← Retour au blog

Comment remplir une FRIA selon l'AI Act : guide champ par champ

L'évaluation de l'impact sur les droits fondamentaux est obligatoire pour les organismes publics et de nombreux déployeurs privés de systèmes IA à haut risque. Ce guide détaille chaque champ à remplir.

19 mai 2026DILAIG

L'évaluation de l'impact sur les droits fondamentaux — FRIA (Fundamental Rights Impact Assessment) — est l'une des obligations les plus mal comprises de l'AI Act européen. De nombreux déployeurs imaginent qu'il s'agit d'un simple exercice de cases à cocher. Ce n'est pas le cas. Une FRIA correctement complétée est une analyse structurée et documentée qui peut atteindre quinze à vingt pages pour un système complexe à haut risque. Les régulateurs et auditeurs la liront en détail.

Ce guide parcourt chaque champ requis par l'article 27 du règlement (UE) 2024/1689, explique ce qui doit figurer dans chaque section, et signale les erreurs qui font échouer les FRIA lors des contrôles de conformité.

Qui doit réaliser une FRIA

L'article 27(1) de l'AI Act impose la réalisation d'une FRIA à tout déployeur qui est :

  • Un organisme régi par le droit public, au sens du droit européen des marchés publics (directive 2014/24/UE, article 2(1)(4)) ; ou
  • Une entité privée fournissant des services au public dans l'intérêt général, lorsque ce service est soumis à un contrôle ou à un financement public.

Les entreprises privées qui déploient des systèmes d'IA à haut risque uniquement à des fins commerciales internes — filtrage RH des employés, détection de fraude interne — ne sont pas automatiquement tenues de réaliser une FRIA, même si l'article 27(3) encourage tous les déployeurs à réaliser des évaluations équivalentes sur la base du volontariat.

L'obligation s'applique avant le début du déploiement. Une FRIA réalisée après la mise en service d'un système d'IA à haut risque est non conforme.

Les huit sections principales d'une FRIA

Section 1 : Identification du déployeur et du système

Ce qu'il faut écrire : Raison sociale complète de l'organisation déployeuse, sa forme juridique, son adresse de siège social, et le nom de la personne responsable du déploiement de l'IA. Puis identifiez le système d'IA par son nom commercial, le nom du fournisseur, le numéro de référence de la Déclaration de Conformité UE du fournisseur, et la version déployée.

Erreur fréquente : Mentionner le nom du système sans la référence de la Déclaration de Conformité du fournisseur. Les auditeurs utilisent cette référence pour recouper la documentation publiée par le fournisseur. Si vous ne l'avez pas, demandez-la à votre fournisseur avant le déploiement.

Section 2 : Description de l'utilisation prévue dans votre contexte spécifique

Ce qu'il faut écrire : Cette section va au-delà de la simple reproduction des instructions d'utilisation du fournisseur. Décrivez précisément comment votre organisation utilisera le système — quelles décisions spécifiques l'IA informera ou prendra, quels membres du personnel interagiront avec elle, à quel stade d'un processus l'output de l'IA est généré, et ce qui se passe en aval de cet output.

Si vous êtes une municipalité déployant un outil de filtrage d'éligibilité aux aides sociales alimenté par l'IA, décrivez quelles aides sont concernées, combien de dossiers le système traitera mensuellement, et ce que l'agent fait avec l'output de l'IA.

Erreur fréquente : Copier la description du produit du fournisseur dans ce champ. La FRIA doit refléter votre contexte de déploiement spécifique, pas la description générique du système par le fournisseur.

Section 3 : Catégories de personnes physiques concernées

Ce qu'il faut écrire : Identifiez tous les groupes de personnes dont les droits ou intérêts sont affectés par le fonctionnement du système d'IA. Cela inclut les sujets directs (les personnes sur lesquelles l'IA prend une décision) et les sujets indirects (les tiers pouvant être affectés par cette décision).

Pour chaque groupe, notez les caractéristiques qui pourraient les rendre potentiellement vulnérables : âge (mineurs, personnes âgées), situation de handicap, statut migratoire ou de réfugié, situation socioéconomique, faible maîtrise du numérique, ou appartenance à un groupe minoritaire. Le considérant 47 de l'AI Act attire spécifiquement l'attention sur la vulnérabilité comme facteur aggravant dans les évaluations des droits fondamentaux.

Erreur fréquente : N'identifier que le groupe d'utilisateurs principal. Un outil d'IA pour les admissions scolaires affecte non seulement les candidats, mais aussi leurs familles et, indirectement, les communautés exclues.

Section 4 : Droits fondamentaux à risque

Ce qu'il faut écrire : Parcourez systématiquement la Charte des droits fondamentaux de l'UE et identifiez quels droits peuvent être affectés par les outputs du système d'IA. Les droits les plus fréquemment en jeu pour les systèmes d'IA à haut risque sont :

  • Article 1 (Dignité humaine)
  • Article 7 (Respect de la vie privée et familiale)
  • Article 8 (Protection des données à caractère personnel — intersection avec le RGPD)
  • Article 20 (Égalité en droit)
  • Article 21 (Non-discrimination)
  • Article 24 (Droits de l'enfant, si des mineurs sont concernés)
  • Article 41 (Droit à une bonne administration — pour les organismes publics)
  • Article 47 (Droit à un recours effectif et accès à un tribunal impartial)

Pour chaque droit identifié comme potentiellement affecté, évaluez la probabilité et la gravité de l'impact potentiel selon une échelle : aucun risque, risque faible, risque moyen, risque élevé. Fournissez une brève justification pour chaque évaluation.

Erreur fréquente : N'énumérer que les droits liés à la protection des données. La non-discrimination (article 21) et le droit à un recours effectif (article 47) sont tout aussi importants et souvent négligés.

Section 5 : Évaluation du risque de discrimination

Ce qu'il faut écrire : Cette section est distincte car l'AI Act traite le risque de discrimination avec une attention particulière. Déterminez si les données d'entraînement, la logique de décision ou les outputs du système d'IA pourraient produire des résultats différenciés pour des individus ou des groupes partageant une caractéristique protégée au titre du droit européen de la non-discrimination (sexe, origine raciale ou ethnique, religion ou convictions, handicap, âge, orientation sexuelle).

Décrivez si vous avez examiné la documentation technique du fournisseur pour des preuves de tests de biais, et résumez les conclusions de cet examen. Si le fournisseur n'a pas divulgué les résultats des tests de biais, notez explicitement cette lacune — elle peut affecter votre décision d'achat.

Erreur fréquente : Indiquer « aucun risque de discrimination identifié » sans aucune analyse à l'appui. Cela ne résistera pas à l'examen réglementaire. Même si votre conclusion est un risque faible, documentez le raisonnement.

Section 6 : Mesures d'atténuation des risques identifiés

Ce qu'il faut écrire : Pour chaque risque identifié dans les sections 4 et 5, décrivez la mesure spécifique que votre organisation met en œuvre pour atténuer ou gérer ce risque. Les mesures doivent être concrètes et opérationnelles, pas génériques.

Exemples de mesures d'atténuation concrètes :

  • Révision humaine obligatoire pour toutes les décisions négatives, avec une fenêtre de reconsidération d'au moins 48 heures
  • Audits trimestriels des biais dans les outputs de l'IA, ventilés par genre, nationalité et statut de handicap
  • Mécanisme de recours documenté dans les informations communiquées aux personnes concernées
  • Formation spécifique dispensée aux agents sur la manière d'interroger et d'invalider les outputs de l'IA
  • Journalisation de tous les outputs de l'IA et des décisions des agents, conservée pendant cinq ans

Erreur fréquente : Écrire « la supervision humaine sera maintenue » sans préciser qui, comment, avec quelle autorité et quels recours pour les personnes concernées.

Section 7 : Dispositifs de surveillance humaine

Ce qu'il faut écrire : Cette section reccoupe les obligations du fournisseur au titre de l'article 14, mais porte sur les dispositions opérationnelles spécifiques du déployeur. Documentez :

  • Quels rôles au sein de votre organisation sont responsables de la supervision du système d'IA
  • Quelle autorité ces rôles ont pour invalider, suspendre ou escalader les outputs de l'IA
  • Comment les décisions de supervision sont documentées et conservées
  • Ce qui déclenche une escalade (par exemple, seuil de confiance inférieur à un niveau défini, output dans une catégorie de cas limites définie)
  • Comment vous informerez les personnes concernées qu'un système d'IA a été utilisé dans une décision les concernant (obligation de transparence de l'article 50)

Erreur fréquente : Décrire la supervision en termes de capacités techniques du système plutôt que du processus opérationnel réel de votre organisation.

Section 8 : Consultation et validation

Ce qu'il faut écrire : Enregistrez qui a participé à la préparation de la FRIA — intitulés de postes, services, et si une expertise externe a été mobilisée. Enregistrez toute consultation auprès des autorités de protection des données, des organismes chargés de l'égalité ou des communautés concernées. Enregistrez la date d'approbation de la FRIA et le nom et le titre du responsable approbateur.

Pour les organismes publics, l'article 27(6) exige une consultation des personnes concernées ou de leurs représentants dans la mesure du possible. Documentez si cela a été fait et, dans la négative, pourquoi ce n'était pas faisable.

Erreur fréquente : Traiter la FRIA comme une tâche de conformité individuelle. L'article 27 attend une contribution transfonctionnelle — juridique, opérationnelle, RH, et idéalement des représentants des communautés concernées.

Maintenir la FRIA à jour

Une FRIA n'est pas un document à usage unique. L'article 27(5) exige que les déployeurs examinent et mettent à jour la FRIA à chaque fois qu'il y a un changement substantiel du système ou de son contexte de déploiement. Une nouvelle version du système d'IA, un changement dans la population évaluée ou un nouveau cas d'usage déclenchent tous une obligation de révision.

Intégrez un calendrier de révision dans votre agenda de gouvernance : minimum annuel, ou à tout changement matériel, selon ce qui survient en premier.

Comment Dilaig vous aide

L'audit en 50 questions de Dilaig génère automatiquement votre FRIA avec les trois autres documents obligatoires — Documentation Technique, Déclaration de Conformité et Notice de Transparence. L'audit couvre chaque champ de l'article 27 et produit un document prêt à être examiné par votre équipe juridique, votre DPO et les autorités nationales de surveillance du marché.

Lancez votre audit gratuit sur dilaig.com et générez votre FRIA en moins d'une heure.

FAQ : Compléter une FRIA selon l'AI Act

Q : La FRIA est-elle identique à une AIPD au titre du RGPD ? Non, mais elles sont étroitement liées. Une AIPD (Analyse d'Impact relative à la Protection des Données) au titre de l'article 35 du RGPD évalue les risques pour les droits liés aux données personnelles. Une FRIA au titre de l'article 27 de l'AI Act évalue les risques pour l'ensemble des droits fondamentaux de la Charte de l'UE. Pour les systèmes d'IA à haut risque qui traitent des données personnelles — c'est-à-dire la plupart d'entre eux — vous avez besoin des deux. Elles peuvent être menées simultanément et documentées de manière coordonnée pour éviter les doublons.

Q : Un hôpital privé doit-il réaliser une FRIA ? Très probablement oui. Les hôpitaux privés qui fournissent des services dans le cadre de systèmes nationaux d'assurance maladie ou de cadres de santé publique fournissent des services d'intérêt général public. La forme juridique « privée » de l'entité ne l'exempte pas si le service lui-même est un service d'intérêt public. En cas de doute, consultez votre autorité de surveillance nationale.

Q : Le fournisseur d'IA peut-il réaliser la FRIA au nom du déployeur ? Non. La FRIA est une obligation du déployeur et doit refléter le contexte d'utilisation spécifique du déployeur. Les fournisseurs peuvent aider en fournissant une documentation technique détaillée qui soutient la FRIA — mais ils ne peuvent pas se substituer à l'analyse propre du déployeur de son contexte, des populations affectées et des dispositifs de supervision opérationnelle.

Q : Que se passe-t-il si nous ne réalisons pas la FRIA ? L'omission de réaliser une FRIA lorsqu'elle est requise constitue une violation de l'article 27. Les autorités nationales de surveillance du marché peuvent ordonner des mesures correctives, imposer des amendes et interdire l'utilisation du système d'IA dans l'attente de la mise en conformité. Dans le cadre de la structure d'application de l'AI Act, les amendes pour non-respect des obligations (autres que les pratiques d'IA interdites) peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.

Points clés à retenir

  • Une FRIA est requise avant le déploiement par tous les organismes publics et les entités fournissant des services d'intérêt public qui déploient des systèmes d'IA à haut risque.
  • La FRIA couvre huit sections structurées : identification, contexte de déploiement, personnes concernées, droits à risque, risque de discrimination, mesures d'atténuation, supervision humaine et validation.
  • Copier la description du système du fournisseur n'est pas suffisant — la FRIA doit refléter votre contexte de déploiement spécifique.
  • La FRIA doit être révisée et mise à jour à chaque changement matériel du système ou du contexte de déploiement.
  • Une FRIA est un document de conformité vivant, pas une case à cocher unique. Intégrez-la dans votre calendrier de gouvernance.

Pour aller plus loin

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit