L’article 27 du règlement (UE) 2024/1689 impose à certains déployeurs de systèmes d’IA à haut risque de conduire, avant toute mise en service, une analyse d’impact sur les droits fondamentaux (communément dénommée « FRIA » pour « fundamental rights impact assessment »). Cette obligation, qui devait initialement s’appliquer dès le 2 août 2026, est repoussée au 2 décembre 2027 selon l’accord provisoire du 7 mai 2026 issu du paquet omnibus numérique.
Le délai gagné n’empêche pas d’anticiper : méthode complète par Maître Julien Riant pour se mettre en conformité.
1. Le calendrier d’application : la FRIA au coeur des négociations de l’accord Omnibus
Le règlement (UE) 2024/1689 (« AI Act » ou « RIA ») est entré en vigueur le 2 août 2024, mais son application est échelonnée. Les obligations relatives aux systèmes d’IA à haut risque visés à l’annexe III (au rang desquels se trouve la FRIA de l’article 27) devaient initialement s’appliquer au 2 août 2026.
Dans la nuit du 6 au 7 mai 2026, les négociateurs du Parlement européen et du Conseil sont parvenus à un accord provisoire sur la simplification de l’AI Act. Les obligations applicables aux SIA à haut risque de l’annexe III (dont la FRIA) sont repoussées au 2 décembre 2027. Celles relevant de l’annexe I basculent au 2 août 2028.
| Obligation | Date texte original | Après accord omnibus |
|---|---|---|
| Pratiques interdites (art. 5) — notation sociale, manipulation subliminale… | 2 février 2025 | ✅ Déjà applicable |
| Modèles à usage général GPAI — obligations des fournisseurs | 2 août 2025 | ✅ Déjà applicable |
| Transparence (art. 50) — information des personnes, marquage contenus IA | 2 août 2026 | ✅ Maintenue (nuances sur watermarking → 2 déc. 2026) (voir notre article sur la question) |
| FRIA (art. 27) — SIA à haut risque annexe III | 2 août 2026 | ⏳ Reporté au 2 décembre 2027 |
| SIA à haut risque annexe I (produits réglementés) | 2 août 2026 | ⏳ Reporté au 2 août 2028 |
⚠️ Cet accord reste provisoire et n’est pas encore formellement publié au Journal officiel de l’UE. Jusqu’à cette publication, c’est techniquement le texte original du RIA qui fait foi. L’adoption formelle est attendue avant le 2 août 2026.
2. Qui est tenu de réaliser une FRIA ?
La FRIA est une obligation du déployeur, pas du seul fournisseur. L’article 27 du règlement sur l’IA distingue deux rôles aux responsabilités distinctes.
| Rôle | Définition | Obligations principales | FRIA ? |
|---|---|---|---|
| Fournisseur | Développe le SIA et le met sur le marché ou en service (art. 3, 3) | Documentation technique (art. 11), notice d’utilisation (art. 13), système de gestion des risques (art. 9) | Non tenu mais fournit la documentation nécessaire au déployeur |
| Déployeur | Utilise le SIA sous sa propre autorité (art. 3, 4) : organisme de droit public ; entité privée fournissant des services publics ; entité bancaire ou d’assurance pour les usages annexe III, pt. 5, b) et c) | Utilisation conforme aux instructions, surveillance du fonctionnement, information des personnes, tenue des journaux, signalement des incidents | Oui c’est l’obligation principale au titre de l’art. 27 |
Précision pratique : le fournisseur n’est pas dispensé de toute contribution. Il est tenu de fournir au déployeur la documentation technique (art. 11) et la notice d’utilisation (art. 13) nécessaires à la FRIA, qui couvrent notamment les risques pour les droits fondamentaux et les mesures de contrôle humain prévues. La FRIA du déployeur s’appuie sur ces éléments, mais les complète et les contextualise.
La FRIA ne vise que les systèmes d’IA à haut risque (SIAHR), c’est-à-dire ceux qui relèvent des situations listées à l’annexe III (accès aux services publics, éducation, emploi, crédit, services de santé, sécurité, justice…) ou qui sont qualifiés de haut risque par d’autres dispositions du règlement (systèmes biométriques, reconnaissance faciale, usages répressifs).
Sont exclus les systèmes ne présentant aucun risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux notamment lorsqu’ils se bornent à assister une décision humaine préexistante sans l’influencer de manière significative.
3. Le contenu obligatoire de la FRIA
L’article 27, paragraphe 1, a), dresse une liste exhaustive des éléments que la FRIA doit impérativement comporter. 6 rubriques structurent l’analyse :
| # | Élément obligatoire | Ce qu’il faut documenter |
|---|---|---|
| 1 | Description du processus du déployeur | Processus métier ou administratifs dans lesquels le SIA intervient, conformément à sa destination |
| 2 | Période et fréquence d’utilisation | Durée prévue du déploiement ; fréquence : continue, périodique ou ponctuelle |
| 3 | Catégories de personnes et groupes concernés | Usagers, patients, contribuables, salariés, personnes vulnérables, etc. |
| 4 | Risques spécifiques de préjudice | Discrimination, atteinte à la dignité, à la vie privée, au procès équitable, etc. |
| 5 | Mesures de contrôle humain | Modalités concrètes, en cohérence avec la notice d’utilisation du fournisseur (art. 14) |
| 6 | Mesures en cas de matérialisation des risques | Gouvernance interne, suspension du système, mécanismes de plainte, notification aux autorités de surveillance |
4. Six étapes pour se mettre en conformité
Le texte et les premières recommandations permettent de dégager une méthode structurée, cohérente avec l’article 27 et les exigences générales du RIA, afin de mettre en œuvre sa conformité :
| Étape | Ce qu’il faut faire | Références RIA | |
|---|---|---|---|
| 1 | Qualifier le système et le déployeur | Vérifier que le SIA est bien à haut risque et que le déployeur relève d’une des catégories visées à l’art. 27. Si ces deux conditions ne sont pas réunies, l’obligation de FRIA au sens strict peut ne pas s’appliquer sans préjudice des autres obligations de gestion des risques. | Art. 6 à 8, Annexe III, Art. 27 |
| 2 | Cartographier les droits fondamentaux en jeu | Identifier les droits pertinents selon le contexte : dignité humaine (art. 1 CDF), non-discrimination (art. 21), égalité (art. 23), vie privée et données (art. 7 et 8 CDF, RGPD), liberté d’expression et de réunion (art. 11 et 12), droit au recours effectif et procès équitable (art. 47 et 48 CDF), droit à la sûreté. Adapter au secteur : santé, éducation, emploi, police, justice… | Charte des droits fondamentaux de l’UE, RGPD |
| 3 | Décrire le système et son contexte d’utilisation | Documenter la finalité du SIA, la nature de l’algorithme (apprentissage automatique, biométrie…), les données utilisées (entraînement, validation, données sensibles, personnes vulnérables), les bénéficiaires et personnes affectées, la période et la fréquence d’utilisation. S’appuyer sur la documentation technique et la notice d’utilisation fournies par le fournisseur. | Art. 11, Art. 13 |
| 4 | Identifier et analyser les risques pour les droits fondamentaux | Recenser les scénarios d’atteinte : biais algorithmiques et discriminations, risques pour la vie privée (profilage, surveillance, croisement massif de données), risques pour la dignité ou la liberté d’expression dans les systèmes de notation sociale, risques pour le procès équitable en contexte judiciaire ou policier. Évaluer la probabilité et la gravité de chaque risque, avec un coefficient de vulnérabilité pour les mineurs, malades ou demandeurs d’emploi. | Art. 9, Art. 27 |
| 5 | Définir et documenter les mesures d’atténuation | Mesures sur les données (qualité, représentativité, détection des biais) ; sur le design (paramétrage, seuils d’alerte, robustesse, cybersécurité) ; contrôle humain (personnes habilitées à suspendre le système, double contrôle pour les usages biométriques) ; transparence et traçabilité (journaux d’utilisation) ; gouvernance interne (responsables désignés, mécanismes de plainte, audits périodiques). | Art. 9, Art. 12, Art. 14, Art. 15 |
| 6 | Formaliser, notifier et maintenir à jour | Rédiger le rapport de FRIA reprenant tous les éléments de l’art. 27 ; le notifier à l’autorité de surveillance du marché compétente (sauf exceptions art. 46, §1) ; l’intégrer au système de gestion de la qualité ; le réviser en cas de modification substantielle du SIA ou de son contexte d’utilisation. | Art. 27, Art. 46, §1 |
5. Articulation entre la FRIA et l’AIPD
Le règlement IA ne se substitue pas au RGPD : les deux textes coexistent et se complètent. Lorsque le SIA traite des données personnelles (ce qui sera très souvent le cas) deux analyses distinctes doivent être conduites.
| Critère | AIPD (RGPD, art. 35) | FRIA (RIA, art. 27) |
|---|---|---|
| Obligation portée par | Responsable de traitement | Déployeur du SIA |
| Champ matériel | Protection des données personnelles uniquement | Tous les droits fondamentaux (dignité, non-discrimination, libertés, procès équitable…) |
| Déclencheur | Risque élevé pour les droits et libertés (nouvelles technologies, grande échelle, données sensibles, décisions automatisées…) | SIA à haut risque déployé par une entité visée à l’art. 27 |
| Mutualisation possible ? | Oui : l’art. 27 al. 4 du RIA prévoit expressément que la FRIA complète l’AIPD. La documentation produite pour l’AIPD peut être réutilisée. Mais les deux analyses restent distinctes : l’AIPD ne vaut pas FRIA. | |
Recommandation pratique. Conduire les deux analyses en parallèle permet de mutualiser les travaux de cartographie (identification des données traitées, des personnes concernées, des risques), tout en veillant à couvrir dans la FRIA les droits non adressés par l’AIPD.
Si vous avez besoin de l’avis d’un avocat en droit de l’intelligence artificielle pour vous assistez dans votre conformité à la nouvelle réglementation de l’IA act ou pour réaliser votre analyse d’impact sur les droits fondamnetaux, vous pouvez réserver un entretien en cliquant ici.
L’auteur
Avocat au Barreau de Paris (8 ans d’expérience), Maître Julien Riant est expert en droit de la propriété intellectuelle et du numérique. Également chargé d’enseignement à l’université Paris-Cité, Versailles et de Nantes, il apporte une vision stratégique et rigoureuse aux procédures complexes, à Paris et partout en France, que ce soit au stade de la mise en demeure qu’en phase de litige.