FRIA : qu'est-ce que c'est, qui doit en faire une, et combien ça coûte vraiment ?
La Fundamental Rights Impact Assessment (FRIA) est l'un des documents les plus redoutés de l'AI Act. Pourtant, la plupart des entreprises ne savent toujours pas exactement ce qu'elle doit contenir — ni ce que sa rédaction va leur coûter.
La Fundamental Rights Impact Assessment (FRIA) est l'un des documents les plus redoutés de l'AI Act. Pourtant, la plupart des entreprises ne savent toujours pas exactement ce qu'elle doit contenir — ni ce que sa rédaction va leur coûter.
Temps de lecture : 8 minutes
1. FRIA : définition et contexte réglementaire
La Fundamental Rights Impact Assessment — ou évaluation de l'impact sur les droits fondamentaux — est un document imposé par l'article 27 du Règlement européen sur l'intelligence artificielle (AI Act, Règlement UE 2024/1689).
Son objectif : forcer les organisations qui déploient des systèmes d'IA à haut risque à s'interroger, avant la mise en production, sur les effets concrets de ces systèmes sur les droits des personnes : droit à la non-discrimination, droit à la vie privée, droit à un recours effectif, accès aux services essentiels.
La FRIA s'inspire de l'AIPD (Analyse d'Impact relative à la Protection des Données) du RGPD, que beaucoup d'entreprises connaissent déjà. Mais elle va plus loin : là où l'AIPD se concentre sur les données personnelles, la FRIA couvre l'ensemble des droits fondamentaux garantis par la Charte des droits fondamentaux de l'Union européenne.
Date d'entrée en application : les obligations pour les systèmes à haut risque sont applicables à partir du 2 août 2026. Il reste moins d'un an pour se mettre en conformité.
2. Qui est obligé d'en faire une ?
L'article 27 ne s'applique pas à toutes les entreprises ni à tous les systèmes IA. Deux conditions cumulatives doivent être réunies.
Condition 1 : vous êtes déployeur d'un système à haut risque
Un déployeur est une organisation qui utilise un système IA développé par un tiers dans le cadre de ses activités professionnelles. Si vous avez acheté ou licencié un outil IA pour scorer des candidatures, évaluer la solvabilité de clients, orienter des étudiants ou prioriser des patients, vous êtes déployeur.
Les systèmes à haut risque sont listés à l'Annexe III de l'AI Act. Les domaines concernés sont :
- Ressources humaines : tri de CV, évaluation de candidats, outils de gestion de performance
- Crédit et assurance : scoring de solvabilité, calcul de primes
- Éducation : admission, notation automatisée, orientation scolaire
- Santé : aide au diagnostic, triage de patients
- Services sociaux : éligibilité aux prestations, attribution de logements
- Justice : outils d'aide à la décision judiciaire, évaluation du risque de récidive
- Infrastructures critiques : gestion d'énergie, eau, transport
- Migration et contrôle aux frontières
- Biométrie : reconnaissance faciale, identification à distance
Condition 2 : vous êtes un organisme public ou une entreprise privée dans certains contextes
L'article 27 impose la FRIA à :
- Tous les organismes publics déployant un système à haut risque
- Les entreprises privées déployant un système à haut risque lorsque ce déploiement peut affecter un nombre significatif de personnes
En pratique, si votre système IA prend ou influence des décisions sur des personnes, vous êtes très probablement concerné.
À noter : les fournisseurs de systèmes IA ont d'autres obligations (documentation technique Annexe IV, déclaration de conformité UE, enregistrement dans la base de données EU) mais ne sont pas directement soumis à l'article 27. La FRIA est la responsabilité du déployeur.
3. Ce que doit contenir une FRIA selon l'AI Act
L'article 27 liste les éléments obligatoires. Voici ce que la FRIA doit couvrir dans le détail.
3.1 Description du système et de son usage
La FRIA commence par une description précise du système IA déployé : son fonctionnement, les données qu'il utilise en entrée, ce qu'il produit en sortie, et surtout l'usage concret que l'organisation en fait. Une même technologie peut avoir des niveaux de risque très différents selon qu'elle est utilisée pour recommander des films ou décider d'une embauche.
3.2 Périmètre géographique et temporel
L'évaluation doit délimiter les populations affectées : nombre de personnes, zones géographiques, durée prévue de déploiement. Plus le périmètre est large, plus l'analyse doit être approfondie.
3.3 Identification des droits fondamentaux potentiellement affectés
C'est le cœur de la FRIA. L'organisation doit passer en revue les droits de la Charte et identifier lesquels peuvent être affectés :
- Article 1 — Dignité humaine : le système traite-t-il les personnes de manière dégradante ?
- Article 7 — Vie privée : quelles données personnelles sont traitées, comment ?
- Article 8 — Protection des données : conformité RGPD intégrée ?
- Article 21 — Non-discrimination : le système produit-il des résultats différents selon le genre, l'origine, l'âge ?
- Article 22 — Droits de l'enfant : des mineurs sont-ils concernés ?
- Article 47 — Droit à un recours effectif : les personnes peuvent-elles contester une décision ?
3.4 Probabilité et gravité des risques identifiés
Pour chaque risque, la FRIA doit évaluer deux dimensions :
- La probabilité que le risque se matérialise (rare, possible, probable, quasi-certain)
- La gravité des conséquences (mineure, modérée, grave, critique)
Cette matrice probabilité × gravité permet de prioriser les mesures correctives.
3.5 Mesures d'atténuation prévues
Pour chaque risque identifié, l'organisation doit décrire les mesures concrètes mises en place :
- Supervision humaine renforcée sur certaines décisions
- Tests de biais réguliers sur les résultats du système
- Mécanismes de recours accessibles aux personnes affectées
- Formation des opérateurs aux biais algorithmiques
3.6 Consultation des parties prenantes
L'article 27 encourage la consultation des personnes susceptibles d'être affectées ou de leurs représentants. Cette consultation doit être documentée : qui a été consulté, quand, et avec quels résultats.
3.7 Résiduel de risque et décision de déploiement
Après application des mesures d'atténuation, la FRIA doit conclure sur le risque résiduel. Cette conclusion engage la responsabilité du déployeur. C'est elle que la CNIL examinera en cas de contrôle.
3.8 Mécanisme de révision et de mise à jour
Une FRIA n'est pas un document figé. Elle doit prévoir les conditions dans lesquelles elle sera révisée : changement significatif du système, évolution réglementaire, incident grave.
4. Ce que ça coûte de la faire rédiger par un cabinet
Soyons directs : la rédaction d'une FRIA par un cabinet spécialisé coûte entre 3 000 € et 15 000 € selon la complexité du système, la taille de l'organisation et le cabinet choisi.
| Étape | Temps estimé | Coût estimé |
|---|---|---|
| Audit préliminaire du système | 4 à 8h | 800 — 2 000 € |
| Identification des droits affectés | 4 à 6h | 800 — 1 500 € |
| Matrice de risques | 3 à 6h | 600 — 1 500 € |
| Rédaction du document | 6 à 12h | 1 200 — 3 000 € |
| Révision et validation juridique | 2 à 4h | 400 — 1 000 € |
| Total | 19 à 36h | 3 800 — 9 000 € |
À cela s'ajoute le coût interne : mobiliser les équipes techniques, juridiques et métier représente souvent 15 à 30 jours-homme supplémentaires.
Pour une PME ou une ETI qui déploie plusieurs systèmes IA à haut risque, l'enveloppe totale de mise en conformité peut rapidement dépasser 50 000 €.
5. Ce que Conformit.AI génère automatiquement — et ce que le juriste valide
Ce que vous faites
En 20 minutes, vous répondez à 50 questions structurées sur votre organisation, votre système IA, les données traitées, les populations affectées, vos mesures de gouvernance et vos processus de supervision humaine.
Ce que Conformit.AI génère
À partir de vos réponses, Conformit.AI produit un draft de FRIA complet au format Word, structuré selon les exigences de l'article 27, rédigé en français juridique, avec :
- La description du système et de son contexte de déploiement
- L'identification des droits fondamentaux potentiellement affectés, avec les articles de la Charte correspondants
- La matrice de risques (probabilité × gravité) pré-remplie selon votre profil
- Les mesures d'atténuation proposées en fonction de votre situation
- Les clauses de révision périodique adaptées à votre secteur
Son coût : 29 € pour le document seul, ou inclus dans le pack complet à 99 € avec les 4 autres documents obligatoires.
Ce que le juriste valide
Conformit.AI est un outil d'aide à la conformité, pas un cabinet d'avocats. Le document généré est un draft de travail, pas un document finalisé prêt à soumettre tel quel à un régulateur.
En pratique, la revue juridique d'un draft Conformit.AI prend 2 à 4 heures au lieu de 19 à 36 heures. L'économie réalisée est de l'ordre de 80 à 90% du coût de rédaction.
Le document généré par Conformit.AI est un draft destiné à être révisé par un professionnel du droit. Il ne constitue pas un avis juridique et ne remplace pas l'intervention d'un avocat ou d'un juriste qualifié.
6. FAQ
La FRIA est-elle différente de l'AIPD (RGPD) ? Oui. L'AIPD se concentre sur les risques liés au traitement de données personnelles. La FRIA couvre l'ensemble des droits fondamentaux de la Charte. En pratique, un système IA nécessitera souvent les deux. Conformit.AI génère les deux documents.
Dois-je faire une FRIA si je suis fournisseur et pas déployeur ? Non, l'article 27 s'adresse aux déployeurs. En tant que fournisseur, vous êtes soumis à d'autres obligations : documentation technique (Annexe IV), déclaration de conformité UE, enregistrement dans la base de données EU.
La FRIA doit-elle être rendue publique ? Non. Elle doit être tenue à disposition des autorités de surveillance (la CNIL en France) sur demande.
Que risque-t-on si on n'en fait pas ? Les sanctions peuvent atteindre 15 millions d'euros ou 3% du chiffre d'affaires annuel mondial. Le risque réputationnel d'un contrôle CNIL est souvent plus redouté que l'amende.
Mon système IA a été développé en interne. Suis-je fournisseur ou déployeur ? Les deux à la fois. L'AI Act prévoit ce cas : vous assumez les obligations du fournisseur et du déployeur.
Conclusion
La FRIA n'est pas une formalité administrative de plus. C'est le document qui prouve qu'avant de déployer un système IA susceptible d'affecter des droits fondamentaux, vous avez réellement réfléchi aux conséquences.
Sa rédaction from scratch coûte entre 4 000 et 15 000 €. Avec Conformit.AI, vous disposez d'un draft complet pour 29 € — qu'un juriste peut valider en quelques heures plutôt qu'en plusieurs jours.
Cet article est fourni à titre informatif. Il ne constitue pas un conseil juridique. Conformit.AI recommande de faire valider tout document de conformité par un professionnel du droit qualifié en droit européen de l'IA.
Dernière mise à jour : mars 2026 — Sources : Règlement (UE) 2024/1689 (AI Act), Article 27 ; Charte des droits fondamentaux de l'UE ; Guidelines CNIL sur l'AI Act.