L'essentiel en 30 secondes
- Le FRIA (Fundamental Rights Impact Assessment, analyse d'impact sur les droits fondamentaux) est obligatoire pour les déployeurs publics de systèmes d'IA à haut risque, en vertu de l'Article 27 du Règlement (UE) 2024/1689.
- L'obligation s'applique aussi à certains acteurs privés exécutant des missions de service public ou opérant dans la notation de crédit et l'assurance vie/santé.
- Les manquements aux obligations des déployeurs relèvent de l'Article 99 du Règlement, avec des amendes pouvant atteindre 3 % du chiffre d'affaires mondial annuel ou 15 millions d'euros.
- Le FRIA doit être réalisé avant la première mise en service et notifié à l'autorité de surveillance du marché.
- Il couvre les processus, catégories de personnes affectées, risques pour les droits fondamentaux et mesures de gouvernance.
- La CNIL recommande une approche itérative et coordonnée avec l'analyse d'impact RGPD (AIPD) lorsque les deux s'appliquent.
1. Qu'est-ce que le FRIA et pourquoi est-il crucial pour les PME ?
Le FRIA est une analyse d'impact spécifique à l'IA. Il n'est pas un audit technique. Il documente, avant tout déploiement, les conséquences possibles d'un système d'IA à haut risque sur les droits fondamentaux des personnes concernées : non-discrimination, dignité, vie privée, accès à un service public, droit à un recours effectif.
Pour une PME française, l'enjeu est triple. D'abord, juridique : sans FRIA, le déploiement est non conforme à l'Art. 27. Ensuite, contractuel : les acheteurs publics et les grands comptes exigent désormais ce document dans les appels d'offres « IA ». Enfin, réputationnel : l'absence de FRIA expose à des plaintes citoyennes et à un signalement auprès de la CNIL.
Le FRIA n'est pas un simple formulaire. C'est un livrable de gouvernance que vous devrez réviser à chaque évolution significative du système (nouveau jeu de données, changement de finalité, mise à jour majeure du modèle).
À retenir : le FRIA s'applique au déployeur, c'est-à-dire à l'entité qui utilise le système d'IA sous sa propre autorité, et non au fournisseur qui développe le modèle. Cette distinction est définie à l'Article 3 du Règlement.
Pour une vue d'ensemble du Règlement et de ses obligations PME, consultez notre guide AI Act PME France.
2. Contexte juridique : l'Article 27 du Règlement sur l'IA
L'Article 27 du Règlement (UE) 2024/1689 — l'AI Act — impose une obligation précise. Il vise les déployeurs qui sont des organismes de droit public, des entités privées fournissant des services publics, ou des acteurs privés intervenant dans deux usages listés à l'annexe III : la solvabilité des personnes physiques et la tarification des assurances vie et santé.
Le périmètre est strict. Le FRIA n'est pas exigé pour tous les systèmes d'IA, mais uniquement pour ceux qui sont qualifiés de haut risque au sens de l'Article 6 du Règlement et listés à l'annexe III (ressources humaines, accès à l'éducation, services essentiels privés et publics, application de la loi, migration, justice, processus démocratiques).
Qui est concerné en pratique ?
| Type d'organisation | FRIA Art. 27 obligatoire ? | Exemple |
|---|---|---|
| Mairie ou collectivité | Oui | Outil de tri des demandes sociales |
| Hôpital public | Oui | Système d'aide à la décision diagnostique |
| Bailleur social | Oui | Algorithme d'attribution de logement |
| Banque ou organisme de crédit | Oui (annexe III) | Score de solvabilité |
| Assureur vie/santé | Oui (annexe III) | Tarification IA |
| PME B2B avec IA RH interne | Non si pas service public | Tri de CV interne |
| Fournisseur de modèle | Non (autres obligations Art. 16) | Éditeur SaaS |
L'autorité de surveillance du marché en France n'est pas encore désignée définitivement [à vérifier — désignation officielle prévue par décret]. La CNIL est compétente pour les volets données personnelles et droits fondamentaux liés à la vie privée.
3. Structure officielle du template FRIA
L'Art. 27 paragraphe 1 fixe le contenu minimal du FRIA. Tout template officiel ou sectoriel doit reprendre ces éléments. L'AI Office de la Commission européenne a annoncé un modèle harmonisé, qui sera publié sur le service desk de l'UE.
Les sections obligatoires du FRIA
| Section | Contenu attendu | Source AI Act |
|---|---|---|
| 1. Description des processus | Usages prévus du système d'IA, contexte de déploiement | Art. 27(1)(a) |
| 2. Période et fréquence | Durée prévue d'utilisation, fréquence d'usage | Art. 27(1)(b) |
| 3. Catégories de personnes | Personnes physiques et groupes susceptibles d'être affectés | Art. 27(1)(c) |
| 4. Risques spécifiques | Risques de préjudice pour les personnes ou groupes identifiés | Art. 27(1)(d) |
| 5. Mesures de surveillance humaine | Description des dispositifs prévus à l'Art. 14 | Art. 27(1)(e) |
| 6. Mesures correctives | Plan d'action en cas de matérialisation des risques | Art. 27(1)(f) |
| 7. Gouvernance interne | Procédures de plainte interne, escalade | Art. 27(1)(f) |
| 8. Articulation AIPD | Lien avec l'analyse d'impact RGPD si applicable | Art. 27(4) |
| 9. Notification | Transmission à l'autorité de surveillance | Art. 27(3) |
| 10. Mise à jour | Conditions de révision en cas de changement | Art. 27(2) |
Le format n'est pas imposé. Un document structuré PDF ou un livrable issu de votre système de gestion de la qualité (par ex. ISO/IEC 42001:2023) est accepté, dès lors que les dix éléments sont traçables.
Besoin d'un template FRIA prêt à l'emploi ?
Nos modèles documentaires couvrent les dix sections obligatoires de l'Article 27 et s'articulent avec votre AIPD existante.
Demander le pack FRIA regulia4. Guide pas-à-pas pour remplir le FRIA
La rédaction d'un FRIA suit une logique d'analyse de risque. Le piège, pour une PME, est de la traiter comme une formalité. Une mauvaise identification des personnes affectées invalide tout le reste de l'analyse.
Étape 1 — Cartographier les processus
Décrivez, en langage non technique, ce que fait le système et ce qu'il décide ou recommande. Indiquez si la sortie du système conduit à une décision automatisée ou à une recommandation reprise par un humain.
Étape 2 — Définir la performance attendue et les métriques
Reprenez les performances annoncées par le fournisseur (notice d'utilisation Art. 13). Confrontez-les à votre contexte de déploiement : population locale, langue, biais possibles. Documentez les métriques que vous suivrez en production : taux de faux positifs, taux de refus, taux d'erreur par sous-population.
Étape 3 — Identifier les risques pour les droits fondamentaux
Travaillez par catégorie de droits :
- Non-discrimination : risques de biais algorithmiques (genre, origine, âge, handicap)
- Vie privée : croisement de données, inférences sensibles
- Accès aux services : exclusion possible d'un public vulnérable
- Recours effectif : capacité de la personne à contester la décision
- Dignité : caractère intrusif ou humiliant de certains traitements
Étape 4 — Décrire les mesures de réduction des risques
Pour chaque risque identifié, documentez la mesure correspondante : revue humaine systématique, seuils d'alerte, audit de biais semestriel, canal de plainte dédié. Une mesure sans indicateur n'est pas une mesure.
Étape 5 — Vérifier la cohérence avec ISO/IEC 42001:2023
La norme ISO/IEC 42001:2023 sur le système de management de l'IA fournit une grille opérationnelle. Si vous êtes engagé dans une démarche de certification, le FRIA s'intègre naturellement à votre processus de gestion des risques (clause 6.1 de la norme).
Pour comprendre la terminologie utilisée, le glossaire regulia recense les définitions du Règlement.
5. Exemple concret : FRIA pour une PME française
Prenons un cas réel et fréquent. Une commune de 8 000 habitants déploie un outil d'IA fourni par une PME française pour pré-trier les demandes d'aide sociale facultative.
Contexte du déploiement
- Système : modèle de classification entraîné sur 5 ans de demandes traitées
- Usage : priorisation des dossiers et détection des situations urgentes
- Décision finale : prise par un agent du CCAS
Extrait des risques identifiés
| Risque | Personnes affectées | Mesure de réduction |
|---|---|---|
| Sous-priorisation des demandes en langue étrangère | Allophones | Revue humaine systématique des dossiers à score bas |
| Biais lié à l'historique d'aide refusée | Foyers en récidive | Désactivation de la variable « historique » |
| Opacité de la décision pour le demandeur | Tous les demandeurs | Notice de transparence et droit de recours dédié |
| Exclusion des personnes sans adresse stable | Sans-domicile-fixe | Procédure manuelle de rattrapage |
Articulation avec l'AIPD
Le traitement implique des données personnelles sensibles (situation économique, composition familiale). Une AIPD au titre de l'Article 35 du RGPD est obligatoire. Le FRIA et l'AIPD partagent l'analyse des risques et les mesures, mais répondent à deux régimes juridiques distincts. L'Art. 27(4) de l'AI Act autorise explicitement la mutualisation des éléments communs.
6. Outils et ressources pour les PME
Plusieurs ressources publiques aident les déployeurs à structurer leur FRIA. Aucune ne remplace un travail interne, mais elles fournissent un socle.
Ressources officielles
| Ressource | Émetteur | Statut |
|---|---|---|
| Service desk AI Act | Commission européenne / AI Office | Référence officielle |
| 13 fiches pratiques IA | CNIL | Guidance française |
| Auto-diagnostic IA | CNIL | Outil en ligne |
| ISO/IEC 42001:2023 | ISO | Norme payante |
| Guide AI Act janvier 2025 | Cigref | Guide grandes organisations |
| Guide AI Act mars 2025 | Numeum | Filière numérique française |
Précautions d'usage
Un template générique téléchargé en ligne ne suffit pas. Le FRIA doit refléter votre contexte de déploiement réel : population, finalité, environnement organisationnel. Les autorités de surveillance attendent une analyse personnalisée, pas un copier-coller.
Si votre système comporte plusieurs cas d'usage, prévoyez un FRIA par cas d'usage. Un système RH utilisé à la fois pour le recrutement et pour la mobilité interne implique deux analyses distinctes, car les personnes affectées et les risques diffèrent.
Pour comprendre l'environnement juridique global, consultez notre dossier sur les sanctions PME et amendes AI Act.
Vos systèmes d'IA sont-ils éligibles au FRIA ?
Notre questionnaire de qualification croise l'annexe III et votre activité pour identifier les obligations applicables.
Lancer la qualification gratuite7. FAQ : questions fréquentes sur le FRIA
Quelles sont les sanctions pour un FRIA incomplet ou faux ?
Les manquements aux obligations des déployeurs relèvent de l'Article 99 du Règlement (UE) 2024/1689. Le plafond applicable est de 3 % du chiffre d'affaires mondial annuel ou 15 millions d'euros, le montant le plus élevé étant retenu. Les autorités tiennent compte de la taille de l'entreprise. Pour les PME, les amendes effectives constatées par les premières autorités européennes restent à observer dans les premières affaires [à vérifier — premières décisions attendues 2026-2027].
Puis-je utiliser un template générique pour le FRIA ?
Un template structuré peut servir de point de départ. Mais le FRIA livré doit être adapté à votre contexte : population réellement concernée, processus métier, mesures de gouvernance internes. Un document non personnalisé sera considéré comme insuffisant par l'autorité de surveillance.
Dois-je faire appel à un expert pour remplir le FRIA ?
Pour un système simple et un cas d'usage circonscrit, l'équipe interne (DPO, IA Lead, métier concerné) peut le rédiger en s'appuyant sur les ressources CNIL. Pour les systèmes critiques (santé, justice, accès aux services essentiels), un appui externe est recommandé. La décision relève de votre analyse de risque.
Quelle est la durée de conservation du FRIA ?
Le Règlement n'impose pas de durée minimale explicite à l'Art. 27. Toutefois, l'Art. 26(6) impose au déployeur la conservation des journaux pendant au moins six mois. Par cohérence, conserver le FRIA et ses mises à jour pendant toute la durée d'exploitation, plus une période d'archivage de plusieurs années, est une pratique prudente.
Le FRIA remplace-t-il une analyse d'impact relative à la protection des données (AIPD) ?
Non. Le FRIA et l'AIPD répondent à deux textes différents — AI Act et RGPD — et à deux objectifs différents. L'Art. 27(4) du Règlement permet de mutualiser les éléments communs lorsque les deux analyses sont requises, mais chaque livrable doit exister. La CNIL publie des recommandations pour articuler les deux analyses.
8. Conclusion : passer à l'action
La conformité à l'Article 27 ne se construit pas la veille du déploiement. Elle s'installe en amont, dès la sélection du fournisseur et la définition du cas d'usage. Un FRIA crédible transforme une obligation réglementaire en outil de pilotage.
Plan d'action en 5 étapes
- Inventorier vos systèmes d'IA et qualifier ceux qui relèvent du haut risque (Art. 6 et annexe III).
- Récupérer la notice d'utilisation du fournisseur (Art. 13) et les performances annoncées.
- Réunir les parties prenantes : DPO, métier, RSSI, IA Lead, juriste.
- Rédiger le FRIA en suivant les dix sections de l'Art. 27.
- Notifier l'autorité de surveillance et planifier la révision annuelle.
Le calendrier d'application des obligations « haut risque » s'échelonne jusqu'au 2 août 2026 pour la plupart des systèmes listés à l'annexe III, et jusqu'au 2 août 2027 pour ceux soumis à des législations sectorielles d'harmonisation. L'anticipation est donc encore possible, mais l'horizon se rapproche.
Sources officielles
- Texte consolidé du Règlement (UE) 2024/1689
- Version officielle EUR-Lex du Règlement IA
- Page dédiée AI Act — CNIL
- AI Act Service Desk — Commission européenne
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
Pour la liste complète des sources juridiques que nous utilisons, consultez notre page sources.
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.