L'essentiel en 30 secondes - L'analyse d'impact sur les droits fondamentaux (FRIA) est obligatoire pour certains déployeurs de systèmes d'IA à haut risque selon l'Article 27 du Règlement (UE) 2024/1689. - Les PME de 10 à 250 salariés concernées doivent la réaliser avant la première mise en service du système. - Le non-respect expose à des amendes administratives prévues par l'Article 99 du Règlement (UE) 2024/1689. - La FRIA doit être notifiée à l'autorité de surveillance du marché compétente après son achèvement. - Elle se construit en 12 étapes opérationnelles, depuis l'identification du système jusqu'au suivi continu. - La CNIL et l'AI Office EU publient des ressources gratuites pour structurer la démarche.
La FRIA — Fundamental Rights Impact Assessment — est l'un des dispositifs les plus exigeants du Règlement (UE) 2024/1689, dit AI Act. Pour une PME française qui déploie un système d'IA à haut risque dans le recrutement, l'évaluation du crédit ou la gestion d'accès aux services publics, cette obligation peut sembler floue. Ce guide la décompose en 12 étapes concrètes, sourcées et adaptées aux contraintes des entreprises de 10 à 250 salariés.
Pour une vue d'ensemble du cadre réglementaire, consultez notre guide pillar AI Act pour les PME françaises.
1. Comprendre la FRIA : définition et portée
La FRIA, prévue par l'Article 27 du Règlement (UE) 2024/1689, est une analyse d'impact sur les droits fondamentaux que certains déployeurs de systèmes d'IA à haut risque doivent réaliser avant la première utilisation. Elle se distingue de l'analyse d'impact relative à la protection des données (AIPD) prévue par l'Article 35 du RGPD, même si les deux peuvent se compléter.
L'obligation pèse sur les déployeurs qui sont : - des organismes de droit public, - des entités privées fournissant des services publics, - des opérateurs déployant des systèmes d'IA listés à l'Annexe III points 5(b) et 5(c) du Règlement (évaluation de solvabilité, tarification d'assurance vie et santé).
Les systèmes typiquement concernés incluent les algorithmes de scoring de crédit, les outils de tarification d'assurance, et certains systèmes biométriques ou de gestion d'accès aux services essentiels.
| Élément | FRIA (Art. 27 AI Act) | AIPD (Art. 35 RGPD) |
|---|---|---|
| Objet | Droits fondamentaux | Protection des données personnelles |
| Déclencheur | Système d'IA à haut risque listé | Traitement à haut risque pour les personnes |
| Notification | Autorité de surveillance du marché | CNIL (en cas de risque résiduel) |
| Acteur tenu | Déployeur (sous conditions) | Responsable de traitement |
Distinguer FRIA et AIPD est crucial : une organisation peut être tenue de réaliser les deux pour un même système.
2. Étape 1 : identifier les systèmes d'IA à haut risque
Avant toute analyse, recensez tous les systèmes d'IA utilisés dans l'entreprise. L'Article 6 et l'Annexe III du Règlement (UE) 2024/1689 énumèrent les cas de haut risque. Un système est à haut risque s'il relève de l'une des huit catégories listées : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, migration, justice et démocratie.
Pour vérifier si la FRIA s'applique spécifiquement à votre cas, posez-vous trois questions :
- Le système figure-t-il à l'Annexe III ?
- Êtes-vous déployeur au sens de l'Article 3(4) ?
- Relevez-vous des catégories d'organismes visées à l'Art. 27(1) ?
Un outil de self-assessment est mis à disposition par l'AI Office EU sur le portail ai-act-service-desk.ec.europa.eu. La CNIL publie également des fiches pratiques utiles pour le contexte français.
Pour les implications financières en cas de mauvaise classification, voir notre article dédié sur les sanctions et amendes encourues par les PME.
3. Étape 2 : définir la portée de la FRIA
Une FRIA bien cadrée est une FRIA exploitable. Délimitez précisément :
- Le périmètre fonctionnel : quelles décisions le système prend-il ou influence-t-il ?
- Le périmètre humain : quelles catégories de personnes sont concernées (candidats, clients, usagers) ?
- Le périmètre temporel : sur quelle durée le système est-il déployé ?
- Les parties prenantes internes : DPO, RSSI, métier, direction.
Définissez un calendrier réaliste. Comptez en moyenne 4 à 8 semaines pour une PME, selon la complexité du système. Documentez la composition de l'équipe projet et désignez un référent unique. Le glossaire des termes techniques utilisés est essentiel ; il peut s'appuyer sur notre glossaire regulia.
4. Étape 3 : recueillir les informations nécessaires
L'Article 27(1) du Règlement liste explicitement les informations que la FRIA doit contenir. La collecte préalable doit couvrir :
- une description des processus du déployeur dans lesquels le système sera utilisé,
- la période et la fréquence d'utilisation prévues,
- les catégories de personnes susceptibles d'être affectées,
- les risques spécifiques de préjudice,
- les mesures de surveillance humaine mises en place,
- les mesures à prendre en cas de matérialisation des risques.
Sollicitez le fournisseur du système pour obtenir la documentation technique prévue à l'Annexe IV et les instructions d'utilisation exigées par l'Article 13. Sans ces éléments, la FRIA reste incomplète.
| Source d'information | Document attendu | Article de référence |
|---|---|---|
| Fournisseur | Notice d'utilisation | Art. 13 |
| Fournisseur | Documentation technique | Annexe IV |
| Déployeur | Cartographie des processus métier | Interne |
| DPO | Registre des traitements | Art. 30 RGPD |
5. Étape 4 : analyser les risques pour les droits fondamentaux
L'analyse de risque est le cœur de la FRIA. Elle dépasse l'analyse classique des risques cybersécurité. Il s'agit d'évaluer l'impact potentiel du système sur les droits garantis par la Charte des droits fondamentaux de l'UE : dignité, vie privée, non-discrimination, protection des données, droit à un recours effectif.
Pour chaque risque identifié, documentez :
- La nature du préjudice potentiel (discrimination, atteinte à la vie privée, décision erronée).
- Les personnes ou groupes affectés (notamment les groupes vulnérables).
- La probabilité d'occurrence.
- La gravité de l'impact.
- Le caractère réversible ou non du préjudice.
Besoin d'un modèle FRIA prêt à l'emploi ?
regulia propose un pack documentaire complet (modèle FRIA, grille d'analyse de risque, registre de surveillance humaine) adapté aux PME françaises.
Demander le pack documentairePour les systèmes de scoring ou d'évaluation, soyez particulièrement attentif aux biais algorithmiques pouvant produire une discrimination indirecte au sens de l'article L1132-1 du Code du travail ou de la loi 2008-496 du 27 mai 2008.
6. Étape 5 : documenter les mesures de réduction des risques
Pour chaque risque identifié à l'étape précédente, décrivez la mesure de mitigation correspondante. L'Article 27(1)(e) impose de préciser les mesures de surveillance humaine, conformément à l'instruction du fournisseur. L'Article 27(1)(f) exige d'indiquer les mesures à prendre lorsqu'un risque se matérialise.
Catégorisez les mesures :
- Techniques : seuils de confiance, journalisation, mécanismes d'opt-out, désactivation d'urgence.
- Organisationnelles : formation des opérateurs, procédures de revue manuelle, comités d'éthique.
- Contractuelles : clauses avec le fournisseur, garanties de mise à jour, audits externes.
| Type de risque | Mesure technique | Mesure organisationnelle |
|---|---|---|
| Biais discriminatoire | Tests d'équité avant déploiement | Comité diversité et inclusion |
| Décision erronée | Seuil minimum de confiance | Recours humain obligatoire |
| Fuite de données | Chiffrement des entrées/sorties | Procédure d'incident RGPD |
| Dérive du modèle | Monitoring en production | Revue trimestrielle des indicateurs |
Vérifiez l'efficacité de chaque mesure par des tests documentés. Une mesure non testée n'est pas une mesure crédible.
7. Étape 6 : évaluer la conformité globale avec l'AI Act
La FRIA s'articule avec d'autres obligations du Règlement. Vérifiez systématiquement :
- L'Article 26 : obligations générales du déployeur (utilisation conforme aux instructions, surveillance humaine, journalisation).
- L'Article 13 : transparence et fourniture d'informations aux déployeurs.
- L'Article 14 : surveillance humaine effective.
- L'Article 86 : droit à l'explication des décisions individuelles pour les personnes affectées.
Pour les déployeurs soumis également au RGPD, l'Art. 27(4) du Règlement (UE) 2024/1689 prévoit que la FRIA peut compléter une AIPD existante plutôt que de la dupliquer. Cette articulation évite la redondance documentaire — un point critique pour les PME.
Documentez chaque écart constaté et planifiez sa correction avant la mise en service. Un écart connu et non traité expose l'entreprise à un manquement caractérisé.
8. Étape 7 : préparer la notification à l'autorité de surveillance
Contrairement à une idée répandue, l'Article 27 n'impose pas la publication en ligne de la FRIA. L'Art. 27(3) du Règlement (UE) 2024/1689 prévoit que « le déployeur notifie à l'autorité de surveillance du marché les résultats de l'évaluation » via un modèle de questionnaire fourni par l'AI Office.
En France, l'autorité de surveillance du marché compétente sera désignée par la loi nationale de transposition [à vérifier selon le décret applicable au moment du déploiement]. La CNIL est pressentie pour les systèmes traitant des données personnelles ; d'autres autorités sectorielles (ACPR pour le crédit, ANSM pour la santé) pourront intervenir selon le domaine.
Préparez un document synthétique reprenant les six éléments de l'Art. 27(1). Conservez les pièces justificatives (tests, procès-verbaux de comité, contrats fournisseurs) en annexe interne.
9. Étape 8 : transmettre la FRIA via le modèle officiel
L'Art. 27(5) du Règlement prévoit que l'AI Office élabore un modèle de questionnaire — notamment via un outil automatisé — pour faciliter le respect de l'obligation. Au moment de la rédaction de cet article, ce modèle est en cours de finalisation par l'AI Office EU [à vérifier sur ai-act-service-desk.ec.europa.eu].
Quand le modèle sera publié, suivez-le scrupuleusement. La transmission s'effectue auprès de l'autorité nationale désignée. Conservez l'accusé de réception : il fait foi en cas de contrôle.
Pour les systèmes déjà déployés au moment de l'entrée en application de l'Art. 27 (2 août 2026), une FRIA rétroactive peut être nécessaire. Anticipez cette charge dès maintenant.
10. Étape 9 : mettre à jour la FRIA tout au long du cycle de vie
L'Art. 27(2) du Règlement (UE) 2024/1689 dispose que la FRIA s'applique à la première utilisation, et que « le déployeur peut, dans des cas similaires, s'appuyer sur des évaluations d'impact réalisées antérieurement ». Mais l'Art. 27(2) précise aussi que si l'un des éléments listés à l'Art. 27(1) change, le déployeur doit prendre les mesures nécessaires pour mettre à jour les informations.
Déclenchez une révision de la FRIA dans les cas suivants :
- modification substantielle du système (au sens de l'Article 3(23)),
- changement du périmètre d'utilisation,
- évolution des catégories de personnes affectées,
- nouveaux risques identifiés en exploitation,
- évolution réglementaire ou jurisprudentielle.
Planifiez une revue annuelle systématique, indépendamment de tout déclencheur. Documentez chaque mise à jour et sa justification. Conservez l'historique : il sera demandé en cas de contrôle.
11. Étape 10 : intégrer la FRIA dans la gouvernance IA
Une FRIA n'est pas un document mort dans un classeur. Elle doit infuser la gouvernance IA de l'entreprise. Connectez-la à :
- Votre politique IA générale.
- Vos processus achats (sélection des fournisseurs d'IA).
- Votre plan de formation (sensibilisation des opérateurs).
- Votre dispositif de gestion des incidents.
- Votre cartographie des risques d'entreprise.
Pour une PME, la norme ISO/IEC 42001:2023 (système de management de l'IA) offre un cadre méthodologique compatible. La norme ISO/IEC 23894:2023 complète utilement sur la gestion des risques spécifiques à l'IA.
| Niveau de gouvernance | Document attendu | Responsable type |
|---|---|---|
| Stratégique | Politique IA | Direction générale |
| Tactique | FRIA, AIPD | DPO + IA Lead |
| Opérationnel | Procédure de surveillance humaine | Métier |
| Continu | Tableau de bord des incidents | RSSI |
12. Étape 11 : former les équipes et gérer les demandes d'information
L'Article 86 du Règlement (UE) 2024/1689 crée un droit à l'explication pour les personnes affectées par une décision prise sur la base d'un système d'IA à haut risque. Préparez une procédure interne de traitement de ces demandes :
- Désignez un point de contact unique.
- Définissez un format de réponse standardisé.
- Fixez un délai interne (par exemple, 15 jours ouvrés pour répondre).
- Tracez chaque demande dans un registre dédié.
- Articulez la procédure avec le droit d'accès RGPD (Article 15).
La formation des opérateurs est imposée par l'Article 26(2) du Règlement : le déployeur « confie la surveillance humaine à des personnes physiques qui disposent des compétences, de la formation et de l'autorité nécessaires ». Un plan de formation initiale et continue est donc indispensable, à documenter dans la FRIA.
13. Étape 12 : préparer les audits et contrôles
L'autorité de surveillance du marché peut, à tout moment, demander à consulter la FRIA et ses pièces justificatives. Préparez un dossier de contrôle structuré :
- Document FRIA principal (version courante et historique).
- Notice d'utilisation du fournisseur.
- Procès-verbaux des comités internes.
- Résultats des tests de surveillance humaine.
- Registre des incidents et leur traitement.
- Preuves de formation des opérateurs.
Un audit interne annuel — réalisé par une fonction indépendante du déploiement opérationnel — renforce la crédibilité du dispositif. Pour les PME ne disposant pas de fonction audit interne, un cabinet externe peut être mandaté pour une revue ciblée.
Préparez votre dossier de contrôle
regulia accompagne les PME françaises dans la constitution d'un dossier FRIA conforme et défendable face à l'autorité de surveillance.
Demander un accompagnement14. Conclusion : une démarche progressive et documentée
La FRIA n'est pas un exercice de pure conformité formelle. Bien conduite, elle structure la réflexion sur l'usage responsable de l'IA dans l'entreprise et anticipe les risques opérationnels avant qu'ils ne deviennent juridiques. Pour une PME, l'enjeu est double : éviter les sanctions et démontrer à ses clients et partenaires une maîtrise tangible de ses systèmes d'IA.
Commencez tôt. L'Article 27 entre en application le 2 août 2026 pour les systèmes de l'Annexe III. Les PME qui démarrent leur démarche dès 2025 disposent d'une marge de manœuvre confortable pour itérer.
FAQ
Quelles sont les sanctions en cas de FRIA non conforme ?
L'Article 99 du Règlement (UE) 2024/1689 prévoit des amendes administratives pouvant atteindre 15 000 000 EUR ou 3% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu, pour les manquements aux obligations des déployeurs. L'Article 99(6) prévoit des plafonds adaptés pour les PME et start-ups. Pour le détail complet, consultez notre article dédié sur les sanctions et amendes encourues par les PME.
Dois-je consulter un expert pour réaliser ma FRIA ?
Aucune obligation légale n'impose le recours à un expert externe. Cependant, pour une PME qui n'a ni DPO interne dédié ni juriste spécialisé IA, l'appui d'un conseil juridique ou d'un cabinet spécialisé sécurise la démarche. L'AI Office EU met à disposition des ressources gratuites sur ai-act-service-desk.ec.europa.eu, ainsi que la CNIL via ses fiches pratiques IA.
Quelle est la durée de validité d'une FRIA ?
Le Règlement ne fixe pas de durée de validité explicite. L'Art. 27(2) impose une mise à jour dès qu'un des éléments listés à l'Art. 27(1) évolue. Une bonne pratique consiste à programmer une revue annuelle systématique, complétée par des revues événementielles (modification substantielle, incident, évolution réglementaire).
Dois-je publier ma FRIA en ligne ?
Non. Contrairement à une confusion fréquente, l'Article 27 n'impose pas la publication en ligne de la FRIA. L'Art. 27(3) impose une notification à l'autorité de surveillance du marché, pas une publication grand public. Certaines organisations choisissent toutefois de publier un résumé public à des fins de transparence — c'est une démarche volontaire, recommandable mais non obligatoire.
Quels outils sont disponibles pour les PME ?
Plusieurs ressources gratuites existent : les fiches pratiques IA de la CNIL (cnil.fr), le service desk de l'AI Office (ai-act-service-desk.ec.europa.eu), le texte consolidé sur artificialintelligenceact.eu, et le guide AI Act Cigref de janvier 2025. Pour des modèles documentaires opérationnels, des packs commerciaux comme celui de regulia accélèrent la mise en œuvre.
Sources officielles
- Règlement (UE) 2024/1689 — texte officiel EUR-Lex
- AI Office EU — Service Desk
- CNIL — Dossier AI Act
- Texte consolidé AI Act — artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Systèmes de management de l'IA
- ISO/IEC 23894:2023 — Lignes directrices pour la gestion des risques liés à l'IA
Pour aller plus loin, consultez notre page sources regulia qui recense l'intégralité des textes de référence applicables aux PME françaises.
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.