RGPD et AI Act : articulation DPIA + FRIA pour la double conformité des PME

Q: Quelle est la différence entre un DPIA et un FRIA ?

Le DPIA (RGPD) évalue les risques pour la protection des données, tandis que le FRIA (AI Act) évalue les risques pour les droits fondamentaux. Le FRIA est spécifique aux systèmes d'IA de haut risque et s'appuie sur le DPIA. Le DPIA est obligatoire pour les traitements à haut risque, tandis que le FRIA est obligatoire pour les systèmes d'IA de haut risque.

Q: Quelles sont les sanctions pour une non-conformité ?

Les sanctions pour non-conformité au RGPD peuvent atteindre 4% du chiffre d'affaires annuel (Art. 83 RGPD). Pour l'AI Act, les sanctions peuvent atteindre 7% du chiffre d'affaires annuel (Art. 83 AI Act). Les PME doivent donc s'assurer de la conformité pour éviter des amendes importantes.

Q: Comment une PME peut-elle identifier les systèmes d'IA de haut risque ?

Les systèmes d'IA de haut risque sont définis dans l'AI Act. Ils incluent les systèmes utilisés dans le secteur public, les systèmes de décision automatisée ayant des conséquences importantes pour les individus, et les systèmes utilisant des données sensibles. Les PME peuvent consulter le guide de la CNIL et le service desk AI Act pour identifier ces systèmes.

Q: Quels sont les avantages d'une approche intégrée ?

Une approche intégrée permet de réduire les coûts et le temps en évitant des processus redondants. Elle améliore la conformité en couvrant les deux réglementations avec un seul processus. Elle permet également une meilleure gestion des risques en adoptant une approche holistique.

Q: Où puis-je trouver des ressources pour m'aider ?

Les PME peuvent consulter le guide de la CNIL sur les DPIA, le site officiel de l'AI Act, et le service desk AI Act pour des conseils et des outils. Le glossaire de Regulia et les sources citées dans l'article sont également des ressources utiles.

TL;DR — L'essentiel en 30 secondes

Le RGPD impose une analyse d'impact (DPIA) pour les traitements à haut risque : Article 35 du Règlement (UE) 2016/679.
L'AI Act exige une analyse d'impact sur les droits fondamentaux (FRIA) pour certains systèmes d'IA à haut risque : Article 27 du Règlement (UE) 2024/1689.
Une PME exploitant un système d'IA traitant des données personnelles cumule presque toujours les deux obligations.
La CNIL recommande une approche intégrée pour limiter la duplication documentaire et les coûts internes.
Les sanctions peuvent atteindre 4 % du chiffre d'affaires mondial (RGPD) et 7 % (AI Act, Article 99 du Règlement (UE) 2024/1689).
Un DPIA bien construit constitue la colonne vertébrale d'un FRIA conforme.

1. Introduction : contexte et enjeux pour les PME

Les PME françaises naviguent depuis 2018 dans le cadre du RGPD. Depuis le 1er août 2024, l'EU AI Act ajoute une seconde couche réglementaire. Les deux textes se superposent dès qu'un système d'IA traite des données personnelles.

Le constat est simple : une majorité des systèmes d'IA à haut risque déployés en PME mobilisent des données personnelles. Recrutement automatisé, scoring crédit, biométrie d'accès, profilage clients. Tous ces cas activent simultanément le RGPD et l'AI Act.

Cette superposition pose trois défis concrets aux dirigeants de PME. D'abord, le coût : chaque évaluation mobilise DPO, RSSI, métiers et parfois conseil externe. Ensuite, la complexité : les méthodologies DPIA et FRIA partagent leurs principes mais divergent sur les critères. Enfin, le risque de sanction : un manquement peut cumuler deux régimes d'amendes administratives.

L'articulation entre DPIA et FRIA devient donc un sujet stratégique. Bien construite, elle réduit la charge documentaire de 30 à 50 %. Mal construite, elle multiplie les contrôles redondants et expose à des incohérences entre les deux registres.

Pour comprendre le cadre général applicable à votre structure, consultez notre guide AI Act pour les PME françaises.

2. Les DPIA : définition, objectif et obligation RGPD

L'analyse d'impact relative à la protection des données, ou DPIA (Data Protection Impact Assessment), est définie à l'Article 35 du Règlement (UE) 2016/679. Elle constitue le pivot du principe d'accountability instauré par le RGPD.

Un DPIA évalue les risques qu'un traitement fait peser sur les droits et libertés des personnes physiques. Il documente les mesures techniques et organisationnelles destinées à les réduire.

Quand un DPIA est-il obligatoire ?

L'Article 35 impose la réalisation d'un DPIA lorsque le traitement est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Trois cas sont expressément cités :

Évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé (incluant le profilage).
Traitement à grande échelle de catégories particulières de données (santé, opinions, biométrie).
Surveillance systématique à grande échelle d'une zone accessible au public.

La CNIL complète ces cas par une liste de neuf critères. Dès que deux critères sont réunis, un DPIA est présumé obligatoire.

Contenu attendu d'un DPIA

Section	Contenu attendu
Description du traitement	Finalités, base légale, durées de conservation
Évaluation de la nécessité	Proportionnalité au regard des finalités
Risques identifiés	Sources, scénarios, gravité, vraisemblance
Mesures de réduction	Techniques, organisationnelles, contractuelles
Avis du DPO	Validation ou réserves formelles
Consultation des personnes	Le cas échéant, selon Art. 35.9 RGPD

Le DPIA n'est pas une formalité ponctuelle. Il doit être réexaminé lorsque le risque évolue.

3. Les FRIA : définition, objectif et obligation AI Act

L'analyse d'impact sur les droits fondamentaux, ou FRIA (Fundamental Rights Impact Assessment), est introduite par l'Article 27 du Règlement (UE) 2024/1689. Elle est spécifiquement liée aux systèmes d'IA classés à haut risque selon l'annexe III du texte.

Le FRIA ne se substitue pas au DPIA. Il s'ajoute et porte sur un champ plus large : l'ensemble des droits fondamentaux reconnus par la Charte des droits fondamentaux de l'Union européenne.

Périmètre d'application

L'Art. 27 cible deux catégories d'acteurs déployant un système d'IA à haut risque :

Les organismes de droit public.
Les entités privées fournissant des services publics.
Certains déployeurs privés du secteur bancaire, assurance et notation de crédit (Annexe III, points 5.b et 5.c).

Une PME qui développe un module de scoring crédit pour le compte d'une banque, ou un dispositif d'aide à la décision pour une collectivité, entre dans le périmètre.

Contenu attendu d'un FRIA

L'Art. 27.1 énumère les éléments obligatoires :

Description des processus dans lesquels le système d'IA sera utilisé.
Période et fréquence d'utilisation prévues.
Catégories de personnes physiques susceptibles d'être affectées.
Risques spécifiques d'atteinte aux droits fondamentaux.
Mesures de surveillance humaine.
Mesures à prendre si les risques se matérialisent (gouvernance interne, mécanismes de plainte).

Le FRIA doit être notifié à l'autorité nationale compétente avant la première utilisation du système.

4. Les similitudes entre DPIA et FRIA

DPIA et FRIA partagent un ADN commun. Tous deux relèvent d'une logique de gestion des risques par anticipation, antérieure au déploiement.

Dimension	DPIA (RGPD)	FRIA (AI Act)
Logique générale	Préventive et itérative	Préventive et itérative
Méthodologie	Identification, évaluation, mitigation	Identification, évaluation, mitigation
Document écrit	Obligatoire et conservé	Obligatoire et conservé
Implication des parties prenantes	DPO, métiers, sous-traitants	Métiers, fournisseur d'IA, autorité compétente
Réexamen périodique	Lors de changements significatifs	Lors de changements significatifs
Sanctions	Administratives (RGPD)	Administratives (AI Act)

Les deux exercices reposent sur la même structure intellectuelle : décrire, évaluer, mitiger, documenter. Cette convergence rend possible l'intégration méthodologique.

5. Les différences clés entre DPIA et FRIA

Les similitudes ne doivent pas masquer des différences structurantes. Ignorer ces différences conduit à un FRIA trop superficiel ou à un DPIA débordant de son périmètre légal.

Critère	DPIA (Art. 35 RGPD)	FRIA (Art. 27 AI Act)
Cadre juridique	Règlement (UE) 2016/679	Règlement (UE) 2024/1689
Objet	Traitement de données personnelles	Système d'IA à haut risque
Périmètre des droits	Vie privée, protection des données	Ensemble des droits fondamentaux (Charte UE)
Déclencheur	Risque élevé pour les personnes	Classement haut risque (Annexe III)
Responsable	Responsable du traitement	Déployeur du système d'IA
Notification	À l'autorité si risque résiduel élevé (Art. 36 RGPD)	À l'autorité compétente avant utilisation
Avis externe	DPO obligatoire	Aucune obligation d'avis interne formel
Sanction max	20 M€ ou 4 % du CA mondial	15 M€ ou 3 % du CA mondial (Art. 99)

Le DPIA reste centré sur la donnée. Le FRIA s'intéresse à l'ensemble des effets du système : discrimination, dignité, liberté d'expression, accès à la justice. Cette différence d'objet appelle des compétences distinctes lors de la rédaction.

Pack documentaire DPIA + FRIA prêt à déployer

Modèles harmonisés conformes RGPD et AI Act, livrables en moins de 48 heures. Adaptés aux PME françaises de 10 à 250 salariés.

Demander une démonstration

6. Comment harmoniser les processus : une approche intégrée

L'objectif n'est pas de fondre les deux documents en un seul. La sécurité juridique impose de maintenir deux livrables distincts, identifiables par les autorités de contrôle (CNIL d'un côté, autorité AI Act de l'autre).

L'objectif est de construire un socle commun et deux extensions spécialisées.

Étape 1 : cartographier les chevauchements

La plupart des systèmes d'IA à haut risque traitent des données personnelles. À ce titre, ils relèvent du RGPD ET de l'AI Act. Identifier ces zones de recouvrement permet d'éviter la duplication.

Élément	Réutilisable d'un DPIA à un FRIA	Spécifique au FRIA
Description du système	Oui	Non
Finalités	Oui	Non
Catégories de personnes concernées	Oui	Élargi aux groupes vulnérables
Analyse de proportionnalité	Oui	Étendu aux droits non-RGPD
Mesures techniques	Oui partiellement	Surveillance humaine spécifique
Mécanisme de plainte	Non	Oui (Art. 27.1.e)

Étape 2 : aligner la gouvernance interne

Le DPO et le référent IA doivent collaborer dès la phase de conception. Dans une PME, ces rôles peuvent être tenus par la même personne. L'essentiel est que le circuit de validation soit formalisé.

Étape 3 : utiliser un référentiel unique de risques

Construire une bibliothèque interne de risques annotés DPIA/FRIA évite les contradictions. Un risque de biais algorithmique, par exemple, doit être traité de manière cohérente dans les deux documents.

7. Les outils et méthodologies pour une double conformité

Les PME disposent de plusieurs ressources gratuites ou peu coûteuses pour mener leurs analyses.

Outils logiciels

PIA de la CNIL : logiciel open source pour conduire un DPIA structuré.
AI Risk Management Framework du NIST : guide méthodologique pour cartographier les risques IA.
Templates Cigref janvier 2025 : modèles spécifiques aux grandes entreprises adaptables aux PME.
Templates Numeum mars 2025 : guide AI Act sectoriel.

Normes de référence

Norme	Périmètre	Apport pour DPIA/FRIA
ISO/IEC 42001:2023	Système de management de l'IA	Structure de gouvernance
ISO/IEC 23894:2023	Risk management IA	Méthodologie d'évaluation des risques
ISO/IEC 27001:2022	Sécurité de l'information	Mesures techniques RGPD
ISO/IEC 27701:2019	Vie privée	Extension RGPD à ISO 27001

L'adoption d'ISO/IEC 42001 facilite la production d'un FRIA, sans s'y substituer. La norme cadre la gouvernance ; le FRIA reste un exercice juridique distinct.

Méthodologies analytiques

Une PME peut combiner plusieurs grilles :

Analyse en arbre de défaillances pour les risques techniques.
Matrice gravité/vraisemblance pour la hiérarchisation.
Diagramme de flux de données pour visualiser les traitements.
Cartographie des parties prenantes pour identifier les personnes affectées.

Consultez notre glossaire technique pour aligner le vocabulaire utilisé par les différentes équipes.

8. Les étapes pratiques pour les PME

Voici une séquence opérationnelle en huit étapes. Elle s'adresse à une PME qui découvre l'obligation de cumuler DPIA et FRIA.

Étape 1 — Inventaire des systèmes d'IA

Recenser tous les systèmes d'IA utilisés en interne ou intégrés à des produits. Lister les fournisseurs, finalités, données traitées, utilisateurs cibles.

Étape 2 — Classification AI Act

Pour chaque système, déterminer s'il relève de l'Annexe III (haut risque). Si oui, vérifier si la PME agit comme « fournisseur » ou comme « déployeur ». Les obligations diffèrent.

Étape 3 — Identification des traitements RGPD

Pour chaque système d'IA, lister les traitements de données personnelles associés. Vérifier l'inscription au registre des activités de traitement (Art. 30 RGPD).

Étape 4 — Décision DPIA et FRIA

Configuration	DPIA requis ?	FRIA requis ?
Système d'IA haut risque + données personnelles	Oui	Oui
Système d'IA haut risque sans données personnelles	Non	Oui
Système d'IA non haut risque + données personnelles risque élevé	Oui	Non
Système d'IA non haut risque + données personnelles risque faible	Non	Non

Étape 5 — Rédaction du socle commun

Préparer une description partagée du système : finalités, parties prenantes, données traitées, modes de fonctionnement. Ce socle alimentera les deux documents.

Étape 6 — Extension DPIA

Compléter l'analyse spécifique RGPD : base légale, proportionnalité, droits des personnes, transferts hors UE, sous-traitants.

Étape 7 — Extension FRIA

Compléter l'analyse spécifique AI Act : droits fondamentaux affectés, mesures de surveillance humaine, mécanisme de plainte, notification à l'autorité.

Étape 8 — Validation et notification

Faire valider les deux documents par les responsables désignés. Notifier à l'autorité compétente si le risque résiduel l'exige. Conserver les preuves pendant la durée d'utilisation du système plus 10 ans.

9. Les avantages d'une approche intégrée

Construire un dispositif unifié DPIA + FRIA présente trois bénéfices concrets pour une PME.

Réduction des coûts

Une PME qui mène ses deux analyses en silos consacre en moyenne 15 à 25 jours-homme par système d'IA à haut risque [à vérifier]. Une approche intégrée ramène cette charge à 8-12 jours-homme. L'économie provient de :

La rédaction unique de la description du système.
La factorisation des entretiens avec les métiers.
L'unification des matrices de risques.

Amélioration de la conformité

Deux documents construits sur un socle commun réduisent les contradictions internes. Les autorités de contrôle (CNIL, autorité AI Act française désignée) apprécient la cohérence inter-référentiels. Une incohérence DPIA/FRIA constitue un signal faible de défaillance organisationnelle.

Meilleure gestion des risques

L'approche intégrée force à raisonner sur l'ensemble des effets du système. Elle évite l'angle mort classique : un système conforme RGPD mais générateur de discrimination indirecte. Le FRIA capte ce que le DPIA ne voit pas.

Pour mesurer l'impact financier d'un manquement, notre analyse des sanctions AI Act et de leur articulation avec les amendes RGPD détaille les montants applicables.

Audit gratuit de votre exposition DPIA + FRIA

Identifions ensemble vos systèmes d'IA à haut risque et la charge documentaire associée. Diagnostic en 30 minutes par visioconférence.

Réserver mon créneau

10. Conclusion : recommandations et ressources

L'articulation DPIA/FRIA n'est pas une option. Elle conditionne la conformité juridique et la maîtrise des coûts pour les PME exposées à l'AI Act.

Trois recommandations opérationnelles :

Commencer par l'inventaire. Une PME ne peut pas évaluer ce qu'elle n'a pas cartographié. La cartographie des systèmes d'IA précède toute analyse.
Désigner un référent unique. Le DPO doit piloter, même s'il s'appuie sur le RSSI ou un référent IA pour les aspects techniques. La gouvernance partagée évite la dilution des responsabilités.
Adopter un modèle dès maintenant. Les obligations FRIA pour les systèmes d'IA à haut risque sont applicables progressivement à partir du 2 août 2026 [à vérifier]. Le rythme d'apprentissage interne d'une PME ne se compresse pas.

L'harmonisation DPIA/FRIA s'inscrit dans une tendance européenne plus large : la convergence des analyses d'impact (DPIA, FRIA, DSA, DMA, NIS2). Les PME qui structurent aujourd'hui leur méthode économiseront demain face aux prochains textes.

Pour aller plus loin, consultez notre page sources officielles qui recense les références à jour.

FAQ

Quelle est la différence entre un DPIA et un FRIA ?

Le DPIA, prévu à l'Art. 35 RGPD, évalue les risques d'un traitement de données personnelles pour la vie privée et la protection des données. Le FRIA, prévu à l'Art. 27 AI Act, évalue les risques d'un système d'IA à haut risque pour l'ensemble des droits fondamentaux. Le DPIA est obligatoire pour tout traitement à risque élevé. Le FRIA est obligatoire pour les déployeurs publics ou assimilés et certains acteurs financiers utilisant un système d'IA listé à l'Annexe III.

Quelles sont les sanctions pour une non-conformité ?

Un manquement au RGPD peut entraîner une amende administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé (Art. 83 RGPD). Un manquement aux obligations de l'AI Act peut entraîner une amende de 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel (Art. 99 AI Act). Les sanctions les plus lourdes (35 millions d'euros ou 7 % du CA) sont réservées à l'utilisation de pratiques d'IA interdites par l'Art. 5 AI Act. Les régimes peuvent se cumuler.

Comment une PME peut-elle identifier les systèmes d'IA de haut risque ?

L'Annexe III du Règlement (UE) 2024/1689 énumère les huit catégories de systèmes d'IA à haut risque : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels, application de la loi, migration, administration de la justice. Une PME doit examiner chaque système d'IA déployé au regard de cette liste. La CNIL et l'AI Office EU publient des grilles d'auto-évaluation. En cas de doute, le service desk AI Act de la Commission européenne fournit des réponses gratuites.

Quels sont les avantages d'une approche intégrée ?

Une approche intégrée réduit la duplication documentaire entre DPIA et FRIA. Elle économise des journées-homme à chaque évaluation. Elle améliore la cohérence des analyses présentées aux autorités. Elle facilite la mise à jour : un changement du système est reporté simultanément dans les deux documents. Elle prépare la PME à intégrer les futurs cadres convergents (NIS2, DSA, DMA).

Où puis-je trouver des ressources pour m'aider ?

La CNIL publie 13 fiches pratiques sur l'IA et un logiciel PIA gratuit. La Commission européenne anime un service desk AI Act qui répond aux questions des PME. Les guides Cigref (janvier 2025) et Numeum (mars 2025) proposent des modèles documentaires adaptés au marché français. La norme ISO/IEC 42001:2023 fournit le cadre de management de l'IA. Le glossaire et la page sources de regulia centralisent les liens utiles.

Sources officielles

Règlement (UE) 2024/1689 sur l'intelligence artificielle — EUR-Lex
Texte consolidé AI Act — artificialintelligenceact.eu
Fiches pratiques IA — CNIL
Service desk AI Act — Commission européenne
ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
ISO/IEC 23894:2023 — Lignes directrices sur la gestion des risques relatifs à l'IA
ISO/IEC 27001:2022 — Systèmes de management de la sécurité de l'information
Cigref — Guide AI Act (janvier 2025)
Numeum — Guide AI Act sectoriel (mars 2025)

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.