Note éditoriale — La présente version corrige plusieurs références juridiques erronées du plan initial. La FRIA est définie à l'Article 27 du Règlement (UE) 2024/1689, et non à l'article 34. Les sanctions figurent à l'Article 99, et non à l'article 63. Ces corrections sont essentielles pour ne pas induire les dirigeants de PME en erreur.
L'essentiel en 30 secondes
- AISIA est un terme opérationnel désignant tout système d'IA relevant du champ d'application du Règlement (UE) 2024/1689 (« AI Act »), au sens de l'Article 3, paragraphe 1.
- FRIA signifie Fundamental Rights Impact Assessment — analyse d'impact sur les droits fondamentaux — encadrée par l'Article 27 du même règlement.
- La FRIA ne s'applique pas aux systèmes à faible risque : elle vise certains déployeurs de systèmes à haut risque (organismes publics, services publics, banques pour le scoring crédit, assureurs vie/santé).
- L'AI Act répartit les systèmes en quatre niveaux de risque : inacceptable (Art. 5), haut (Art. 6 et Annexe III), limité (Art. 50) et minimal.
- Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites (Art. 99). Les PME bénéficient du montant le plus bas des deux plafonds.
- La CNIL et le service desk européen (
ai-act-service-desk.ec.europa.eu) accompagnent les PME dans la qualification de leurs systèmes.
1. Définition de l'AISIA : le système d'IA au sens de l'AI Act
Le terme AISIA n'est pas un acronyme du règlement européen. Il s'agit d'une désignation opérationnelle utilisée par certains praticiens français pour qualifier les systèmes d'IA entrant dans le champ d'application du Règlement (UE) 2024/1689. La définition juridique de référence reste celle de l'Article 3, paragraphe 1 :
« système d'IA : un système automatisé qui est conçu pour fonctionner à différents niveaux d'autonomie et qui peut faire preuve d'une capacité d'adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu'il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels. »
Critères de qualification
Un système est qualifié d'AISIA dès lors qu'il cumule :
- Un fonctionnement automatisé avec un certain degré d'autonomie.
- Une capacité à déduire ses sorties à partir d'entrées (apprentissage, raisonnement, optimisation).
- Une finalité (recommandation, prédiction, génération, décision).
- Une influence sur un environnement physique ou virtuel.
Cette définition est volontairement large. Elle couvre aussi bien les modèles d'apprentissage profond que les systèmes experts à base de règles si ces derniers présentent un degré d'autonomie suffisant.
Exemples concrets pour une PME
| Système | AISIA ? | Justification |
|---|---|---|
| Algorithme de tri de CV | Oui | Décision influençant un parcours d'emploi |
| Chatbot client | Oui | Génération de contenu autonome |
| Tableur Excel avec formules | Non | Pas de capacité d'inférence ni d'autonomie |
| Outil de scoring crédit | Oui | Décision affectant l'accès à un service essentiel |
| Système de vidéosurveillance avec reconnaissance | Oui | Inférence sur données biométriques |
Pour aller plus loin sur la qualification, consultez le glossaire regulia et notre pillar AI Act PME France.
2. Définition de la FRIA : l'analyse d'impact sur les droits fondamentaux
La FRIA (Fundamental Rights Impact Assessment) est une analyse d'impact introduite par l'Article 27 du Règlement (UE) 2024/1689. Contrairement à ce que l'on lit parfois en ligne, la FRIA ne concerne pas les systèmes à faible risque. Elle vise les déployeurs de certains systèmes d'IA à haut risque.
Qui doit réaliser une FRIA ?
L'Art. 27, paragraphe 1, identifie trois catégories de déployeurs concernés :
- Les organismes de droit public.
- Les opérateurs privés fournissant des services publics.
- Les déployeurs des systèmes mentionnés à l'Annexe III, point 5, b) et c) : scoring crédit, tarification et évaluation des risques en assurance vie et santé.
Contenu obligatoire de la FRIA
Selon l'Art. 27, paragraphe 1, la FRIA doit décrire :
- Les processus dans lesquels le système sera utilisé.
- La période et la fréquence d'utilisation.
- Les catégories de personnes susceptibles d'être affectées.
- Les risques spécifiques pour les droits fondamentaux concernés.
- Les mesures de surveillance humaine prévues.
- Les mesures à prendre si les risques se matérialisent.
Le déployeur notifie ensuite l'autorité de surveillance des résultats (Art. 27, §3). Pour les PME concernées, ce volet est lourd : la documentation doit être tracée, datée et archivée.
3. Les quatre catégories de risque de l'AI Act
L'AI Act structure ses obligations selon une pyramide de risque. Comprendre cette hiérarchie est indispensable pour classer correctement vos systèmes.
| Catégorie | Article(s) clés | Statut | Exemples |
|---|---|---|---|
| Risque inacceptable | Art. 5 | Interdit | Notation sociale par autorités publiques, manipulation cognitive, identification biométrique en temps réel dans l'espace public (sauf exceptions) |
| Haut risque | Art. 6 + Annexe III | Autorisé sous conditions strictes | Recrutement, scoring crédit, éducation, infrastructures critiques, justice |
| Risque limité | Art. 50 | Obligations de transparence | Chatbots, deepfakes, contenu généré par IA |
| Risque minimal | — | Aucune obligation spécifique | Filtres anti-spam, IA dans jeux vidéo |
Risque inacceptable (Art. 5)
Huit pratiques sont interdites depuis le 2 février 2025 [à vérifier — date d'application progressive selon Art. 113]. Aucune dérogation pour PME. Les sanctions sont les plus élevées (jusqu'à 35 M€ ou 7 % du CA mondial).
Haut risque (Art. 6 et Annexe III)
Un système est qualifié de haut risque s'il :
- Est un composant de sécurité d'un produit soumis à la législation d'harmonisation listée en Annexe I, ou
- Relève d'un des huit domaines de l'Annexe III : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration/asile/contrôles aux frontières, administration de la justice et processus démocratiques.
Pour une PME, le risque le plus fréquent porte sur les outils RH (Annexe III, point 4) et les services financiers (Annexe III, point 5).
Risque limité (Art. 50)
Obligation de transparence : informer la personne qu'elle interagit avec une IA, marquer le contenu généré, étiqueter les deepfakes. Application dès le 2 août 2026 [à vérifier].
Risque minimal
Aucune obligation contraignante. La conformité reste recommandée via les codes de conduite volontaires prévus à l'Art. 95.
Pour mesurer votre exposition aux pénalités, consultez notre article sanctions PME et amendes avec calculateur intégré.
4. Différences clés entre AISIA et FRIA
L'amalgame entre les deux notions est fréquent. Voici une comparaison rigoureuse.
| Critère | AISIA | FRIA |
|---|---|---|
| Nature | Désignation d'un système d'IA dans le champ de l'AI Act | Procédure d'analyse d'impact |
| Base juridique | Art. 3, §1 (définition) + Art. 2 (champ) | Art. 27 |
| À qui s'applique-t-elle ? | À tout fournisseur ou déployeur d'IA | Aux déployeurs publics et à certains déployeurs privés (Annexe III, point 5, b et c) |
| Niveau de risque concerné | Tous les niveaux | Haut risque uniquement |
| Livrable | Classification + documentation technique (Art. 11) | Rapport d'analyse + notification à l'autorité |
| Périodicité | Documentation continue (cycle de vie) | À jour avant le déploiement, mise à jour si conditions changent |
| Sanction en cas de manquement | Art. 99 (jusqu'à 15 M€ ou 3 % du CA) | Art. 99 (idem) |
Point clé : tous les systèmes FRIA sont des AISIA, mais tous les AISIA ne déclenchent pas de FRIA. La FRIA est un sous-ensemble d'obligations réservé aux configurations à haut risque exposant directement les droits fondamentaux.
Vous hésitez sur la qualification de votre système ?
regulia a conçu un pack documentaire dédié aux PME pour vous guider de la classification AISIA jusqu'à la FRIA si requise. Templates, registres, modèles de gouvernance.
Recevoir le pack documentaire AI Act5. Obligations concrètes pour les PME françaises
Selon la position de votre PME dans la chaîne de valeur, les obligations diffèrent. L'AI Act distingue fournisseurs, déployeurs, importateurs et distributeurs (Art. 3, §3 à §6).
Si vous êtes fournisseur d'un système à haut risque
- Mettre en place un système de gestion des risques (Art. 9).
- Documenter la qualité des données d'entraînement (Art. 10).
- Rédiger la documentation technique (Art. 11 + Annexe IV).
- Garantir la journalisation des événements (Art. 12).
- Permettre la surveillance humaine (Art. 14).
- Assurer précision, robustesse et cybersécurité (Art. 15).
- Apposer le marquage CE après évaluation de conformité (Art. 43).
Si vous êtes déployeur d'un système à haut risque
- Utiliser le système conformément à sa notice (Art. 26, §1).
- Assurer la surveillance humaine par du personnel formé (Art. 26, §2).
- Conserver les journaux au moins six mois (Art. 26, §6).
- Informer les personnes soumises à une décision automatisée (Art. 26, §11).
- Réaliser une FRIA si vous relevez de l'Art. 27.
Si vous êtes déployeur d'un système à risque limité
Obligations de transparence uniquement (Art. 50) : informer l'utilisateur, marquer les contenus, étiqueter les deepfakes.
6. Sanctions en cas de non-conformité (Article 99)
Le régime de sanctions est défini à l'Article 99 du Règlement (UE) 2024/1689. Contrairement à ce que l'on lit parfois, il ne s'agit pas de l'article 63.
| Manquement | Plafond grande entreprise | Plafond PME et start-ups |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial (le plus élevé) | 35 M€ ou 7 % du CA (le plus bas) |
| Autres obligations (gouvernance, données, transparence) | 15 M€ ou 3 % du CA mondial | 15 M€ ou 3 % du CA (le plus bas) |
| Information incorrecte/incomplète à une autorité | 7,5 M€ ou 1 % du CA mondial | 7,5 M€ ou 1 % du CA (le plus bas) |
Mécanisme protecteur PME : l'Art. 99, paragraphe 6, prévoit que pour les PME et les jeunes entreprises, le montant retenu est le plus bas des deux plafonds. Cette protection ne s'applique pas aux grandes entreprises.
Au-delà de l'amende, les conséquences opérationnelles sont sérieuses :
- Retrait du marché du système non conforme (Art. 79).
- Suspension de la mise sur le marché.
- Impact réputationnel auprès des clients et investisseurs.
- Perte de marchés publics : les acheteurs publics intègrent désormais des clauses AI Act.
Détail complet et calculateur sur notre article dédié : Sanctions AI Act PME et amendes.
7. Guide pratique en cinq étapes
Voici la séquence recommandée par regulia pour une mise en conformité méthodique.
Étape 1 — Inventaire
Recenser tous les systèmes utilisant de l'IA, y compris ceux intégrés dans des SaaS tiers. Utiliser un registre centralisé avec : nom du système, fournisseur, finalité, données traitées, périmètre métier.
Étape 2 — Qualification AISIA
Pour chaque système, vérifier s'il entre dans la définition de l'Art. 3, §1. Documenter la décision avec une motivation tracée (utile en cas de contrôle).
Étape 3 — Classification par niveau de risque
Croiser chaque AISIA avec : - L'Art. 5 (pratiques interdites) - L'Art. 6 et l'Annexe III (haut risque) - L'Art. 50 (transparence)
Étape 4 — Détermination FRIA
Si vous êtes déployeur d'un système à haut risque listé à l'Art. 27, §1, déclencher l'analyse d'impact selon le canevas légal.
Étape 5 — Documentation et audit
Mettre en place un cycle de revue annuel minimum. Conserver les preuves : registres, FRIA, journaux, formations.
8. Ressources officielles et outils pour PME
- CNIL — Fiches pratiques IA : 13 fiches couvrant la qualification des systèmes, l'analyse d'impact RGPD-IA et les bonnes pratiques.
- AI Office (Commission européenne) — service desk d'assistance :
ai-act-service-desk.ec.europa.eu. - ISO/IEC 42001:2023 — norme de management des systèmes d'IA. Référence pour structurer la gouvernance interne.
- ISO/IEC 23894:2023 — gestion des risques liés à l'IA.
- Cigref — guide AI Act janvier 2025.
- Numeum — guide pratique AI Act mars 2025.
Le site sources regulia regroupe l'ensemble des références officielles utilisées dans nos articles.
FAQ
Quels systèmes d'IA sont considérés comme AISIA ?
Un système est qualifié d'AISIA s'il répond à la définition de l'Art. 3, §1 du Règlement (UE) 2024/1689 : système automatisé doté d'une certaine autonomie, capable d'inférer des sorties (prédictions, recommandations, décisions) à partir d'entrées, et influençant un environnement. Cela couvre les outils RH automatisés, le scoring crédit, les chatbots, la vidéosurveillance intelligente. Les simples tableurs et systèmes purement déterministes sans capacité d'inférence ne sont pas des AISIA.
La FRIA s'applique-t-elle aux systèmes à faible risque ?
Non. L'Art. 27 réserve la FRIA à certains déployeurs de systèmes à haut risque : organismes publics, opérateurs de services publics, et déployeurs des systèmes listés à l'Annexe III, point 5, b et c (scoring crédit, assurance vie/santé). Pour les systèmes à risque limité, seules les obligations de transparence de l'Art. 50 s'appliquent.
Quelles sont les conséquences d'une mauvaise classification d'un système ?
Une qualification erronée peut entraîner deux risques : sous-classer un système à haut risque, ce qui expose à des sanctions au titre de l'Art. 99 pouvant atteindre 15 M€ ou 3 % du CA pour la plupart des manquements. Sur-classer un système conduit à mobiliser inutilement des ressources. La traçabilité documentaire de la décision est essentielle pour démontrer la diligence raisonnable.
La CNIL fournit-elle des outils spécifiques pour les PME ?
Oui. La CNIL publie depuis 2023 une série de fiches pratiques IA couvrant le périmètre RGPD-IA. Elles n'ont pas de valeur réglementaire pour l'AI Act lui-même, mais elles offrent un cadre méthodologique utile, notamment sur l'articulation entre analyse d'impact RGPD (AIPD) et FRIA. La CNIL est par ailleurs autorité compétente pour certaines obligations AI Act en France [à vérifier — désignation en cours par la loi nationale d'application].
Le service desk européen de l'AI Act peut-il aider les PME ?
Oui. L'AI Office a mis en place un service desk accessible à ai-act-service-desk.ec.europa.eu. Il fournit des éclaircissements interprétatifs gratuits sur les obligations, particulièrement utiles pour les PME ne disposant pas de juristes IA en interne. Les réponses ne constituent pas un avis juridique contraignant mais reflètent la doctrine de la Commission.
Sécurisez la qualification de vos systèmes d'IA
Le pack regulia inclut un arbre de décision AISIA/FRIA, des modèles de registre, le canevas FRIA conforme à l'Art. 27, et la documentation technique Annexe IV. Livraison immédiate.
Demander le pack documentaireSources officielles
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 — texte consolidé sur EUR-Lex.
- Service desk européen de l'AI Act — ai-act-service-desk.ec.europa.eu.
- CNIL — Fiches pratiques IA.
- artificialintelligenceact.eu — version consolidée non officielle.
- ISO/IEC 42001:2023 — norme management de l'IA.
- ISO/IEC 23894:2023 — gestion des risques IA.
Liens internes complémentaires : Pillar AI Act PME France — Sanctions et amendes AI Act — Glossaire regulia — Toutes les sources.
Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.