Aller au contenu

Créer une FRIA : guide selon l'art. 27 EU AI Act

L'évaluation de l'impact sur les droits fondamentaux (FRIA) est requise selon l'art. 27 pour les déployeurs de certaines catégories d'IA à haut risque (organismes publics, prestataires de services publics et certains systèmes de l'annexe III). Ce guide vous montre étape par étape comment créer une FRIA selon l'art. 27 du règlement (UE) 2024/1689.

Mis à jour: Mars 202612 min de lecture

Qu'est-ce qu'une FRIA ?

La Fundamental Rights Impact Assessment (FRIA) – en français : évaluation de l'impact sur les droits fondamentaux – est un document requis selon l'art. 27 du règlement (UE) 2024/1689 (EU AI Act) pour les déployeurs de certaines catégories d'IA à haut risque – notamment les organismes publics, les prestataires de services publics et certains systèmes de l'annexe III.

La FRIA évalue l'impact d'un système d'IA sur les droits fondamentaux des personnes concernées – en particulier la non-discrimination, la protection des données, la dignité humaine et les droits procéduraux au titre de la Charte des droits fondamentaux de l'UE.

Qui doit créer une FRIA ?

En vertu de l'art. 27, paragraphe 1, EU AI Act, les déployeurs suivants doivent réaliser une FRIA avant la mise en service d'un système d'IA à haut risque :

  • Organismes de droit public – autorités publiques, administrations, agences gouvernementales
  • Déployeurs privés fournissant des services publics – par ex. dans les domaines de la santé, de l'éducation, des infrastructures
  • Déployeurs de systèmes d'IA visés à l'annexe III, point 5 b) – évaluation de la solvabilité et notation de crédit
  • Déployeurs de systèmes d'IA visés à l'annexe III, point 4 – emploi, gestion du personnel et accès au travail indépendant

Contenus obligatoires d'une FRIA selon l'art. 27

L'art. 27, paragraphe 3, EU AI Act définit les contenus minimaux :

  1. Description des processus du déployeur – Comment le système d'IA est-il intégré dans les processus existants ?
  2. Période et fréquence d'utilisation – À quelle fréquence et pendant combien de temps le système est-il utilisé ?
  3. Catégories de personnes concernées – Qui est directement ou indirectement concerné ? Attention particulière aux groupes vulnérables.
  4. Risques de préjudice spécifiques – Quels risques concrets existent pour les droits fondamentaux des personnes concernées ?
  5. Description du contrôle humain – Qui surveille le système ? Quelles possibilités d'intervention existent ?
  6. Mesures d'atténuation des risques – Mesures techniques et organisationnelles pour les risques identifiés

Étape par étape : créer une FRIA

Étape 1 : identifier et classifier le système d'IA

Décrivez votre système d'IA avec précision : quelle est sa finalité ? Dans quel domaine d'application est-il utilisé ? Sous quelle catégorie de l'annexe III se classe-t-il ?

Étape 2 : identifier les droits fondamentaux concernés

Examinez systématiquement quels droits fondamentaux de la Charte des droits fondamentaux de l'UE pourraient être affectés :

  • Art. 1 – Dignité humaine : la dignité des personnes concernées est-elle préservée ?
  • Art. 8 – Protection des données : des données personnelles sont-elles traitées ?
  • Art. 21 – Non-discrimination : existe-t-il un risque de discrimination fondée sur le sexe, l'origine ethnique, l'âge, le handicap ?
  • Art. 47 – Droit à un recours effectif : les personnes concernées peuvent-elles contester les décisions ?

Consultez également les directives européennes anti-discrimination pertinentes : directive 2000/43/CE (directive sur l'égalité raciale), directive 2000/78/CE (directive-cadre sur l'égalité de traitement) et directive 2006/54/CE (égalité de traitement en matière d'emploi).

Étape 3 : analyser les groupes de personnes concernés

Identifiez tous les groupes de personnes concernés. L'art. 27, paragraphe 3, point c) exige une attention particulière pour les groupes vulnérables :

  • Mineurs et personnes âgées
  • Personnes en situation de handicap
  • Minorités ethniques et religieuses
  • Personnes en situation de précarité économique ou sociale

Estimez le nombre de personnes concernées annuellement – ce chiffre est pertinent pour l'évaluation des risques et la notification à l'autorité de surveillance.

Étape 4 : réaliser l'évaluation des risques

Pour chaque droit fondamental identifié, évaluez :

DimensionDescription
ProbabilitéQuelle est la probabilité d'une violation des droits fondamentaux ? (Faible / Moyenne / Élevée)
GravitéQuelle serait la gravité de l'impact ? (Faible / Moyenne / Grave)
RéversibilitéLes effets peuvent-ils être inversés ?
Nombre de personnes concernéesCombien de personnes sont potentiellement concernées ?

Étape 5 : définir les mesures d'atténuation des risques

Décrivez des mesures concrètes pour chaque risque identifié :

  • Mesures techniques : tests de biais, métriques d'équité, contrôles de qualité des données
  • Mesures organisationnelles : formations, politiques internes, procédures de réclamation
  • Contrôle humain : human-in-the-loop, human-on-the-loop, mécanismes de dérogation

Étape 6 : mettre en place les processus de surveillance

La FRIA n'est pas un document ponctuel – l'art. 27, paragraphe 4 exige une mise à jour régulière en cas de modifications substantielles du système ou de son contexte de déploiement.

Étape 7 : notification à l'autorité de surveillance

En vertu de l'art. 27, paragraphe 5, EU AI Act, les déployeurs doivent notifier les résultats de la FRIA à l'autorité de surveillance du marché compétente. En France, il s'agit principalement de la CNIL (protection des données) et de la DGE (Direction générale des entreprises).

Erreurs fréquentes dans la FRIA

  1. Trop générique – La FRIA doit être spécifiquement adaptée à votre système d'IA
  2. Oubli des groupes vulnérables – L'art. 27 exige explicitement leur prise en compte
  3. Pas d'estimation quantitative – Le nombre de personnes concernées est manquant
  4. Mesures sans attribution – Chaque risque nécessite des contre-mesures concrètes
  5. Création unique – La FRIA doit être régulièrement mise à jour

Créer une FRIA automatiquement avec AIvunera

AIvunera génère un brouillon de FRIA personnalisé sur la base des détails de votre système – avec références aux articles, évaluations des risques et hypothèses signalées. Le brouillon couvre tous les contenus obligatoires selon l'art. 27 et constitue une base à 80 % pour la révision juridique.

Générer votre brouillon de FRIA – à partir de 149 € HT →

Brouillons de conformité

FRIA, Documentation technique et Avis de transparence – générés par IA pour votre système. À partir de 149 €.

Générer les brouillons
Vérifier maintenant

Prêt pour la conformité EU AI Act ?

Brouillons de documents prêts pour révision – générés par IA, adaptés à votre système. À partir de 149 €.

Générer les brouillonsAnalyse de risque gratuite
Créer une FRIA : guide selon l'art. 27 EU AI Act | AIvunera