L'EU AI Act introduit un nouvel outil de conformité puissant que de nombreuses organisations commencent tout juste à appréhender : l'analyse d'impact sur les droits fondamentaux, ou FRIA. Contrairement aux évaluations de conformité techniques centrées sur les spécifications des systèmes, la FRIA exige des déployeurs qu'ils examinent la manière dont leurs systèmes d'IA affectent les droits fondamentaux de personnes réelles — de la vie privée et de la non-discrimination jusqu'à la dignité humaine et à l'accès à la justice. Avec l'arrivée progressive des obligations relatives au haut risque dans le cadre du déploiement échelonné de l'EU AI Act, les organisations qui déploient des systèmes d'IA à haut risque doivent comprendre non seulement ce qu'est une FRIA, mais aussi comment la mener efficacement. Ce guide propose un cadre complet, des modèles pratiques et des exemples sectoriels pour vous aider à respecter vos obligations au titre de l'article 27 de l'EU AI Act. Une précision de calendrier d'emblée : en mai 2026, les législateurs de l'UE se sont accordés à titre provisoire pour reporter les échéances applicables au haut risque (voir le calendrier actualisé ci-dessous). L'exigence de FRIA en elle-même reste inchangée, et tant que ce report n'a pas force de loi, la date initiale du 2 August 2026 s'applique toujours — d'où le conseil pratique de continuer à se préparer. Vous pouvez élaborer un projet d'analyse en quelques minutes grâce à notre générateur de FRIA gratuit.
Qu'est-ce qu'une analyse d'impact sur les droits fondamentaux (FRIA) ?
Une analyse d'impact sur les droits fondamentaux est un processus d'évaluation systématique conçu pour identifier, apprécier et atténuer les incidences négatives potentielles des systèmes d'IA à haut risque sur les droits fondamentaux des personnes. Imposée par l'article 27 de l'EU AI Act, la FRIA constitue la première analyse d'impact juridiquement contraignante au monde spécifiquement axée sur l'IA et les droits fondamentaux.
La FRIA examine les incidences potentielles sur l'ensemble du spectre des droits protégés par la Charte des droits fondamentaux de l'UE, notamment la dignité humaine (article 1), le droit à la vie et à l'intégrité (articles 2 à 3), le respect de la vie privée et familiale (article 7), la protection des données à caractère personnel (article 8), la non-discrimination (article 21), l'égalité entre les femmes et les hommes (article 23), les droits de l'enfant, des personnes âgées et des personnes handicapées (articles 24 à 26), la liberté d'expression (article 11) ainsi que le droit à un recours effectif et à un procès équitable (article 47).
L'analyse sert de mesure proactive, en aidant les organisations à identifier et à traiter les préjudices potentiels avant qu'ils ne surviennent. Correctement menée, une FRIA garantit non seulement la conformité réglementaire, mais offre aussi une assurance éthique et une position défendable face aux régulateurs et aux tribunaux.
FRIA vs AIPD : comprendre les principales différences
De nombreuses organisations supposent à tort qu'une FRIA n'est qu'un nouveau nom pour l'analyse d'impact relative à la protection des données (AIPD, ou DPIA en anglais) déjà exigée par le RGPD/GDPR. Si les deux analyses évaluent un risque et partagent des similitudes méthodologiques, elles diffèrent substantiellement dans leur portée et leur objet.
L'AIPD au titre de l'article 35 du RGPD porte principalement sur la protection des données et la vie privée (articles 7 et 8 de la Charte), elle est déclenchée par un traitement à haut risque de données à caractère personnel, et le responsable est le responsable du traitement. La FRIA au titre de l'article 27 de l'AI Act couvre tous les droits fondamentaux de la Charte de l'UE, elle est déclenchée par le déploiement de systèmes d'IA à haut risque, et le responsable est le déployeur — et elle s'applique que des données à caractère personnel soient ou non en jeu.
L'EU AI Act reconnaît explicitement cette relation de complémentarité. L'article 27(4) précise que si les obligations relevant de la FRIA sont déjà remplies au moyen d'une AIPD réalisée au titre du RGPD, la FRIA doit compléter cette analyse. En pratique, les organisations mèneront souvent les deux analyses simultanément et pourront les consolider en un seul rapport intégré — mais la portée de la FRIA est fondamentalement plus large.
Une différence méthodologique cruciale tient au fait que la FRIA exige une évaluation droit par droit. Il n'est pas permis de compenser une incidence négative sur un droit (comme la non-discrimination) par une incidence positive sur un autre (comme l'efficacité opérationnelle). Chaque droit doit être évalué de manière indépendante.
| Dimension | AIPD — article 35 du RGPD | FRIA — article 27 de l'AI Act |
|---|---|---|
| Objet principal | Protection des données et vie privée (articles 7 et 8 de la Charte) | Tous les droits fondamentaux de la Charte de l'UE |
| Élément déclencheur | Traitement à haut risque de données à caractère personnel | Déploiement d'un système d'IA à haut risque relevant du champ d'application |
| Responsable | Responsable du traitement | Déployeur |
| Données personnelles requises ? | Oui — l'analyse porte sur les données à caractère personnel | Non — s'applique même lorsqu'aucune donnée à caractère personnel n'est traitée |
| Méthode d'évaluation | Risque global pour les personnes concernées | Droit par droit ; pas de compensation d'un droit par un autre |
| Articulation | Peut être réutilisée comme intrant d'une FRIA | Complète — sans remplacer — une AIPD (art. 27(4)) |
Quand une FRIA est-elle requise au titre de l'EU AI Act ?
L'obligation de réaliser une FRIA ne s'applique pas à tout déployeur d'un système d'IA à haut risque. L'article 27 établit des catégories précises de déployeurs tenus de mener cette analyse.
Les organismes publics régis par le droit public doivent réaliser une FRIA avant de déployer des systèmes d'IA à haut risque énumérés à l'annexe III. Ces organismes sont créés pour satisfaire des besoins d'intérêt général, dotés de la personnalité juridique, financés majoritairement par l'État ou des autorités publiques, ou soumis à un contrôle de gestion par des autorités publiques.
Les entités privées fournissant des services publics entrent également dans le champ d'application. Cela inclut les entités opérant dans l'éducation, la santé, les services sociaux, le logement et l'administration de la justice. L'emploi du terme large de « services publics » sans critères de définition suggère une intention du législateur de couvrir tout déployeur dont les services affectent raisonnablement l'intérêt public.
Indépendamment de leur statut public ou privé, les déployeurs doivent réaliser des FRIA pour les systèmes d'IA destinés à évaluer la solvabilité ou à établir des scores de crédit (à l'exception de ceux utilisés pour détecter la fraude financière), ainsi que pour les systèmes d'IA d'évaluation des risques et de tarification en assurance vie et santé.
- Organismes publics utilisant l'IA à haut risque pour des services publics
- Entités privées fournissant des services essentiels (éducation, santé, services sociaux, logement)
- Tous les déployeurs utilisant l'IA pour l'évaluation de la solvabilité ou la notation de crédit
- Tous les déployeurs utilisant l'IA pour l'évaluation des risques et la tarification en assurance vie et santé
Catégories d'IA à haut risque soumises à la FRIA
Pour les organismes publics et les entités privées fournissant des services publics, les FRIA sont requises pour les systèmes d'IA relevant de la plupart des catégories de l'annexe III.
La catégorie 1 (Biométrie) couvre les systèmes d'identification biométrique à distance, la catégorisation biométrique fondée sur des attributs sensibles et les systèmes de reconnaissance des émotions. La catégorie 3 (Éducation) inclut les systèmes déterminant l'accès ou l'admission à des établissements d'enseignement, évaluant les acquis d'apprentissage, appréciant le niveau d'enseignement approprié et surveillant les comportements interdits pendant les examens.
La catégorie 4 (Emploi) couvre les systèmes de recrutement et de sélection, les systèmes influant sur les décisions liées au travail (promotion, licenciement, répartition des tâches) ainsi que les systèmes de suivi et d'évaluation des performances. La catégorie 5 (Services essentiels) inclut les systèmes évaluant l'éligibilité aux prestations d'assistance publique, l'évaluation de la solvabilité, l'évaluation des risques en assurance vie et santé, ainsi que la classification et la répartition des appels d'urgence.
La catégorie 6 (Répression) couvre l'évaluation du risque pour les victimes, les systèmes de type polygraphe, l'évaluation de la fiabilité des preuves, l'évaluation du risque de récidive et les systèmes de profilage. La catégorie 7 (Migration) inclut les systèmes d'évaluation des risques, l'examen des demandes d'asile et de visa, ainsi que les systèmes d'identification. La catégorie 8 (Justice) couvre les systèmes assistant les autorités judiciaires et les modes alternatifs de règlement des litiges.
Une exemption notable : les systèmes d'IA utilisés comme composants de sécurité dans les infrastructures numériques critiques, le trafic routier ou l'approvisionnement en services collectifs ne sont pas soumis aux exigences de FRIA.
Modèle de FRIA : les sections clés
L'article 27(1) précise les éléments obligatoires que doit contenir toute FRIA. Au titre de l'article 27(5), le Bureau européen de l'IA doit élaborer un questionnaire type officiel (assorti d'un outil automatisé) — mais à la date de juin 2026, il n'a pas encore été publié, et son absence ne dispense pas de l'obligation. Dans l'intervalle, structurez votre analyse autour des six composantes obligatoires ci-dessous. Le European Center for Not-for-Profit Law (ECNL) et l'Institut danois des droits de l'homme ont également publié A Guide to Fundamental Rights Impact Assessments (décembre 2025), avec un modèle téléchargeable et une méthodologie en cinq phases bâtie directement sur les éléments de l'article 27(1) — des orientations praticiennes utiles en attendant l'outil officiel (il s'agit d'orientations de la société civile, et non d'un modèle contraignant de l'UE). Pour produire rapidement un projet structuré, utilisez notre générateur de FRIA gratuit ou téléchargez le modèle.
La section 1 porte sur la description du système et la finalité prévue. Documentez les processus du déployeur dans lesquels le système d'IA sera utilisé, en cohérence avec sa finalité prévue telle que définie par le fournisseur. Les informations requises incluent le nom et la version du système d'IA, les coordonnées du fournisseur, une description claire de la finalité prévue, les cas d'usage spécifiques au sein de votre organisation, le contexte et l'environnement opérationnels, ainsi que les spécifications techniques pertinentes pour les incidences sur les droits.
La section 2 porte sur la durée et la fréquence d'utilisation. Documentez la date prévue de début de déploiement, la durée attendue (indéterminée, à durée déterminée, pilote), la fréquence d'utilisation du système (continue, périodique, déclenchée par un événement), les indicateurs de volume (nombre de décisions par jour/semaine/mois) et la portée géographique.
La section 3 porte sur les catégories de personnes concernées. Identifiez les utilisateurs directs, les personnes soumises à des décisions pilotées par l'IA, les tiers indirectement affectés et les groupes démographiques spécifiques. Les populations vulnérables nécessitant une attention particulière incluent les enfants, les personnes âgées, les personnes handicapées, les groupes socio-économiquement défavorisés, les minorités ethniques ou religieuses, les locuteurs non natifs et les personnes ayant une littératie numérique limitée.
La section 4 porte sur les risques spécifiques pour les droits fondamentaux. Pour chaque droit potentiellement affecté, évaluez la probabilité (de rare à quasi certaine), la gravité (de négligeable à catastrophique), la réversibilité (de facilement réversible à irréversible) et l'ampleur de la population concernée (de l'individu à la société dans son ensemble).
La section 5 porte sur les mesures de contrôle humain. Documentez les personnes désignées responsables du contrôle, les exigences de qualification et de formation, les capacités d'intervention, les procédures d'escalade, les protocoles de surveillance et les exigences documentaires.
La section 6 porte sur les mesures d'atténuation des risques. Elle inclut les mesures techniques (tests de biais, seuils de précision, contrôles de la qualité des données, journalisation), les mesures organisationnelles (structures de gouvernance, politiques, formation, cycles de révision) et les garanties procédurales (droit à un examen humain, mécanismes de réclamation, voies de recours accessibles, procédures de repli).
| Section | Ce qu'il faut documenter | Fondement |
|---|---|---|
| 1. Description du système et finalité prévue | Processus du déployeur, finalité prévue, fournisseur, contexte opérationnel | Art. 27(1)(a) |
| 2. Durée et fréquence d'utilisation | Date de début, durée, fréquence, volume, portée géographique | Art. 27(1)(b) |
| 3. Catégories de personnes concernées | Personnes directement concernées, tiers et groupes vulnérables | Art. 27(1)(c) |
| 4. Risques spécifiques pour les droits fondamentaux | Registre des risques : chaque droit, scénario de préjudice, probabilité, gravité, atténuation, risque résiduel | Art. 27(1)(d) |
| 5. Mesures de contrôle humain | Rôles de contrôle, pouvoirs d'intervention, qualifications et formation | Art. 27(1)(e) |
| 6. Mesures si les risques se matérialisent | Mesures techniques et organisationnelles, réclamation/recours, notification à l'autorité | Art. 27(1)(f) |
Comment réaliser une FRIA : guide étape par étape
Étape 1 : déterminer l'applicabilité de la FRIA. Confirmez qu'une FRIA est requise en vérifiant si votre système d'IA est classé à haut risque au titre de l'article 6 et de l'annexe III, si votre organisation est un organisme public ou une entité privée fournissant des services publics, ou si le système d'IA relève de l'annexe III, point 5(b) ou (c), pour l'évaluation du crédit ou de l'assurance.
Étape 2 : recueillir les informations auprès du fournisseur d'IA. Le processus de FRIA dépend largement des informations que les fournisseurs sont tenus de fournir au titre des articles 11 à 13, notamment la documentation technique conforme à l'annexe IV, les notices d'utilisation, les capacités et limites du système, les risques connus et les mesures d'atténuation, ainsi que les données relatives aux jeux de données d'entraînement et aux biais potentiels.
Étape 3 : constituer votre équipe d'évaluation. Les FRIA exigent des expertises diverses : juristes et professionnels de la conformité, délégués à la protection des données, experts techniques, experts métier (RH, santé, finance), représentants comprenant les communautés affectées et professionnels de la gestion des risques.
Étape 4 : cartographier les personnes et droits concernés. Recensez toutes les catégories de personnes qui interagissent avec le système ou en subissent les effets, identifiez quels droits fondamentaux pourraient être affectés pour chaque catégorie, et tenez compte des incidences directes et indirectes.
Étape 5 : réaliser l'évaluation des risques. Pour chaque droit identifié comme exposé, décrivez le scénario de préjudice potentiel, évaluez la probabilité et la gravité, attribuez un niveau de risque, et documentez votre raisonnement et vos éléments de preuve.
Étape 6 : concevoir les mesures d'atténuation. Pour chaque risque identifié, proposez des mesures spécifiques, évaluez leur faisabilité, appréciez le risque résiduel après atténuation, documentez la responsabilité de la mise en œuvre et instaurez des mécanismes de surveillance.
Étapes 7 à 9 : documentez les dispositifs de contrôle humain, mettez en place des mécanismes de réclamation et de recours, et obtenez l'examen et l'approbation du conseil juridique et de la direction de l'organisation.
Étape 10 — Notifier l'autorité de surveillance du marché. Au titre de l'article 27(3), une fois la FRIA réalisée, le déployeur doit notifier ses résultats à l'autorité de surveillance du marché compétente, en soumettant le modèle de l'article 27(5) dûment rempli dans le cadre de la notification (et, tant que ce modèle n'est pas publié, votre propre documentation au regard des critères de l'article 27(1)). La notification informe l'autorité qu'un système à haut risque est en service et qu'une analyse des droits a été menée à bien. La seule exemption est le cas étroit de l'article 46(1) — lorsqu'une autorité a autorisé la mise sur le marché d'un système pour des raisons exceptionnelles telles que la sécurité publique ou la protection de la vie et de la santé — et même alors, seulement pour une durée limitée. Les déploiements de routine ne sont pas exemptés ; il n'existe aucune dérogation générale au titre de la « répression » ou de la « confidentialité opérationnelle ».
Exemples de FRIA par secteur
Exemple de notation de crédit dans les services financiers : une banque déployant une IA pour l'évaluation de la solvabilité doit identifier les groupes concernés (demandeurs de prêt, avec un risque accru pour les populations historiquement mal desservies), les principaux droits exposés (non-discrimination, droit de propriété, accès aux services essentiels), les facteurs de risque (les données d'entraînement peuvent refléter des biais historiques, des variables indirectes pourraient corréler avec des caractéristiques protégées), et mettre en œuvre des mesures d'atténuation comprenant des audits de biais réguliers, des voies d'évaluation alternatives, un examen humain pour les cas limites et des explications claires des facteurs de décision.
Exemple de tri par IA dans la santé : un service d'urgences hospitalier utilisant l'IA pour hiérarchiser la prise en charge des patients doit traiter les groupes concernés (tous les patients des urgences, avec une vigilance accrue pour les personnes âgées, handicapées, non locutrices natives), les principaux droits (droit à la vie, accès aux soins, dignité humaine, non-discrimination), les facteurs de risque (biais potentiel dans la reconnaissance des symptômes selon les groupes démographiques), et veiller à ce que l'IA serve uniquement d'aide à la décision avec une évaluation clinique humaine obligatoire.
Exemple de présélection de candidatures aux RH : une entreprise utilisant l'IA pour trier les CV doit prendre en compte les groupes concernés (tous les candidats, en particulier ceux ayant des parcours atypiques, des interruptions de carrière, des qualifications étrangères), les principaux droits (non-discrimination, droit au travail, égalité entre les femmes et les hommes), les facteurs de risque (les données d'embauche historiques peuvent encoder des biais), et mettre en œuvre des mesures incluant l'anonymisation des caractéristiques protégées, des tests de biais réguliers et un examen humain des candidatures rejetées issues de groupes sous-représentés.
Évaluer les risques de la FRIA : probabilité x gravité
Pour chaque risque identifié, évaluez la probabilité que le préjudice survienne et sa gravité s'il se produit. Une matrice simple transforme ces deux jugements en un niveau de risque unique que vous pouvez prioriser et suivre. Utilisez une échelle cohérente sur l'ensemble de l'analyse et consignez le raisonnement sous-tendant chaque évaluation — les régulateurs s'intéressent autant à votre méthode qu'à vos conclusions.
| Probabilité / Gravité | Négligeable | Mineure | Modérée | Majeure | Catastrophique |
|---|---|---|---|---|---|
| Rare | Faible | Faible | Faible | Moyen | Moyen |
| Improbable | Faible | Faible | Moyen | Moyen | Élevé |
| Possible | Faible | Moyen | Moyen | Élevé | Élevé |
| Probable | Moyen | Moyen | Élevé | Élevé | Critique |
| Quasi certain | Moyen | Élevé | Élevé | Critique | Critique |
Exemple concret : un registre des risques de FRIA complété
La section 4 est l'endroit où une FRIA devient concrète. Le registre ci-dessous montre comment une banque déployant un système d'IA d'évaluation de la solvabilité pourrait documenter ses risques — chaque droit fondamental en jeu, le scénario de préjudice, une évaluation de la probabilité et de la gravité, l'atténuation et le risque résiduel subsistant ensuite. C'est le niveau de spécificité qu'attendent les régulateurs et les tribunaux, et exactement ce que produit le générateur de FRIA.
| Droit fondamental | Scénario de préjudice | Probabilité | Gravité | Risque | Atténuation | Résiduel |
|---|---|---|---|---|---|---|
| Non-discrimination (art. 21) | Les données d'entraînement reflètent un biais historique ; des variables indirectes (par ex. le code postal) corrèlent avec des caractéristiques protégées, produisant des taux de refus disparates. | Possible | Majeure | Élevé | Tests trimestriels d'impact disparate ; suppression ou transformation des variables indirectes ; examen humain de tous les refus pour les groupes sous-représentés. | Moyen |
| Accès aux services essentiels / propriété | Un score erronément bas refuse à tort un crédit, limitant l'accès au logement ou aux achats essentiels. | Improbable | Majeure | Moyen | Voie alternative d'évaluation manuelle ; dérogation humaine ; explication claire de la décision défavorable au demandeur. | Faible |
| Protection des données à caractère personnel (art. 8) | Des données à caractère personnel excessives ou inexactes dégradent l'équité et l'exactitude de la décision. | Possible | Modérée | Moyen | Examen de minimisation des données ; intégration avec l'AIPD au titre du RGPD ; contrôles de qualité des données alignés sur l'article 10. | Faible |
Intégrer la FRIA aux autres exigences de conformité
Alignement avec l'AIPD du RGPD : lorsqu'un système d'IA traite des données à caractère personnel, vous avez probablement besoin à la fois d'une AIPD et d'une FRIA. Les stratégies consistent à les mener simultanément, à s'appuyer sur l'AIPD existante en l'étendant à des droits supplémentaires, à utiliser des cadres d'évaluation des risques cohérents, à consolider la documentation et à coordonner les mesures de contrôle.
Lien avec la documentation technique de l'annexe IV : les déployeurs réalisant des FRIA doivent demander la documentation de l'annexe IV aux fournisseurs, utiliser les évaluations des risques des fournisseurs comme intrants, vérifier que les mesures documentées par le fournisseur sont mises en œuvre dans votre contexte de déploiement, et documenter tout risque propre au déploiement non couvert par la documentation du fournisseur.
Articulation avec l'évaluation de la conformité : si l'évaluation de la conformité est principalement une obligation du fournisseur, les déployeurs doivent vérifier que le système d'IA a fait l'objet d'une évaluation de la conformité, comprendre ce qu'elle a couvert, et reconnaître qu'elle traite les exigences techniques tandis que la FRIA traite les incidences sur les droits fondamentaux propres au déploiement.
Enregistrement dans la base de données de l'UE : les systèmes d'IA à haut risque doivent être enregistrés dans la base de données de l'UE au titre de l'article 71. Assurez-vous que votre système est correctement enregistré par le fournisseur et que les informations d'enregistrement sont cohérentes avec votre documentation de FRIA.
Sanctions et application
Le non-respect des obligations des déployeurs expose les organisations au palier intermédiaire de sanctions de l'EU AI Act : des amendes pouvant atteindre 15 million EUR ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu (article 99(4)). Cela se situe en dessous du palier supérieur de 35 million EUR ou 7 % réservé aux violations des interdictions de l'article 5 (article 99(3)). Une nuance à signaler par souci d'exactitude : l'article 99(4) énumère la disposition relative aux obligations des déployeurs (article 26) mais ne nomme pas expressément l'article 27 (la FRIA). La lecture dominante des praticiens est qu'un manquement à la FRIA constitue une violation d'une obligation du déployeur relevant de ce même palier de 15 M EUR / 3 %, mais l'écart textuel est réel, et les règles de sanction des États membres (article 99(1) à (2)) s'appliquent également. Les PME et les jeunes pousses sont plafonnées au plus bas du pourcentage ou du montant fixe (article 99(6)). Les autorités de surveillance du marché ont le pouvoir d'enquêter et d'exiger des mesures correctives.
Au-delà des sanctions formelles, le fait de ne pas réaliser de FRIA appropriées engendre un risque réputationnel lié aux violations des droits fondamentaux, une responsabilité juridique si les préjudices se matérialisent, et un risque opérationnel si les autorités exigent des modifications ou l'arrêt du système.
Calendrier et prochaines étapes
L'EU AI Act s'applique par phases. Les interdictions de l'article 5 et les obligations de littératie en matière d'IA s'appliquent depuis le 2 February 2025 ; les obligations relatives aux modèles d'IA à usage général (GPAI), les règles de gouvernance et le cadre de sanctions s'appliquent depuis le 2 August 2025. Les obligations relatives au haut risque — y compris la FRIA de l'article 27 — devaient initialement s'appliquer à partir du 2 August 2026 pour les systèmes autonomes de l'annexe III, et du 2 August 2027 pour l'IA à haut risque intégrée dans des produits réglementés.
En novembre 2025, la Commission a proposé le paquet de simplification Digital Omnibus, et vers le 7 mai 2026, le Conseil et le Parlement européen sont parvenus à un accord politique provisoire pour reporter les échéances applicables au haut risque à deux dates fixes : le 2 December 2027 pour les systèmes autonomes de l'annexe III et le 2 August 2028 pour ceux intégrés à des produits. Point crucial, cela n'a pas encore force de loi. Cela requiert encore l'approbation du Parlement et du Conseil, une révision juridico-linguistique et une publication au Journal officiel (visée avant le 2 August 2026). Les dates reportées ne prennent effet juridiquement qu'à la publication — donc d'ici là, le 2 August 2026 reste la date contraignante de la FRIA, et vous devriez continuer à vous préparer sur cette base.
Notez ce que l'Omnibus ne reporte pas : les obligations de transparence de l'article 50 (informer que les utilisateurs interagissent avec une IA, et marquer les contenus générés par IA et les hypertrucages) s'appliquent toujours à partir du 2 August 2026. La seule concession est un bref délai de grâce pour le marquage lisible par machine des systèmes génératifs déjà sur le marché, prolongé jusqu'au 2 December 2026. En bref : le calendrier de la FRIA bouge, celui de la transparence non.
| Obligation | Date initiale | Après le Digital Omnibus* |
|---|---|---|
| Pratiques interdites (art. 5) + littératie en IA | 2 Feb 2025 | Inchangée |
| Modèles GPAI, gouvernance, sanctions | 2 Aug 2025 | Inchangée |
| Transparence (art. 50) | 2 Aug 2026 | Inchangée (délai de grâce de marquage jusqu'au 2 Dec 2026) |
| FRIA + haut risque, systèmes autonomes (annexe III) | 2 Aug 2026 | 2 Dec 2027 |
| Haut risque intégré dans des produits (annexe I) | 2 Aug 2027 | 2 Aug 2028 |
Une feuille de route pratique de préparation à la FRIA
Plus de 12 mois avant votre date applicable : inventoriez tous les systèmes d'IA, classez-les par niveau de risque, identifiez ceux nécessitant une FRIA, commencez à recueillir les informations auprès des fournisseurs et mettez en place des structures de gouvernance.
6 à 12 mois avant : élaborez des modèles et des procédures de FRIA, formez le personnel, menez des FRIA pilotes et mettez en œuvre les mesures techniques de contrôle humain.
3 à 6 mois avant : achevez les FRIA pour tous les systèmes relevant du champ d'application, documentez les mesures d'atténuation et vérifiez leur mise en œuvre, mettez en place des mécanismes de réclamation et de recours, et préparez vos notifications au titre de l'article 27(3).
En continu après la mise en conformité : surveillez les systèmes d'IA pour détecter les changements nécessitant une mise à jour de la FRIA, suivez les orientations réglementaires du Bureau de l'IA (y compris le modèle officiel attendu), menez des révisions périodiques et tenez à jour la documentation et les pistes d'audit.
Foire aux questions
Quelle est la différence entre la FRIA et l'AIPD ?
L'AIPD au titre de l'article 35 du RGPD porte spécifiquement sur les droits relatifs à la protection des données et à la vie privée lors du traitement de données à caractère personnel. La FRIA au titre de l'article 27 de l'AI Act a une portée plus large : elle évalue les incidences sur tous les droits fondamentaux de la Charte de l'UE — y compris la non-discrimination, la dignité, la liberté d'expression, l'accès à la justice et bien d'autres. De plus, une FRIA peut être requise même lorsqu'aucune donnée à caractère personnel n'est traitée. Si les organisations peuvent intégrer les deux analyses, la FRIA exigera généralement une analyse supplémentaire au-delà de ce que couvre une AIPD.
Qui est responsable de la réalisation de la FRIA ?
L'obligation de FRIA incombe aux déployeurs de systèmes d'IA à haut risque, et non aux fournisseurs. Les fournisseurs jouent toutefois un rôle de soutien en fournissant les informations dont les déployeurs ont besoin pour mener leurs analyses. En pratique, les déployeurs peuvent s'appuyer sur des FRIA ou des analyses d'impact préalablement réalisées par les fournisseurs si les circonstances sont suffisamment similaires — mais la responsabilité et l'obligation de rendre compte ultimes demeurent celles du déployeur.
À quelle fréquence la FRIA doit-elle être mise à jour ?
La FRIA doit être réalisée avant le premier déploiement du système d'IA à haut risque. Des mises à jour sont requises chaque fois que le déployeur constate que des éléments évalués ont changé ou ne sont plus d'actualité. Cela inclut les modifications du système d'IA lui-même, les changements de contexte de déploiement, les changements dans les populations concernées ou de nouvelles informations sur les risques. Les organisations devraient instaurer des cycles de révision périodiques pour identifier de manière proactive le moment où des mises à jour sont nécessaires.
Le Bureau de l'IA fournit-il un modèle officiel de FRIA ?
L'article 27(5) impose au Bureau européen de l'IA d'élaborer un questionnaire type, assorti d'un outil automatisé, pour aider les déployeurs à se conformer. À la date de juin 2026, ce modèle officiel n'a pas encore été publié, et il n'existe pas d'échéance ferme pour celui-ci — mais son absence ne dispense pas de l'obligation de FRIA. Dans l'intervalle, construisez votre analyse autour des éléments de l'article 27(1). L'ECNL et l'Institut danois des droits de l'homme ont publié A Guide to Fundamental Rights Impact Assessments (décembre 2025) avec un modèle praticien, et vous pouvez générer dès maintenant un projet structuré grâce à notre générateur de FRIA gratuit. Lorsque le modèle officiel sera publié, alignez vos analyses sur celui-ci.
Le Digital Omnibus a-t-il repoussé l'échéance de la FRIA ?
Dans les faits oui — mais ce n'est pas encore définitif. Le Digital Omnibus de l'UE, convenu à titre provisoire en mai 2026, repousserait la date d'application au haut risque (que suit la FRIA) du 2 August 2026 au 2 December 2027 pour les systèmes autonomes de l'annexe III. Toutefois, l'accord n'a pas encore force de loi : il doit encore être formellement adopté et publié au Journal officiel. D'ici là, la date initiale du 2 August 2026 est juridiquement contraignante, de sorte que les déployeurs prudents continuent de se préparer dès maintenant. L'Omnibus modifie le calendrier, et non la substance, de l'article 27.
Faut-il notifier qui que ce soit après avoir achevé une FRIA ?
Oui. Au titre de l'article 27(3), après avoir réalisé la FRIA, le déployeur doit notifier ses résultats à l'autorité de surveillance du marché compétente, en soumettant le modèle de l'article 27(5) dès qu'il existera (et votre propre documentation d'ici là). La seule exemption est le cas étroit de l'article 46(1) — un système autorisé pour des raisons exceptionnelles telles que la sécurité publique ou la protection de la vie et de la santé — et uniquement pour une durée limitée. Les déploiements de routine ne sont pas exemptés.
Peut-on utiliser une AIPD existante pour satisfaire aux exigences de la FRIA ?
En partie. L'article 27(4) permet aux déployeurs de s'appuyer sur des AIPD existantes lors de la réalisation des FRIA. Si certaines obligations de FRIA sont déjà remplies au moyen d'une AIPD, la FRIA doit compléter cette analyse plutôt que de la dupliquer. Toutefois, compte tenu de la portée plus large de la FRIA couvrant tous les droits fondamentaux (et pas seulement la protection des données), une analyse supplémentaire sera presque toujours nécessaire au-delà de ce que couvre une AIPD.
Que se passe-t-il si nous identifions des risques élevés qui ne peuvent être atténués ?
Contrairement aux AIPD du RGPD, la FRIA est avant tout une exigence documentaire et n'a pas le pouvoir de bloquer le déploiement d'un système d'IA à haut risque, quels que soient les risques identifiés. Toutefois, déployer des systèmes présentant des risques élevés non atténués pour les droits fondamentaux engendre une exposition juridique, réputationnelle et opérationnelle importante. Les organisations devraient soigneusement examiner si le déploiement est opportun lorsque des risques substantiels ne peuvent être traités de manière adéquate.
Points clés à retenir
La FRIA représente une nouvelle exigence de conformité majeure, mais c'est aussi l'occasion de démontrer un déploiement responsable de l'IA et de bâtir la confiance avec les clients, les régulateurs et le public. Les organisations qui investissent dans des FRIA approfondies et réfléchies seront mieux placées pour identifier les risques tôt, mettre en œuvre des garanties efficaces et naviguer dans un paysage réglementaire en évolution. Le calendrier est mouvant — le Digital Omnibus repousserait l'échéance du haut risque (et donc de la FRIA) au 2 December 2027, mais tant que cela n'a pas force de loi, la date contraignante demeure le 2 August 2026 — de sorte que le bon réflexe est le même dans les deux cas : commencez maintenant. Inventoriez vos systèmes d'IA, identifiez ceux nécessitant une FRIA, et élaborez un premier projet grâce au générateur de FRIA gratuit ou au modèle téléchargeable. Cet article est fourni à titre d'information générale uniquement et ne constitue pas un conseil juridique ; confirmez vos obligations au titre de l'article 27 auprès d'un conseil qualifié, et revérifiez le statut réglementaire avant de vous fier à une quelconque échéance.