Le Règlement européen sur l'IA introduit un nouvel outil de conformité puissant que de nombreuses organisations commencent à peine à appréhender : l'évaluation de l'impact sur les droits fondamentaux, ou FRIA (Fundamental Rights Impact Assessment). Contrairement aux évaluations de conformité technique centrées sur les spécifications des systèmes, la FRIA exige des déployeurs qu'ils examinent comment leurs systèmes d'IA affectent les droits fondamentaux des personnes réelles — du respect de la vie privée et de la non-discrimination à la dignité humaine et à l'accès à la justice. Avec l'échéance de conformité fixée à août 2026, les organisations déployant des systèmes d'IA à haut risque doivent comprendre non seulement ce qu'est une FRIA, mais aussi comment la mener efficacement. Ce guide fournit un cadre complet, des modèles pratiques et des exemples sectoriels pour vous aider à respecter vos obligations au titre de l'article 27 du Règlement européen sur l'IA.
Qu'est-ce qu'une évaluation de l'impact sur les droits fondamentaux (FRIA) ?
Une évaluation de l'impact sur les droits fondamentaux est un processus d'évaluation systématique conçu pour identifier, évaluer et atténuer les impacts négatifs potentiels des systèmes d'IA à haut risque sur les droits fondamentaux des individus. Imposée par l'article 27 du Règlement européen sur l'IA, la FRIA constitue la première évaluation d'impact au monde juridiquement contraignante portant spécifiquement sur l'IA et les droits fondamentaux.
La FRIA examine les impacts potentiels sur l'ensemble des droits protégés par la Charte des droits fondamentaux de l'Union européenne, notamment la dignité humaine (article 1), le droit à la vie et à l'intégrité (articles 2-3), le respect de la vie privée et familiale (article 7), la protection des données à caractère personnel (article 8), la non-discrimination (article 21), l'égalité entre les femmes et les hommes (article 23), les droits de l'enfant, des personnes âgées et des personnes handicapées (articles 24-26), la liberté d'expression (article 11) et le droit à un recours effectif et à un procès équitable (article 47).
L'évaluation constitue une mesure proactive, aidant les organisations à identifier et traiter les préjudices potentiels avant qu'ils ne surviennent. Correctement menée, une FRIA garantit non seulement la conformité réglementaire, mais fournit également une assurance éthique et une position défendable face aux régulateurs et aux tribunaux.
FRIA et AIPD : comprendre les différences essentielles
De nombreuses organisations supposent à tort que la FRIA n'est qu'un nouveau nom pour l'analyse d'impact relative à la protection des données (AIPD) déjà exigée par le RGPD. Si les deux évaluations analysent les risques et partagent des similitudes méthodologiques, elles diffèrent considérablement en termes de portée et d'objet.
L'AIPD au titre de l'article 35 du RGPD est principalement axée sur la protection des données et la vie privée (articles 7-8 de la Charte), déclenchée par un traitement à haut risque de données à caractère personnel, le responsable du traitement étant la partie responsable. La FRIA au titre de l'article 27 du Règlement sur l'IA couvre tous les droits fondamentaux de la Charte de l'UE, est déclenchée par le déploiement de systèmes d'IA à haut risque, le déployeur étant la partie responsable — et s'applique indépendamment du traitement de données à caractère personnel.
Le Règlement européen sur l'IA reconnaît explicitement cette relation de complémentarité. L'article 27(4) stipule que si les obligations au titre de la FRIA sont déjà satisfaites par une AIPD réalisée en vertu du RGPD, la FRIA doit compléter cette évaluation. En pratique, les organisations mèneront souvent les deux évaluations simultanément et pourront les consolider en un rapport intégré unique — mais la portée de la FRIA est fondamentalement plus large.
Une différence méthodologique cruciale réside dans le fait que la FRIA exige une évaluation droit par droit. Il n'est pas admissible de compenser un impact négatif sur un droit (comme la non-discrimination) par un impact positif sur un autre droit (comme l'efficacité opérationnelle). Chaque droit doit être évalué indépendamment.
Quand la FRIA est-elle obligatoire au titre du Règlement européen sur l'IA ?
L'obligation de réaliser une FRIA ne s'applique pas à tout déployeur d'un système d'IA à haut risque. L'article 27 définit des catégories spécifiques de déployeurs tenus de mener cette évaluation.
Les organismes publics régis par le droit public doivent réaliser une FRIA avant de déployer des systèmes d'IA à haut risque figurant à l'annexe III. Ces organismes sont créés pour répondre à des besoins d'intérêt général, disposent de la personnalité juridique, sont financés principalement par l'État ou les autorités publiques, ou sont soumis à un contrôle de gestion par les autorités publiques.
Les entités privées fournissant des services publics entrent également dans le champ d'application. Cela inclut les entités opérant dans les domaines de l'éducation, de la santé, des services sociaux, du logement et de l'administration de la justice. L'emploi du terme général « services publics » sans critères restrictifs suggère une intention législative de couvrir tout déployeur dont les services affectent raisonnablement l'intérêt public.
Indépendamment du statut public ou privé, les déployeurs doivent réaliser des FRIA pour les systèmes d'IA destinés à évaluer la solvabilité ou à établir des scores de crédit (à l'exception de ceux utilisés pour détecter les fraudes financières), ainsi que pour les systèmes d'IA d'évaluation des risques et de tarification en assurance vie et santé.
- Organismes publics utilisant l'IA à haut risque pour les services publics
- Entités privées fournissant des services essentiels (éducation, santé, services sociaux, logement)
- Tous les déployeurs utilisant l'IA pour l'évaluation de la solvabilité ou la notation de crédit
- Tous les déployeurs utilisant l'IA pour l'évaluation des risques et la tarification en assurance vie et santé
Catégories d'IA à haut risque soumises à la FRIA
Pour les organismes publics et les entités privées fournissant des services publics, les FRIA sont requises pour les systèmes d'IA relevant de la plupart des catégories de l'annexe III.
La catégorie 1 (Biométrie) couvre les systèmes d'identification biométrique à distance, la catégorisation biométrique fondée sur des attributs sensibles et les systèmes de reconnaissance des émotions. La catégorie 3 (Éducation) inclut les systèmes déterminant l'accès ou l'admission dans les établissements d'enseignement, évaluant les résultats d'apprentissage, déterminant le niveau d'éducation approprié et surveillant les comportements interdits lors des examens.
La catégorie 4 (Emploi) couvre les systèmes de recrutement et de sélection, les systèmes influençant les décisions professionnelles (promotion, licenciement, attribution des tâches) et les systèmes de suivi et d'évaluation des performances. La catégorie 5 (Services essentiels) inclut les systèmes évaluant l'éligibilité aux prestations d'aide publique, l'évaluation de la solvabilité, l'évaluation des risques en assurance vie et santé, ainsi que la classification et l'orientation des appels d'urgence.
La catégorie 6 (Maintien de l'ordre) couvre l'évaluation des risques pour les victimes, les systèmes de type polygraphe, l'évaluation de la fiabilité des preuves, l'évaluation du risque de récidive et les systèmes de profilage. La catégorie 7 (Migration) inclut les systèmes d'évaluation des risques, l'examen des demandes d'asile et de visa, et les systèmes d'identification. La catégorie 8 (Justice) couvre les systèmes assistant les autorités judiciaires et le règlement alternatif des litiges.
Une exemption notable : les systèmes d'IA utilisés comme composants de sécurité dans les infrastructures numériques critiques, la circulation routière ou l'approvisionnement en services publics ne sont pas soumis aux exigences de la FRIA.
Modèle de FRIA : sections clés
L'article 27(1) précise les éléments obligatoires que toute FRIA doit contenir. Le Bureau européen de l'IA élabore actuellement un questionnaire-modèle officiel pour faciliter la conformité, mais les organisations devraient structurer leurs évaluations autour de ces composantes requises.
La section 1 couvre la description du système et la finalité prévue. Documentez les processus du déployeur dans lesquels le système d'IA sera utilisé, en adéquation avec la finalité prévue telle que définie par le fournisseur. Les informations requises comprennent le nom et la version du système d'IA, les coordonnées du fournisseur, une description claire de la finalité prévue, les cas d'utilisation spécifiques au sein de votre organisation, le contexte et l'environnement opérationnels, et les spécifications techniques pertinentes pour les impacts sur les droits.
La section 2 couvre la durée et la fréquence d'utilisation. Documentez la date de début de déploiement prévue, la durée attendue (indéterminée, à durée déterminée, pilote), la fréquence d'utilisation du système (continue, périodique, déclenchée par un événement), les indicateurs de volume (nombre de décisions par jour/semaine/mois) et le périmètre géographique.
La section 3 couvre les catégories de personnes concernées. Identifiez les utilisateurs directs, les personnes soumises aux décisions de l'IA, les tiers indirectement affectés et les groupes démographiques spécifiques. Les populations vulnérables nécessitant une attention particulière comprennent les enfants, les personnes âgées, les personnes handicapées, les groupes socioéconomiquement défavorisés, les minorités ethniques ou religieuses, les personnes allophones et les personnes ayant une culture numérique limitée.
La section 4 couvre les risques spécifiques aux droits fondamentaux. Pour chaque droit potentiellement affecté, évaluez la probabilité (rare à quasi certaine), la gravité (négligeable à catastrophique), la réversibilité (facilement réversible à irréversible) et l'ampleur de la population affectée (individuelle à sociétale).
La section 5 couvre les mesures de contrôle humain. Documentez les personnes désignées responsables du contrôle, les exigences de qualification et de formation, les capacités d'intervention, les procédures d'escalade, les protocoles de surveillance et les exigences de documentation.
La section 6 couvre les mesures d'atténuation des risques. Incluez les mesures techniques (tests de biais, seuils de précision, contrôles de qualité des données, journalisation), les mesures organisationnelles (structures de gouvernance, politiques, formations, cycles de revue) et les garanties procédurales (droit au réexamen humain, mécanismes de réclamation, voies de recours accessibles, procédures de repli).
Comment réaliser une FRIA : guide étape par étape
Étape 1 : Déterminer l'applicabilité de la FRIA. Confirmez qu'une FRIA est requise en vérifiant si votre système d'IA est classé à haut risque au titre de l'article 6 et de l'annexe III, si votre organisation est un organisme public ou une entité privée fournissant des services publics, ou si le système d'IA relève de l'annexe III point 5(b) ou (c) pour l'évaluation de crédit ou d'assurance.
Étape 2 : Collecter les informations auprès du fournisseur d'IA. Le processus de FRIA dépend fortement des informations que les fournisseurs sont tenus de fournir en vertu des articles 11 à 13, notamment la documentation technique conforme à l'annexe IV, les instructions d'utilisation, les capacités et limitations du système, les risques connus et les mesures d'atténuation, ainsi que les données relatives aux jeux de données d'entraînement et aux biais potentiels.
Étape 3 : Constituer votre équipe d'évaluation. Les FRIA requièrent des compétences diversifiées, notamment des professionnels juridiques et de la conformité, des délégués à la protection des données, des experts techniques, des experts métier (RH, santé, finance), des représentants comprenant les communautés concernées et des professionnels de la gestion des risques.
Étape 4 : Cartographier les personnes et les droits affectés. Dressez la liste de toutes les catégories de personnes qui interagissent avec le système ou sont affectées par celui-ci, identifiez quels droits fondamentaux pourraient être impactés pour chaque catégorie, et prenez en compte les impacts directs et indirects.
Étape 5 : Mener l'analyse de risques. Pour chaque droit identifié comme étant à risque, décrivez le scénario de préjudice potentiel, évaluez la probabilité et la gravité, attribuez un niveau de risque, et documentez votre raisonnement et vos éléments probants.
Étape 6 : Concevoir les mesures d'atténuation. Pour chaque risque identifié, proposez des mesures spécifiques, évaluez leur faisabilité, estimez le risque résiduel après atténuation, documentez la responsabilité de la mise en œuvre et établissez des mécanismes de suivi.
Étapes 7 à 10 : Documentez les dispositifs de contrôle humain, mettez en place des mécanismes de réclamation et de recours, obtenez la validation et l'approbation du service juridique et de la direction de l'organisation, et notifiez l'autorité de surveillance du marché après achèvement.
Exemples de FRIA par secteur
Exemple dans les services financiers — notation de crédit : Une banque déployant l'IA pour l'évaluation de la solvabilité doit identifier les groupes concernés (demandeurs de prêt, avec un risque accru pour les populations historiquement mal desservies), les principaux droits en jeu (non-discrimination, droit de propriété, accès aux services essentiels), les facteurs de risque (les données d'entraînement peuvent refléter des biais historiques, les variables proxy pourraient corréler avec des caractéristiques protégées), et mettre en œuvre des mesures d'atténuation incluant des audits de biais réguliers, des voies d'évaluation alternatives, un réexamen humain pour les cas limites et des explications claires des facteurs de décision.
Exemple de triage par IA en milieu hospitalier : Un service des urgences hospitalier utilisant l'IA pour prioriser les soins aux patients doit traiter les groupes concernés (tous les patients des urgences, avec une attention accrue pour les personnes âgées, handicapées et allophones), les principaux droits (droit à la vie, accès aux soins de santé, dignité humaine, non-discrimination), les facteurs de risque (biais potentiel dans la reconnaissance des symptômes selon les groupes démographiques), et s'assurer que l'IA sert uniquement d'aide à la décision avec une évaluation clinique humaine obligatoire.
Exemple de présélection en recrutement RH : Une entreprise utilisant l'IA pour présélectionner des CV doit prendre en compte les groupes concernés (tous les candidats, en particulier ceux ayant des parcours atypiques, des interruptions de carrière, des diplômes étrangers), les principaux droits (non-discrimination, droit au travail, égalité entre les femmes et les hommes), les facteurs de risque (les données historiques de recrutement peuvent encoder des biais), et mettre en œuvre des mesures incluant l'anonymisation des caractéristiques protégées, des tests de biais réguliers et un réexamen humain des candidatures rejetées dans les groupes sous-représentés.
Intégrer la FRIA aux autres exigences de conformité
Articulation avec l'AIPD du RGPD : Lorsqu'un système d'IA traite des données à caractère personnel, vous avez probablement besoin à la fois d'une AIPD et d'une FRIA. Les stratégies incluent la réalisation simultanée des deux évaluations, la construction à partir de l'AIPD existante en l'étendant aux droits supplémentaires, l'utilisation de cadres d'évaluation des risques cohérents, la consolidation de la documentation et la coordination des mesures de surveillance.
Lien avec la documentation technique de l'annexe IV : Les déployeurs réalisant des FRIA doivent demander la documentation de l'annexe IV aux fournisseurs, utiliser les évaluations de risques du fournisseur comme données d'entrée, vérifier que les mesures documentées par le fournisseur sont bien mises en œuvre dans votre contexte de déploiement, et documenter tout risque spécifique au déploiement non couvert par la documentation du fournisseur.
Relation avec l'évaluation de la conformité : Bien que l'évaluation de la conformité soit principalement une obligation du fournisseur, les déployeurs doivent vérifier que le système d'IA a fait l'objet d'une évaluation de la conformité, comprendre ce qu'elle a couvert, et reconnaître que l'évaluation de la conformité porte sur les exigences techniques tandis que la FRIA traite des impacts spécifiques au déploiement sur les droits fondamentaux.
Enregistrement dans la base de données de l'UE : Les systèmes d'IA à haut risque doivent être enregistrés dans la base de données de l'UE en vertu de l'article 71. Assurez-vous que votre système est dûment enregistré par le fournisseur et que les informations d'enregistrement sont cohérentes avec votre documentation FRIA.
Sanctions et application
Le non-respect des exigences relatives à la FRIA expose les organisations à des sanctions significatives dans le cadre du régime d'application du Règlement européen sur l'IA : des amendes pouvant atteindre 15 millions d'EUR ou 3 % du chiffre d'affaires annuel mondial total pour les violations des obligations des déployeurs, y compris les exigences relatives à la FRIA. Les autorités de surveillance du marché disposent du pouvoir d'enquêter et d'exiger des actions correctives.
Au-delà des sanctions formelles, l'absence de FRIA adéquates engendre un risque réputationnel lié aux violations des droits fondamentaux, une responsabilité juridique en cas de matérialisation des préjudices, et un risque opérationnel si les autorités exigent des modifications du système ou son retrait.
Calendrier et prochaines étapes
Dates clés : 2 août 2025 pour les pratiques d'IA interdites, 2 août 2026 pour les exigences de l'article 27 relatives à la FRIA, et 2 août 2027 délai prolongé pour certains systèmes d'IA du secteur public.
Plus de 12 mois avant l'échéance : Inventoriez tous les systèmes d'IA, classez-les par niveau de risque, identifiez ceux nécessitant une FRIA, commencez à collecter les informations auprès des fournisseurs, mettez en place les structures de gouvernance.
6 à 12 mois avant l'échéance : Élaborez les modèles et procédures de FRIA, formez le personnel, réalisez des FRIA pilotes, établissez des relations avec les autorités de surveillance du marché, mettez en œuvre les mesures techniques de contrôle humain.
3 à 6 mois avant l'échéance : Finalisez les FRIA pour tous les systèmes concernés, documentez les mesures d'atténuation et vérifiez leur mise en œuvre, mettez en place les mécanismes de réclamation et de recours, préparez les notifications à soumettre.
En continu après la mise en conformité : Surveillez les systèmes d'IA pour détecter les changements nécessitant une mise à jour de la FRIA, suivez les orientations réglementaires du Bureau de l'IA, menez des revues périodiques, maintenez la documentation et les pistes d'audit.
Foire aux questions
Quelle est la différence entre la FRIA et l'AIPD ?
L'AIPD au titre de l'article 35 du RGPD porte spécifiquement sur les droits relatifs à la protection des données et à la vie privée lors du traitement de données à caractère personnel. La FRIA au titre de l'article 27 du Règlement sur l'IA a une portée plus large, évaluant les impacts sur tous les droits fondamentaux de la Charte de l'UE — y compris la non-discrimination, la dignité, la liberté d'expression, l'accès à la justice, et bien d'autres. De plus, les FRIA peuvent être requises même en l'absence de traitement de données à caractère personnel. Si les organisations peuvent intégrer les deux évaluations, la FRIA nécessitera généralement une analyse complémentaire au-delà de ce que couvre l'AIPD.
Qui est responsable de la réalisation de la FRIA ?
L'obligation de FRIA incombe aux déployeurs de systèmes d'IA à haut risque, et non aux fournisseurs. Cependant, les fournisseurs jouent un rôle de soutien en fournissant les informations nécessaires aux déployeurs pour mener leurs évaluations. En pratique, les déployeurs peuvent s'appuyer sur des FRIA ou des évaluations d'impact antérieurement réalisées par les fournisseurs si les circonstances sont suffisamment similaires — mais la responsabilité et l'obligation de rendre des comptes restent en dernier ressort celles du déployeur.
À quelle fréquence la FRIA doit-elle être mise à jour ?
La FRIA doit être réalisée avant le premier déploiement du système d'IA à haut risque. Des mises à jour sont requises chaque fois que le déployeur constate que l'un des éléments évalués a changé ou n'est plus d'actualité. Cela inclut les modifications du système d'IA lui-même, les changements de contexte de déploiement, les évolutions des populations concernées ou l'apparition de nouvelles informations sur les risques. Les organisations doivent établir des cycles de revue périodiques pour identifier de manière proactive les mises à jour nécessaires.
Le Bureau de l'IA fournit-il un modèle officiel de FRIA ?
L'article 27(5) exige que le Bureau européen de l'IA élabore un questionnaire-modèle, comprenant un outil automatisé, pour aider les déployeurs à se conformer aux obligations de la FRIA. Début 2026, ce modèle officiel n'a pas encore été publié. Les organisations doivent développer leurs propres modèles sur la base des exigences de l'article 27 tout en surveillant la publication des orientations officielles. Lorsque le modèle officiel sera publié, les organisations devront potentiellement adapter leurs évaluations pour s'y conformer.
Peut-on utiliser une AIPD existante pour satisfaire aux exigences de la FRIA ?
Partiellement. L'article 27(4) permet aux déployeurs de s'appuyer sur des AIPD existantes lors de la réalisation des FRIA. Si certaines obligations de la FRIA sont déjà satisfaites par une AIPD, la FRIA doit compléter cette évaluation plutôt que de la dupliquer. Toutefois, compte tenu de la portée plus large de la FRIA couvrant l'ensemble des droits fondamentaux (et pas uniquement la protection des données), une analyse complémentaire sera presque toujours nécessaire au-delà de ce que couvre l'AIPD.
Que se passe-t-il si l'on identifie des risques élevés qui ne peuvent pas être atténués ?
Contrairement aux AIPD du RGPD, la FRIA est principalement une obligation documentaire et ne dispose pas du pouvoir de bloquer le déploiement d'un système d'IA à haut risque quels que soient les risques identifiés. Toutefois, le déploiement de systèmes présentant des risques élevés non atténués pour les droits fondamentaux engendre une exposition juridique, réputationnelle et opérationnelle considérable. Les organisations doivent soigneusement évaluer l'opportunité du déploiement lorsque des risques substantiels ne peuvent pas être traités de manière adéquate.
Points clés à retenir
La FRIA représente une nouvelle exigence de conformité majeure, mais constitue également une opportunité de démontrer un déploiement responsable de l'IA et de renforcer la confiance auprès des clients, des régulateurs et du public. Les organisations qui investissent dans des FRIA approfondies et réfléchies seront mieux positionnées pour identifier les risques en amont, mettre en place des garanties efficaces et naviguer dans le paysage réglementaire de l'IA en constante évolution. Les dates clés approchent : 2 août 2026 pour l'entrée en vigueur des exigences relatives à la FRIA. Commencez dès maintenant en inventoriant vos systèmes d'IA, en identifiant ceux nécessitant une FRIA et en développant les capacités d'évaluation dont votre organisation a besoin.