FRIA

Une évaluation de l'impact sur les droits fondamentaux (Fundamental Rights Impact Assessment, FRIA) est un processus structuré qui identifie, analyse et documente les impacts potentiels d'un système d'IA sur les droits fondamentaux protégés par le droit de l'UE, notamment le droit à la non-discrimination, la vie privée, la dignité et l'accès aux services essentiels. La FRIA va au-delà d'une analyse de risque technique pour examiner comment le déploiement de l'IA peut affecter des individus et des groupes dans la société.

L'article 27 du EU AI Act impose aux déployeurs de certains systèmes à haut risque de réaliser une FRIA avant de mettre le système en service. Cette exigence s'applique spécifiquement aux organismes publics et aux entités privées fournissant des services essentiels comme la santé, l'éducation ou les services financiers. L'obligation de FRIA reconnaît que des systèmes à haut risque peuvent avoir des effets profonds sur les droits fondamentaux et que ces impacts doivent être évalués et atténués de manière systématique avant déploiement. Elle représente une extension significative au-delà des analyses d'impact relatives à la protection des données (DPIA) requises par le RGPD. Alors qu'une DPIA se concentre principalement sur le traitement des données personnelles et les risques pour la vie privée, une FRIA examine des impacts sociétaux plus larges : discrimination potentielle, atteintes à la dignité et effets sur l'accès aux services. Les organisations soumises aux deux obligations devraient coordonner ces évaluations tout en reconnaissant leurs périmètres distincts.

Réaliser une FRIA conforme nécessite une approche systématique. Les organisations doivent d'abord identifier quels droits fondamentaux peuvent être affectés, en considérant à la fois les impacts directs sur les personnes concernées et les effets indirects sur des populations plus larges. L'évaluation doit documenter des risques spécifiques, leur probabilité et gravité, ainsi que les mesures d'atténuation mises en place. Les éléments clés incluent : identification des droits affectés (non-discrimination, vie privée, liberté d'expression), analyse de la manière dont la conception et le déploiement du système peuvent impacter ces droits, évaluation des garde-fous et mesures d'atténuation, et documentation des risques résiduels que les parties prenantes doivent accepter. Les organisations devraient aussi définir des processus de revue continue à mesure que le système fonctionne et que le contexte évolue.

La FRIA doit être réalisée avant le déploiement du système à haut risque et mise à jour lorsque des changements significatifs surviennent.