Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juin 2026
La FRIA AI Act est l’un des dispositifs les plus structurants introduits par le Règlement UE 2024/1689. Elle impose aux déployeurs de certains systèmes d’IA à haut risque de conduire, avant déploiement, une analyse d’impact sur les droits fondamentaux des personnes concernées. Encore largement méconnue, cette obligation conditionne en 2026 la mise en service de nombreux outils dans la banque, l’assurance, la santé, l’éducation, le secteur public et le contrôle des accès. Cet article propose une méthode opérationnelle en huit étapes, articule la FRIA avec l’AIPD du RGPD et précise les sanctions encourues.
SOMMAIRE
- Pourquoi la FRIA AI Act est devenue stratégique en 2026
- Le cadre juridique applicable
- Les 8 étapes de la méthode FRIA
- Tableau de synthèse des étapes et criticité
- Les 5 pièges à éviter
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi la FRIA AI Act est devenue stratégique en 2026
La FRIA AI Act n’est pas un simple document administratif. C’est une analyse d’impact structurante qui conditionne le déploiement de nombreux systèmes d’IA à haut risque. Trois dynamiques expliquent son importance en 2026.
1.1 L’entrée en application progressive de l’AI Act
Le Règlement UE 2024/1689 est entré en vigueur en août 2024 mais s’applique progressivement. Les obligations relatives aux systèmes d’IA à haut risque, dont la FRIA, sont en cours de déploiement opérationnel en 2026. Les entreprises et organismes concernés disposent désormais de peu de temps pour s’organiser. L’anticipation est devenue critique pour ne pas bloquer des projets stratégiques.
1.2 Une cible plus large que prévu initialement
Beaucoup d’acteurs pensent que cette obligation ne les concerne pas. Or, son champ d’application est plus large que prévu. Sont concernés les organismes publics, les entités privées fournissant des services publics, ainsi que certains acteurs privés comme la banque (scoring, KYC), l’assurance (souscription, indemnisation), l’emploi (recrutement, évaluation), et plus largement tous les déployeurs de systèmes listés à l’annexe III dans certains contextes.
2. Le cadre juridique applicable
Conduire une FRIA suppose de maîtriser un cadre juridique précis. Plusieurs corpus se superposent et structurent la rédaction.
2.1 L’article 27 de l’AI Act
L’article 27 du Règlement UE 2024/1689 est le texte fondateur. Il impose une analyse d’impact sur les droits fondamentaux avant le déploiement de certains systèmes d’IA à haut risque. Il liste également le contenu minimum attendu : description du processus, périmètre temporel et personnel, catégories de personnes concernées, risques spécifiques, mesures de supervision humaine et mesures à prendre en cas de matérialisation des risques.
2.2 L’annexe III et la classification haut risque
L’annexe III du Règlement UE 2024/1689 liste les domaines dans lesquels les systèmes d’IA sont qualifiés de haut risque : biométrie, infrastructures critiques, éducation, emploi, accès aux services essentiels (banque, assurance, urgences), application de la loi, migration, justice, processus démocratiques. Cette classification déclenche l’obligation de FRIA AI Act pour les déployeurs concernés par l’article 27.
2.3 L’article 35 du RGPD et l’AIPD
L’article 35 du Règlement UE 2016/679 (RGPD) impose une AIPD (analyse d’impact relative à la protection des données) pour les traitements de données personnelles à risque élevé. Quand un système d’IA traite des données personnelles, la FRIA AI Act et l’AIPD doivent s’articuler. La doctrine du Comité européen de la protection des données (EDPB) et de la CNIL guide cette articulation pratique.
2.4 La Charte des droits fondamentaux de l’UE
La Charte des droits fondamentaux de l’Union européenne constitue le référentiel substantiel de la FRIA. Elle énumère les droits à examiner : dignité humaine, droit à la vie privée, protection des données, non-discrimination, liberté d’expression, droit à un recours effectif, droit du travail, droits des enfants, droits des personnes en situation de handicap. Pour aller plus loin, consultez nos services en matière de contrats informatiques.
3. Les 8 étapes de la méthode FRIA
Conduire une FRIA AI Act suit une méthode structurée. Huit étapes successives transforment une obligation perçue comme abstraite en démarche opérationnelle et documentée.
3.1 Étape 1 — Qualifier le système et confirmer l’obligation
La première étape qualifie juridiquement le système : appartient-il à la catégorie haut risque de l’annexe III ? Le déployeur entre-t-il dans les hypothèses de l’article 27 ? Cette qualification conditionne tout. Une mauvaise qualification entraîne soit une FRIA inutile, soit une absence de FRIA fautive. Le travail s’appuie sur la documentation du fournisseur du système, les guidelines de la Commission et l’analyse juridique.
3.2 Étape 2 — Décrire précisément l’usage
La deuxième étape décrit l’usage prévu : finalité opérationnelle, contexte de déploiement, fréquence d’utilisation, mode d’intégration aux processus métier, articulation avec les décisions humaines. Cette description doit être suffisamment précise pour évaluer les risques. Une description floue conduit mécaniquement à une analyse de risque superficielle, ce qui prive la FRIA de toute valeur défensive.
3.3 Étape 3 — Définir le périmètre temporel et personnel
La troisième étape délimite la durée prévisible de l’usage et identifie précisément les catégories de personnes affectées : clients, candidats, salariés, usagers, bénéficiaires, mineurs, personnes vulnérables. Cette cartographie est essentielle : les droits fondamentaux concernés varient considérablement selon les populations. Un mineur ou une personne vulnérable bénéficie d’une protection renforcée.
3.4 Étape 4 — Identifier les risques pour les droits fondamentaux
La quatrième étape identifie les risques. Pour chaque droit fondamental potentiellement concerné (vie privée, non-discrimination, dignité, accès à la justice…), l’analyse évalue la probabilité et la gravité d’une atteinte. Le risque de biais discriminatoire est particulièrement central pour de nombreux systèmes. Cette étape est l’épine dorsale de la FRIA AI Act et conditionne sa qualité substantielle.
3.5 Étape 5 — Identifier les mesures de mitigation
La cinquième étape construit la réponse aux risques identifiés. Elle peut combiner mesures techniques (tests de biais, calibrage, seuils, journalisation), mesures organisationnelles (formation des utilisateurs, comité éthique, procédure d’escalade) et mesures contractuelles (engagements du fournisseur, audits, droits d’accès). Sans cette dimension prescriptive, la FRIA reste descriptive et donc inopérante.
3.6 Étape 6 — Organiser la supervision humaine
La sixième étape opérationnalise l’article 14 de l’AI Act. Elle définit les modalités concrètes de supervision humaine : qui supervise, à quelle étape, avec quels moyens, avec quel pouvoir de décision en cas d’anomalie. La supervision ne doit pas être théorique. Un opérateur qui n’a ni la formation ni le temps de contester réellement la décision automatisée transforme la supervision en validation formelle, ce qui est sanctionnable.
3.7 Étape 7 — Articuler avec l’AIPD si nécessaire
La septième étape articule la FRIA avec l’AIPD du RGPD lorsque des données personnelles sont traitées. Les deux exercices se nourrissent mutuellement : l’AIPD apporte une analyse fine des risques pour les personnes concernées, la FRIA élargit le périmètre à l’ensemble des droits fondamentaux. Cette articulation évite les doublons, sécurise la cohérence et fait gagner un temps considérable en pratique.
3.8 Étape 8 — Notifier l’autorité et documenter
La dernière étape opérationnalise la phase administrative. Le déployeur notifie l’autorité de surveillance du marché compétente avec une synthèse des résultats. La documentation complète de la FRIA est conservée pour démontrer la conformité en cas de contrôle. Sans cette traçabilité, la démonstration ex post devient extrêmement difficile, ce qui aggrave la position du déployeur.
4. Tableau de synthèse des étapes et criticité
Le tableau ci-dessous synthétise les huit étapes, leur rôle structurant et leur niveau de criticité opérationnelle dans la conduite d’une FRIA.
| Étape | Rôle | Criticité |
|---|---|---|
| 1. Qualification du système | Confirmer l’obligation | 🔴 Critique |
| 2. Description de l’usage | Base de l’analyse | 🔴 Critique |
| 3. Périmètre temporel et personnel | Identifier les populations | 🟠 Élevée |
| 4. Identification des risques | Cœur substantiel | 🔴 Critique |
| 5. Mesures de mitigation | Réponse opérationnelle | 🔴 Critique |
| 6. Supervision humaine | Article 14 AI Act | 🟠 Élevée |
| 7. Articulation avec l’AIPD | Cohérence RGPD | 🟠 Élevée |
| 8. Notification et documentation | Traçabilité opposable | 🔴 Critique |
5. Les 5 pièges à éviter
Au-delà de la méthode, plusieurs pièges récurrents fragilisent les FRIA conduites en interne sans appui juridique. Les identifier permet d’éviter les erreurs les plus coûteuses.
5.1 Confondre FRIA et AIPD
Le premier piège consiste à traiter la FRIA AI Act comme une simple AIPD étendue. Or, les deux exercices ont des finalités, des périmètres et des destinataires distincts. La FRIA porte sur l’ensemble des droits fondamentaux, pas seulement la protection des données. Sa qualité ne peut être assurée sans une réflexion juridique substantielle sur la Charte des droits fondamentaux et l’AI Act.
5.2 Sous-estimer la qualification du système
Le deuxième piège est la qualification approximative. Beaucoup d’entreprises présument qu’elles ne sont pas concernées sans analyse juridique sérieuse. Pourtant, certains usages anodins (filtre CV automatisé, scoring marketing, détection de fraude) entrent dans le périmètre de l’annexe III. Cette sous-qualification expose à un manquement direct lors d’un contrôle.
5.3 Une analyse de risques superficielle
Le troisième piège est l’analyse expéditive des risques. Une FRIA se contentant d’énumérer des risques génériques sans probabilité ni gravité, sans contextualisation au cas d’usage, est juridiquement faible. En cas de contrôle, l’autorité reconnaît immédiatement une analyse copiée-collée. La crédibilité de la démarche se construit par le sérieux substantiel.
5.4 Une supervision humaine théorique
Le quatrième piège est la supervision humaine de façade. Indiquer qu’« un opérateur valide chaque décision » sans préciser sa formation, son temps disponible, ses moyens de contestation effective et ses pouvoirs de remise en cause transforme la supervision en validation formelle. Cette pratique est désormais identifiée et sanctionnée par les autorités européennes.
5.5 L’absence de mise à jour
Le cinquième piège concerne la durée. Une FRIA est un document vivant. Toute modification substantielle du système (nouvelle finalité, nouveau public, mise à jour algorithmique majeure) impose une révision. Une FRIA initiale non actualisée perd progressivement sa valeur défensive et expose le déployeur à un manquement caractérisé en cas de contrôle.
6. Pourquoi faire appel à Atias Avocats
Conduire une FRIA AI Act à la hauteur des enjeux exige une combinaison rare de compétences : maîtrise de l’AI Act et de son articulation avec le RGPD, expertise des droits fondamentaux et de la Charte de l’Union européenne, compréhension opérationnelle des systèmes d’IA et de leurs cas d’usage métiers, pratique de la défense face aux autorités de contrôle. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique avec une pratique active de la conformité IA.
Atias Avocats accompagne entreprises, scale-ups, banques, assureurs, mutuelles, organismes publics et entités privées de service public sur l’ensemble du sujet : qualification juridique du système d’IA, conduite de la FRIA, articulation avec l’AIPD du RGPD, déploiement d’une gouvernance IA, rédaction des clauses contractuelles fournisseur/déployeur, accompagnement face à l’autorité de contrôle, formation des équipes. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
Conclusion
La FRIA AI Act n’est pas qu’une obligation administrative. C’est la matérialisation d’une approche structurée des risques que l’IA fait peser sur les droits fondamentaux. Sa conduite sérieuse améliore la qualité opérationnelle du déploiement, sécurise juridiquement l’entreprise et démontre une maturité éthique appréciée des régulateurs, des clients et des partenaires. La méthode en huit étapes présentée ici offre un référentiel directement utilisable par les DPO, RSSI, juristes et directions métiers.
Pour les directions juridiques, DPO et fondateurs, le réflexe doit être clair : qualifier, conduire la FRIA, articuler avec l’AIPD et documenter avant tout déploiement. C’est précisément à ce moment, en amont, que se construit la conformité réelle de l’IA et la confiance des personnes concernées.
FAQ — Questions fréquentes
Qu’est-ce qu’une FRIA et qui doit la réaliser ?
La FRIA (Fundamental Rights Impact Assessment, analyse d’impact sur les droits fondamentaux) est l’évaluation obligatoire imposée par l’article 27 du Règlement UE 2024/1689 (AI Act) avant le déploiement de certains systèmes d’IA à haut risque. Elle vise à anticiper et documenter les risques pour les droits fondamentaux des personnes affectées. Sont tenus de la réaliser certains déployeurs (organismes publics, entités privées fournissant des services publics, et certains acteurs privés comme la banque ou l’assurance pour des usages spécifiques). La FRIA AI Act doit être conduite avant la première mise en service du système, puis actualisée à chaque modification substantielle. Son absence expose à des sanctions administratives importantes.
Quelle est la différence entre FRIA et AIPD ?
Les deux notions sont complémentaires mais distinctes. L’AIPD (analyse d’impact relative à la protection des données), prévue par l’article 35 du RGPD, vise spécifiquement les traitements de données personnelles à risque élevé. La FRIA AI Act, prévue par l’article 27 du Règlement UE 2024/1689, vise l’ensemble des droits fondamentaux affectés par certains systèmes d’IA à haut risque (dignité, non-discrimination, vie privée, liberté d’expression, accès à la justice, etc.), au-delà de la seule protection des données. Une FRIA peut donc couvrir un périmètre plus large qu’une AIPD. En pratique, les deux exercices doivent être articulés lorsque le système traite des données personnelles.
Quand faut-il réaliser une FRIA ?
Avant la première mise en service du système d’IA à haut risque concerné. La FRIA AI Act ne peut pas être conduite a posteriori : c’est un exercice ex ante, qui doit éclairer la décision de déploiement. Elle doit ensuite être actualisée à chaque modification substantielle du système (changement de finalité, de population concernée, de configuration, de fournisseur). Pour les déploiements récurrents (par exemple un système de scoring en banque déployé sur plusieurs portefeuilles), une FRIA générique peut être complétée par des FRIA particulières adaptées à chaque cas d’usage. L’anticipation est essentielle : une FRIA mal préparée juste avant la mise en service crée des goulots d’étranglement coûteux.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — Droit du numérique, AI Act, RGPD, Conformité IA
