L'essentiel en 30 secondes - Le FRIA (Fundamental Rights Impact Assessment) évalue les atteintes aux droits fondamentaux causées par un système d'IA de haut risque, conformément à l'Article 27 du Règlement (UE) 2024/1689. - Le DPIA (Data Protection Impact Assessment) évalue les risques d'un traitement de données personnelles, conformément à l'Article 35 du RGPD. - Une PME qui déploie un système d'IA de haut risque utilisant des données personnelles doit conduire les deux analyses, qui se complètent sans se confondre. - Les sanctions cumulables atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Art. 99 AI Act) et 20 millions d'euros ou 4 % du chiffre d'affaires mondial (Art. 83 RGPD). - L'AI Act Service Desk de la Commission européenne et les fiches pratiques de la CNIL accompagnent les PME dans ces deux démarches. - Aucune exemption générale n'existe pour les PME : la taille de l'entreprise n'efface pas l'obligation de réaliser un FRIA ou un DPIA.
1. Contexte réglementaire : EU AI Act et RGPD
Deux textes structurent désormais la conformité des PME françaises qui exploitent l'intelligence artificielle. Le Règlement (UE) 2024/1689, dit EU AI Act, est entré en vigueur le 1er août 2024. Le Règlement (UE) 2016/679, dit RGPD, s'applique depuis le 25 mai 2018.
L'AI Act encadre la mise sur le marché et l'utilisation des systèmes d'IA selon une approche par les risques. Quatre catégories sont définies : risque inacceptable (interdit), haut risque (encadré), risque limité (transparence) et risque minimal (libre).
Le RGPD encadre tout traitement de données à caractère personnel, indépendamment de la technologie utilisée. Il s'applique dès qu'un système d'IA collecte, analyse ou produit des données identifiantes.
Le FRIA, prévu à l'Art. 27 de l'AI Act, est une nouveauté de 2024. Le DPIA, prévu à l'Art. 35 du RGPD, existe depuis 2018 et bénéficie d'un retour d'expérience de sept ans. Les deux outils répondent à une même logique préventive : identifier les risques avant déploiement.
Pour un cadrage général des obligations PME, voir notre guide complet sur l'AI Act pour les PME françaises.
2. Le FRIA : évaluation des risques d'IA de haut risque
Le FRIA (Fundamental Rights Impact Assessment), ou analyse d'impact sur les droits fondamentaux, est défini par l'Art. 27 du Règlement (UE) 2024/1689. Il s'impose aux déployeurs (utilisateurs professionnels) de systèmes d'IA classés à haut risque listés à l'Annexe III.
L'objectif est explicite. Avant le premier déploiement d'un système d'IA de haut risque, le déployeur doit évaluer les risques que ce système fait peser sur les droits fondamentaux des personnes concernées.
2.1 Contenu obligatoire du FRIA
L'Art. 27 § 1 énumère six points qui doivent figurer dans le FRIA :
- Une description des processus du déployeur dans lesquels le système d'IA sera utilisé.
- La durée et la fréquence d'utilisation prévues.
- Les catégories de personnes physiques susceptibles d'être affectées.
- Les risques spécifiques d'atteinte aux droits fondamentaux.
- La description des mesures de surveillance humaine prévues.
- Les mesures à prendre en cas de matérialisation d'un risque, y compris les dispositifs de gouvernance interne et de gestion des réclamations.
2.2 Qui est concerné ?
Le FRIA s'applique aux déployeurs qui sont des organismes de droit public, des entités privées fournissant des services publics, ou des entreprises privées utilisant des systèmes de notation de crédit ou de tarification d'assurance vie et santé.
Une PME française qui déploie un outil d'IA pour automatiser l'évaluation du risque crédit de ses clients tombe sous cette obligation. Un cabinet d'expertise comptable qui utilise un système de détection automatique de fraude classé Annexe III également.
2.3 Exemples de systèmes d'IA de haut risque (Annexe III)
| Domaine | Cas d'usage typique en PME |
|---|---|
| Emploi et RH | Tri automatique de CV, scoring de candidats, évaluation de performance |
| Accès aux services essentiels | Scoring de crédit, tarification d'assurance vie ou santé |
| Éducation | Notation automatique, orientation scolaire |
| Application des lois | Profilage à des fins judiciaires (services privés sous contrat) |
| Migration et contrôle aux frontières | Vérification documentaire automatisée |
3. Le DPIA : évaluation des risques pour les données personnelles
Le DPIA (Data Protection Impact Assessment), ou analyse d'impact relative à la protection des données (AIPD en français), est défini par l'Art. 35 du RGPD. Il est obligatoire dès qu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
3.1 Quand le DPIA est-il obligatoire ?
L'Art. 35 § 3 du RGPD impose un DPIA dans trois cas :
- Évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé, y compris le profilage, produisant des effets juridiques.
- Traitement à grande échelle de catégories particulières de données (santé, opinions, biométrie, origine ethnique).
- Surveillance systématique à grande échelle de zones accessibles au public.
La CNIL publie une liste des traitements pour lesquels un DPIA est obligatoire et une liste de ceux pour lesquels il ne l'est pas. Cette liste est juridiquement opposable depuis 2018.
3.2 Contenu obligatoire du DPIA
L'Art. 35 § 7 du RGPD précise quatre éléments minimaux :
- Description systématique des opérations de traitement et des finalités poursuivies.
- Évaluation de la nécessité et de la proportionnalité des traitements.
- Évaluation des risques pour les droits et libertés des personnes concernées.
- Mesures envisagées pour faire face aux risques, y compris garanties, mesures de sécurité et mécanismes de protection des données.
3.3 Exemples de traitements imposant un DPIA
- Recrutement par scoring algorithmique avec données comportementales.
- Vidéosurveillance intelligente d'un parking client.
- Plateforme e-commerce profilant les habitudes d'achat pour personnalisation tarifaire.
- Application de bien-être au travail collectant des données de santé via objets connectés.
4. Différences clés entre FRIA et DPIA
Les deux analyses partagent une logique préventive mais diffèrent radicalement sur le périmètre, le fondement juridique et le destinataire des résultats.
| Critère | FRIA (Art. 27 AI Act) | DPIA (Art. 35 RGPD) |
|---|---|---|
| Texte fondateur | Règlement (UE) 2024/1689 | Règlement (UE) 2016/679 |
| Périmètre | Systèmes d'IA de haut risque (Annexe III) | Tout traitement à risque élevé pour les personnes |
| Objet de l'évaluation | Atteintes aux droits fondamentaux | Risques pour les droits et libertés liés aux données |
| Acteur tenu | Déployeur (utilisateur professionnel) | Responsable de traitement |
| Moment | Avant le premier déploiement | Avant le début du traitement |
| Notification | Autorité nationale de surveillance du marché | CNIL si risque résiduel élevé (Art. 36 RGPD) |
| Application | À compter du 2 août 2026 (Annexe III) | Depuis le 25 mai 2018 |
| Sanction maximale | 15 M€ ou 3 % du CA mondial (Art. 99 § 4) | 20 M€ ou 4 % du CA mondial (Art. 83 § 5) |
4.1 Une logique commune : la prévention par documentation
Le FRIA et le DPIA exigent une documentation écrite, datée, signée. Tous deux imposent une démarche d'identification, d'analyse et de mitigation des risques. Tous deux supposent une consultation des parties prenantes lorsque cela est pertinent.
4.2 Des différences de portée
Le DPIA porte sur les données : leur collecte, leur conservation, leur transfert, leur sécurisation. Il ignore les risques qui ne passent pas par un traitement de données personnelles.
Le FRIA porte sur les droits fondamentaux : dignité, non-discrimination, vie privée, liberté d'expression, droit à un recours effectif. Il évalue l'impact d'une décision automatisée, même lorsque celle-ci ne mobilise pas de données personnelles directement identifiantes.
Besoin d'un cadrage FRIA + DPIA pour votre PME ?
regulia accompagne les dirigeants, DPO et RSSI dans la construction d'un dossier de conformité documentaire conforme à l'AI Act et au RGPD. Templates, registres et matrices de risques sont livrés en français.
Demander un audit de conformité5. Complémentarité des deux obligations
FRIA et DPIA ne se substituent pas l'un à l'autre. L'Art. 27 § 4 de l'AI Act est explicite. Lorsqu'un DPIA est déjà requis au titre du RGPD, le FRIA peut s'appuyer sur les éléments produits, mais sans dispenser de l'analyse complémentaire propre à l'AI Act.
5.1 Pourquoi mener les deux
Un système d'IA de scoring de crédit illustre l'articulation. Le DPIA évalue la licéité de la collecte des données bancaires, leur durée de conservation et leur sécurisation. Le FRIA évalue le risque de discrimination algorithmique, la possibilité pour le client de contester la décision et les modalités de surveillance humaine prévues.
Mener un seul des deux exercices laisse une zone d'ombre. Sans DPIA, la base légale du traitement n'est pas sécurisée. Sans FRIA, le risque discriminatoire n'est pas documenté.
5.2 Exemple concret : un outil RH de tri de CV
Imaginons une PME de 80 salariés qui acquiert un logiciel SaaS de tri automatique de candidatures. L'outil analyse des CV pour pré-sélectionner les profils retenus en entretien.
DPIA requis : le traitement consiste en une évaluation systématique et approfondie d'aspects personnels (Art. 35 § 3 a RGPD). La CNIL classe le recrutement automatisé parmi les traitements à risque élevé.
FRIA requis : l'Annexe III point 4 a) de l'AI Act vise expressément les systèmes d'IA destinés au recrutement, à la sélection ou à l'évaluation de candidats.
La PME doit donc produire deux documents distincts. Le DPIA est piloté par le DPO et porté à la connaissance de la CNIL en cas de risque résiduel élevé. Le FRIA est piloté par la direction métier (DRH) et notifié à l'autorité nationale de surveillance du marché.
5.3 Tableau de complémentarité
| Question posée | Outil pertinent |
|---|---|
| Sur quelle base légale collecter les CV ? | DPIA |
| Combien de temps conserver les CV non retenus ? | DPIA |
| Comment l'algorithme évite-t-il les biais sexistes ? | FRIA |
| Quelle surveillance humaine sur la pré-sélection ? | FRIA |
| Quel chiffrement appliquer aux CV stockés ? | DPIA |
| Comment un candidat peut-il contester la décision ? | FRIA + DPIA |
6. Double obligation pour les PME : impact opérationnel
Les PME françaises ne bénéficient d'aucune exemption générale aux articles 27 AI Act et 35 RGPD. La taille de l'entreprise n'écarte pas l'obligation. Elle peut, en revanche, justifier une démarche proportionnée.
6.1 Impact organisationnel
Une PME doit identifier en interne :
- Un responsable de la conformité IA (souvent le RSSI ou un IA Lead désigné).
- Un DPO (interne ou externe, obligatoire dans certains cas selon l'Art. 37 RGPD).
- Un sponsor exécutif au niveau direction générale, signataire des deux analyses.
Voir notre glossaire des termes AI Act pour la définition précise de chaque rôle.
6.2 Articulation des calendriers
Les principales obligations de l'AI Act relatives aux systèmes de haut risque entrent en application le 2 août 2026. Le DPIA, lui, est exigible depuis 2018. Une PME qui déploie aujourd'hui un système d'IA de haut risque doit déjà être conforme au RGPD. Elle dispose d'environ quinze mois pour intégrer le volet FRIA.
6.3 Conseils pratiques de mise en œuvre
- Cartographier les systèmes d'IA existants et projetés sur les 24 prochains mois.
- Pour chaque système, déterminer s'il relève de l'Annexe III de l'AI Act.
- Pour chaque système, déterminer s'il traite des données personnelles à risque élevé.
- Constituer un dossier unique fusionné lorsque les deux analyses se chevauchent, en distinguant clairement les sections AI Act et RGPD.
- Faire valider le dossier par le DPO et la direction générale avant déploiement.
- Réviser les analyses au moins une fois par an et à chaque modification substantielle du système.
7. Sanctions pour non-conformité
L'absence de FRIA ou de DPIA expose la PME à des sanctions financières et réputationnelles importantes. Les deux régimes sont cumulables.
7.1 Sanctions sous l'AI Act (Art. 99)
| Type d'infraction | Plafond |
|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial annuel |
| Non-conformité haut risque incluant absence de FRIA (Art. 27) | 15 M€ ou 3 % du CA mondial annuel |
| Informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA mondial annuel |
Le montant le plus élevé entre la somme fixe et le pourcentage est retenu. L'Art. 99 § 6 prévoit toutefois pour les PME l'application du plafond le plus bas entre la somme fixe et le pourcentage. Cette modulation est l'un des rares aménagements PME.
Pour une analyse détaillée, consulter notre article dédié aux sanctions AI Act pour les PME françaises.
7.2 Sanctions sous le RGPD (Art. 83)
| Type d'infraction | Plafond |
|---|---|
| Violation des principes de base, droits des personnes | 20 M€ ou 4 % du CA mondial annuel |
| Absence de DPIA (Art. 35) | 10 M€ ou 2 % du CA mondial annuel |
À la différence de l'AI Act, le RGPD ne prévoit pas de modulation PME automatique. La CNIL adapte toutefois ses sanctions à la taille et à la coopération de l'entreprise mise en cause.
7.3 Cumul possible
Une même PME peut être sanctionnée deux fois pour un même système si elle n'a réalisé ni DPIA ni FRIA. Le RGPD vise le traitement de données, l'AI Act vise la mise sur le marché ou l'utilisation du système d'IA. Les fondements juridiques sont distincts, le principe non bis in idem ne s'applique pas en l'état de la jurisprudence actuelle [à vérifier selon évolutions CJUE].
8. Exemptions et simplifications pour les PME
Aucune exemption générale n'existe. Quelques aménagements ciblés s'appliquent toutefois.
8.1 Aménagements prévus par l'AI Act
L'Art. 62 de l'AI Act prévoit que la Commission européenne et les États membres prennent des mesures spécifiques pour les PME et les start-ups :
- Accès prioritaire aux bacs à sable réglementaires (Art. 57 et suivants).
- Modèles de documentation simplifiés à publier par l'AI Office.
- Plafonds de sanctions modulés pour les PME (Art. 99 § 6).
L'Art. 27 de l'AI Act ne prévoit pas d'exemption au FRIA selon la taille de l'entreprise. Si le système entre dans l'Annexe III et si le déployeur entre dans le champ de l'Art. 27 § 1, l'obligation s'applique.
8.2 Aménagements prévus par le RGPD
Le RGPD prévoit des aménagements pour les organisations de moins de 250 salariés, principalement à l'Art. 30 § 5 sur le registre des traitements. Ces aménagements ne concernent pas le DPIA. Une PME doit réaliser un DPIA dès lors que le traitement présente un risque élevé, quelle que soit sa taille.
8.3 Cas particuliers de non-applicabilité
Le FRIA n'est pas requis si l'entreprise n'entre pas dans les catégories d'acteurs visés par l'Art. 27 § 1 (organismes publics, services publics, scoring de crédit, assurance vie/santé). Une PME qui déploie un système Annexe III hors de ces catégories n'est pas tenue au FRIA, mais reste tenue aux autres obligations de l'AI Act.
Le DPIA n'est pas requis si le traitement figure dans la liste CNIL des traitements pour lesquels un DPIA n'est pas obligatoire, ou si une analyse antérieure couvre déjà le périmètre.
9. Outils et ressources pratiques
Plusieurs ressources gratuites et officielles sont à disposition des PME françaises.
9.1 AI Act Service Desk
La Commission européenne a ouvert l'AI Act Service Desk en 2025. Ce guichet répond aux questions des PME et fournit des templates de documentation. Les réponses sont gratuites et accessibles en français.
9.2 Ressources CNIL
La CNIL met à disposition :
- Le Guide du DPIA et le logiciel PIA téléchargeable gratuitement.
- Les 13 fiches pratiques IA publiées en 2024-2025.
- La liste des activités de traitement à risque élevé.
9.3 Normes ISO applicables
Trois normes ISO structurent une démarche FRIA + DPIA cohérente :
- ISO/IEC 42001:2023 — système de management de l'IA.
- ISO/IEC 23894:2023 — gestion des risques liés à l'IA.
- ISO/IEC 27001:2022 — sécurité de l'information.
Pour les sources complètes et liens externes, voir notre page sources officielles.
Sécurisez votre conformité FRIA + DPIA dès maintenant
Pack documentaire regulia : modèles FRIA, modèles DPIA, registre des systèmes d'IA, matrice de risques droits fondamentaux et plan de surveillance humaine, conformes AI Act et RGPD. Livrés en français, prêts à personnaliser.
Recevoir le pack documentaire10. Conclusion et recommandations
Le FRIA et le DPIA poursuivent un objectif partagé : anticiper les risques avant que le système d'IA ne produise ses effets. Ils ne sont pas redondants. Le DPIA sécurise la dimension données, le FRIA sécurise la dimension droits fondamentaux.
Trois recommandations s'imposent pour une PME française qui déploie ou prévoit de déployer un système d'IA de haut risque.
1. Anticiper le calendrier. L'application des obligations Annexe III intervient au 2 août 2026. Une PME qui démarre aujourd'hui dispose d'environ quinze mois pour cartographier ses systèmes, désigner un responsable interne, produire les analyses requises et former ses équipes.
2. Articuler les rôles. Le DPO pilote naturellement le DPIA. Le FRIA relève davantage de la direction métier ou d'un IA Lead, avec validation du DPO sur les volets données. Une gouvernance écrite évite les angles morts.
3. Documenter au format requis. Une analyse non écrite équivaut juridiquement à une analyse non réalisée. Les autorités (CNIL et autorité de surveillance du marché AI Act) exigent un document daté, signé, accessible sur demande.
FAQ
Quelle est la principale différence entre le FRIA et le DPIA ?
Le FRIA évalue les risques que fait peser un système d'IA de haut risque sur les droits fondamentaux des personnes. Il est exigé par l'Art. 27 du Règlement (UE) 2024/1689. Le DPIA évalue les risques d'un traitement de données personnelles. Il est exigé par l'Art. 35 du Règlement (UE) 2016/679 (RGPD). Le premier porte sur l'IA, le second sur les données.
Dois-je réaliser à la fois un FRIA et un DPIA pour un système d'IA de haut risque ?
Oui, dans la majorité des cas. Si un système d'IA de haut risque traite des données personnelles, les deux analyses sont requises. L'Art. 27 § 4 de l'AI Act permet d'éviter la duplication d'informations entre les deux documents, mais n'exempte d'aucune des deux obligations.
Quelles sont les sanctions pour ne pas réaliser un FRIA ou un DPIA ?
L'absence de FRIA est sanctionnée jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Art. 99 § 4 AI Act). L'absence de DPIA est sanctionnée jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial (Art. 83 § 4 RGPD). Les PME bénéficient d'une modulation au plafond le plus bas sous l'AI Act.
Existe-t-il des exemptions pour les PME ?
Aucune exemption générale fondée sur la taille de l'entreprise n'efface les obligations FRIA ou DPIA. Des aménagements existent : accès prioritaire aux bacs à sable réglementaires (Art. 57 AI Act), templates simplifiés à venir, modulation des sanctions (Art. 99 § 6 AI Act). Une PME reste soumise aux deux analyses si son système d'IA et son traitement entrent dans le champ d'application.
Où puis-je trouver de l'aide pour réaliser un FRIA ou un DPIA ?
Trois canaux officiels et gratuits sont disponibles. L'AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond aux questions et publie des modèles. La CNIL met à disposition son logiciel PIA et ses 13 fiches pratiques IA. Pour une démarche structurée, un accompagnement spécialisé (DPO externe, conseil juridique, prestataire comme regulia) est recommandé.
Sources officielles
- AI Act Service Desk — Commission européenne
- Proposition AI Act, version EUR-Lex
- Guide du DPIA — CNIL
- Liste des activités de traitement à risque élevé — CNIL
- Fiches pratiques IA — CNIL
Disclaimer : Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.