact Assessment) s'impose aux déployeurs de systèmes d'IA à haut risque au titre de l'Article 27 du Règlement (UE) 2024/1689. - Le DPIA (Data Protection Impact Assessment) reste obligatoire pour les traitements à haut risque selon l'article 35 du RGPD. - Une PME française de 10 à 250 salariés qui déploie un système d'IA à haut risque traitant des données personnelles cumule les deux obligations. - Une approche intégrée permet de réutiliser la cartographie des risques et la documentation, réduisant significativement la charge d'analyse. - La CNIL recommande une démarche coordonnée entre RGPD et AI Act dans ses fiches pratiques IA publiées en 2024. - Les sanctions peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour une violation des obligations relatives aux systèmes à haut risque (Art. 99 AI Act).
1. Le défi de la double analyse pour les PME françaises
Les PME françaises qui déploient un système d'IA à haut risque font face à deux obligations distinctes mais complémentaires. La première vient du RGPD, en vigueur depuis 2018. La seconde vient du Règlement (UE) 2024/1689 sur l'intelligence artificielle, dont les dispositions sur les systèmes à haut risque deviendront applicables le 2 août 2026.
Le risque est connu : produire deux analyses parallèles, avec des méthodologies différentes, des équipes séparées et des conclusions parfois contradictoires. Pour une PME aux ressources juridiques limitées, ce doublon est coûteux.
Une articulation maîtrisée évite ce piège. Elle suppose de comprendre où DPIA et FRIA se recoupent, où ils divergent, et comment structurer une analyse unique alimentant deux livrables distincts. Cet article vous guide étape par étape.
Pour une vue d'ensemble du cadre réglementaire, consultez notre pillar AI Act et PME françaises.
2. Comprendre les deux instruments : DPIA et FRIA
Le DPIA : analyse d'impact relative à la protection des données
Le DPIA, prévu par l'article 35 du RGPD, est obligatoire lorsqu'un traitement « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Il porte sur les traitements de données personnelles, quelle que soit la technologie employée.
Son contenu minimal est défini par l'article 35§7 RGPD : - description systématique du traitement et de ses finalités ; - évaluation de la nécessité et de la proportionnalité ; - évaluation des risques pour les droits et libertés ; - mesures envisagées pour traiter ces risques.
Le FRIA : analyse d'impact sur les droits fondamentaux
Le FRIA est imposé par l'Article 27 du Règlement (UE) 2024/1689. Il vise les déployeurs de systèmes d'IA à haut risque listés à l'Annexe III, lorsqu'ils sont des organismes de droit public ou des entités privées fournissant des services publics, ainsi que dans le cas des systèmes utilisés pour l'évaluation de la solvabilité ou pour la tarification de l'assurance vie et santé.
Son contenu, défini à l'Article 27§1, comprend notamment : - la description des processus de déploiement ; - la période et la fréquence d'utilisation ; - les catégories de personnes physiques concernées ; - les risques spécifiques de préjudice ; - les mesures de gouvernance et de supervision humaine.
Tableau comparatif des deux instruments
| Critère | DPIA (RGPD) | FRIA (AI Act) |
|---|---|---|
| Base légale | Article 35 RGPD | Article 27 Règlement (UE) 2024/1689 |
| Déclencheur | Traitement à risque élevé pour les personnes | Déploiement d'un système d'IA à haut risque (Annexe III) |
| Objet | Données personnelles | Système d'IA et ses impacts |
| Responsable | Responsable du traitement | Déployeur du système d'IA |
| Périmètre | Droits liés aux données | Ensemble des droits fondamentaux |
| Consultation | Personnes concernées (le cas échéant) + DPO | Autorités compétentes notifiées du résultat |
| Sanction max | 20 M€ ou 4 % du CA mondial (Art. 83 RGPD) | 15 M€ ou 3 % du CA mondial (Art. 99 AI Act) |
3. Les similitudes clés entre DPIA et FRIA
Les deux dispositifs partagent une structure analytique proche, ce qui rend leur articulation possible.
Une logique d'analyse des risques. DPIA et FRIA reposent sur l'identification, l'évaluation et la mitigation des risques. Les deux exigent une description précise du contexte d'usage et des personnes concernées.
Une exigence de documentation traçable. Chaque analyse doit être consignée, datée, mise à jour et tenue à disposition de l'autorité compétente (CNIL pour le DPIA, autorité de surveillance du marché pour le FRIA).
Une obligation de mise à jour. Les deux analyses doivent être révisées en cas d'évolution significative du traitement ou du système. L'Article 27§2 AI Act prévoit explicitement une actualisation lorsque les éléments du FRIA changent.
Une approche par les droits. Le DPIA examine les droits issus du RGPD ; le FRIA évalue l'impact sur les droits fondamentaux consacrés par la Charte des droits fondamentaux de l'Union européenne. Le périmètre du FRIA est plus large mais inclut la protection des données.
4. Les différences stratégiques à maîtriser
Ne pas confondre les deux analyses reste essentiel. Les points de divergence suivants déterminent le contenu propre à chaque livrable.
Périmètre matériel. Le DPIA s'applique dès qu'il existe un traitement de données personnelles à haut risque, indépendamment de l'usage d'une IA. Le FRIA ne concerne que les systèmes d'IA à haut risque déployés par les acteurs visés à l'Article 27 AI Act.
Approche méthodologique. Le FRIA exige une analyse spécifique des biais algorithmiques, de la robustesse technique et des effets discriminatoires potentiels. Le DPIA n'impose pas ce niveau de granularité technique sur le fonctionnement du modèle.
Acteur responsable. Le DPIA relève du responsable du traitement. Le FRIA relève du déployeur, qui peut être distinct du fournisseur du système d'IA. Cette distinction est centrale pour répartir les rôles.
Sortie attendue. Le DPIA peut conduire à une consultation préalable de la CNIL (article 36 RGPD). Le FRIA doit faire l'objet d'une notification à l'autorité de surveillance du marché, selon les modalités prévues par l'Article 27§3 AI Act.
Besoin d'un cadre méthodologique prêt à l'emploi ?
regulia met à disposition des PME un pack documentaire intégrant les matrices DPIA et FRIA articulées, conformes aux dernières lignes directrices de la CNIL et de l'AI Office EU.
Demander le pack documentaire5. Stratégie d'articulation : l'approche intégrée
L'articulation repose sur un principe simple : produire une cartographie unique des risques, puis spécifier les exigences propres à chaque cadre dans deux livrables séparés.
Étape de cadrage
Identifiez le statut du système : 1. Le système relève-t-il de l'Annexe III de l'AI Act ? 2. Le traitement entre-t-il dans le périmètre de l'article 35 RGPD ? 3. Votre organisation est-elle déployeur au sens de l'Article 27 AI Act ?
Si les trois réponses sont affirmatives, l'analyse intégrée est pertinente.
Tableau de correspondance des sections
| Section de l'analyse | DPIA (Art. 35 RGPD) | FRIA (Art. 27 AI Act) |
|---|---|---|
| Description du contexte | Obligatoire | Obligatoire |
| Finalités | Obligatoire | Obligatoire (processus de déploiement) |
| Catégories de personnes | Obligatoire | Obligatoire |
| Données traitées | Obligatoire | Partiel (selon configuration) |
| Risques pour les droits | Centré sur RGPD | Élargi à la Charte UE |
| Analyse des biais | Recommandé | Obligatoire |
| Mesures de mitigation | Obligatoire | Obligatoire |
| Supervision humaine | Implicite | Obligatoire (Art. 14 AI Act) |
| Plan de gestion des incidents | Recommandé | Obligatoire |
Le DPIA comme socle
Pour les PME ayant déjà réalisé un DPIA, ce dernier sert de point de départ. Il faut compléter la documentation existante par les éléments spécifiques au FRIA : analyse des biais, plan de supervision humaine, gestion des incidents liés au système d'IA.
6. Étapes pratiques pour une analyse intégrée
Voici une méthodologie en six étapes pour structurer le travail.
- Recensement. Listez les systèmes d'IA déployés ou en projet. Classez chacun selon l'Annexe III de l'AI Act et selon les critères de l'article 35 RGPD.
- Qualification. Pour chaque système, déterminez si DPIA, FRIA ou les deux s'appliquent. Documentez la décision.
- Cartographie unifiée des risques. Construisez un registre unique listant les risques RGPD et les risques sur les droits fondamentaux. Identifiez les recouvrements.
- Mesures de mitigation. Définissez les mesures techniques et organisationnelles applicables aux deux dimensions. Précisez les mesures spécifiques à chaque cadre.
- Rédaction des livrables. Produisez deux documents distincts : le DPIA conforme à la méthodologie CNIL, le FRIA conforme à l'Article 27 AI Act.
- Validation et notification. Faites valider par le DPO, le responsable conformité IA et la direction. Notifiez l'autorité de surveillance du marché du résultat du FRIA selon les modalités définies.
Gouvernance recommandée
| Acteur | Rôle DPIA | Rôle FRIA |
|---|---|---|
| DPO | Pilote | Contributeur |
| Responsable conformité IA | Contributeur | Pilote |
| RSSI | Contributeur (sécurité) | Contributeur (robustesse) |
| Direction métier | Validation | Validation |
| Direction générale | Approbation finale | Approbation finale |
Pour comprendre les conséquences d'un manquement, consultez notre article dédié aux sanctions AI Act pour les PME.
7. Outils et ressources pour faciliter l'articulation
Plusieurs ressources publiques structurent la démarche.
Méthodologie PIA de la CNIL. Le logiciel PIA de la CNIL, gratuit et open source, structure le DPIA selon une méthodologie reconnue. Il peut être adapté pour intégrer les sections spécifiques au FRIA.
Fiches pratiques IA de la CNIL. Publiées en 2024, ces fiches couvrent la base légale, la minimisation des données, l'information des personnes et les analyses d'impact. Elles constituent une référence pour articuler RGPD et IA.
AI Act Service Desk. Le service desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond aux questions opérationnelles sur l'AI Act, y compris sur le périmètre du FRIA.
Normes ISO/IEC. La norme ISO/IEC 42001:2023 sur les systèmes de management de l'IA fournit un cadre de gouvernance compatible avec le FRIA. La norme ISO/IEC 23894:2023 propose une méthodologie de gestion des risques IA.
Pour la terminologie précise, consultez notre glossaire et notre page sources officielles.
8. Exemple concret : cas d'une PME de 50 salariés
Une PME de recrutement de 50 salariés déploie un outil d'IA de tri automatisé de CV pour ses clients. L'outil entre dans l'Annexe III, point 4, du Règlement (UE) 2024/1689 (systèmes destinés à être utilisés pour le recrutement). Le traitement implique des données personnelles à grande échelle.
Analyse des obligations
| Élément | Statut |
|---|---|
| Système à haut risque AI Act | Oui (Annexe III, point 4) |
| Traitement à risque élevé RGPD | Oui (profilage, décisions automatisées) |
| Statut de l'entreprise | Déployeur au sens Art. 27 AI Act |
| DPIA requis | Oui (Art. 35 RGPD) |
| FRIA requis | Oui (Art. 27 AI Act) |
Démarche intégrée mise en œuvre
La PME a constitué une équipe projet associant le DPO, un consultant IA et le directeur des opérations. Elle a produit une cartographie unique des risques, couvrant : - les risques de discrimination indirecte selon le genre, l'âge ou l'origine ; - les risques de profilage non transparent ; - les risques liés à la conservation prolongée des CV ; - les risques de dérive du modèle dans le temps.
Les mesures retenues incluent : revue humaine systématique avant toute décision, audit annuel des biais, information renforcée des candidats, droit à une intervention humaine activable à tout moment.
Deux livrables ont été produits : un DPIA déposé au registre tenu par le DPO, un FRIA notifié à l'autorité de surveillance du marché compétente. Le socle analytique commun a permis d'éviter la duplication du travail descriptif.
9. Conclusion : les avantages de l'articulation
Articuler DPIA et FRIA n'est pas un confort méthodologique. C'est une nécessité opérationnelle pour les PME confrontées à deux régimes parallèles.
L'approche intégrée présente trois bénéfices mesurables. Elle optimise la mobilisation des ressources internes en évitant les analyses redondantes. Elle renforce la cohérence de la documentation présentée aux autorités de contrôle. Elle facilite la mise à jour des analyses lorsque le système ou le traitement évolue.
Le coût d'une non-conformité dépasse largement l'investissement initial dans une démarche structurée. Les amendes AI Act peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour les manquements relatifs aux systèmes à haut risque (Art. 99 AI Act). Les amendes RGPD plafonnent à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (article 83 RGPD).
FAQ
Quels systèmes d'IA nécessitent une analyse combinée DPIA et FRIA ?
Les systèmes d'IA à haut risque listés à l'Annexe III du Règlement (UE) 2024/1689 qui traitent des données personnelles dans des conditions relevant de l'article 35 RGPD. Cela inclut typiquement les systèmes de recrutement automatisé, les outils d'évaluation de la solvabilité, les systèmes de tarification d'assurance vie et santé, ou les outils utilisés dans l'éducation pour évaluer les apprenants. Une qualification au cas par cas est nécessaire.
Puis-je utiliser un seul document pour le DPIA et le FRIA ?
Non. Les deux livrables doivent rester distincts car ils répondent à des bases légales différentes, mobilisent des acteurs différents et sont soumis à des autorités différentes. En revanche, vous pouvez et devriez réutiliser le socle analytique : description du contexte, cartographie des personnes concernées, identification des risques communs. Cette mutualisation est l'objet même de l'approche intégrée.
Quelles sont les conséquences d'une analyse incomplète ?
Au titre du RGPD, l'absence ou l'insuffisance du DPIA expose à une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial (article 83§4 RGPD). Au titre de l'AI Act, le non-respect des obligations applicables aux déployeurs de systèmes à haut risque peut entraîner une amende allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Art. 99 AI Act). À cela s'ajoutent les risques de mise en demeure, d'injonction de cessation et d'atteinte à la réputation.
Comment identifier les risques spécifiques au FRIA ?
Le FRIA évalue les impacts sur l'ensemble des droits fondamentaux consacrés par la Charte des droits fondamentaux de l'Union européenne. Cela inclut la non-discrimination, la dignité humaine, la liberté d'expression, le droit à un recours effectif et la protection des données. La méthodologie passe par une analyse des biais algorithmiques, une étude des effets disparates selon les catégories de personnes, et une évaluation de la transparence du système. Les fiches pratiques IA de la CNIL et les lignes directrices de l'AI Office EU constituent des ressources de référence.
Quels outils recommandez-vous pour les PME ?
Le logiciel PIA de la CNIL reste la base pour le DPIA. Pour le FRIA, en l'absence d'outil officiel équivalent à la date de publication de cet article, une grille structurée alignée sur l'Article 27 AI Act est nécessaire. Le pack documentaire regulia intègre une matrice combinée prête à l'emploi. Les normes ISO/IEC 42001:2023 et ISO/IEC 23894:2023 fournissent par ailleurs un cadre de gouvernance utile.
Structurez votre conformité IA dès aujourd'hui
Le pack regulia inclut une matrice DPIA-FRIA articulée, des modèles de notification aux autorités et un guide pas-à-pas pour les PME de 10 à 250 salariés.
Recevoir le pack reguliaSources officielles
- Règlement (UE) 2024/1689 — texte intégral consolidé : artificialintelligenceact.eu
- Version officielle EUR-Lex : eur-lex.europa.eu
- Commission nationale de l'informatique et des libertés : cnil.fr
- AI Act Service Desk de la Commission européenne : ai-act-service-desk.ec.europa.eu
- Norme ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
- Norme ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
Pour aller plus loin, consultez notre pillar AI Act et PME françaises, notre article sur les sanctions AI Act, notre glossaire et la liste complète des sources officielles.
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.