28 jours avant l'entrée en vigueur du règlement européen sur l'IA
Pour en savoir plus →

Article 27 du règlement de l'IA de l'UE : Évaluation d'impact sur les droits fondamentaux (FRIA)

L'article 27 exige que certains déployeurs de systèmes d'IA à haut risque effectuent une évaluation d'impact sur les droits fondamentaux avant de mettre le système en service. Il documente la manière dont le système sera utilisé, qui il affecte, les risques pour les droits fondamentaux, et les mesures de surveillance humaine et de gouvernance en place — et les résultats sont notifiés à l'autorité de surveillance du marché.

Article 27 — Évaluation d'impact sur les droits fondamentaux

Article 27 du règlement de l'IA de l'UE : Évaluation d'impact sur les droits fondamentaux (FRIA)

L'article 27 exige que certains déployeurs de systèmes d'IA à haut risque effectuent une évaluation d'impact sur les droits fondamentaux avant de mettre le système en service. Il documente la manière dont le système sera utilisé, qui il affecte, les risques pour les droits fondamentaux, et les mesures de surveillance humaine et de gouvernance en place — et les résultats sont notifiés à l'autorité de surveillance du marché.

Dernière mise à jour: 4 juillet 2026

Qui doit effectuer une FRIA

L'obligation de FRIA incombe à un ensemble défini de déployeurs de systèmes d'IA à haut risque, et non aux fournisseurs et pas à tous les déployeurs :

  • Organismes soumis au droit public, et entités privées fournissant des services publics, lorsqu'ils déployent des systèmes d'IA à haut risque
  • Déployeurs de systèmes d'IA à haut risque de l'annexe III — systèmes d'IA à haut risque utilisés pour évaluer la solvabilité ou établir un score de crédit (à l'exclusion de la détection de la fraude)
  • Déployeurs de systèmes d'IA à haut risque de l'annexe III — systèmes d'IA à haut risque utilisés pour l'évaluation des risques et la tarification dans les assurances-vie et les assurances-maladie
  • L'évaluation doit être terminée avant que le système ne soit mis en service

Lorsqu'une évaluation d'impact sur la protection des données conformément à l'article 35 du RGPD couvre déjà une partie du même terrain, la FRIA peut s'appuyer sur celle-ci plutôt que de la dupliquer.

Ce que l'évaluation doit couvrir

L'article 27(1) définit les éléments que la FRIA doit décrire :

  • Une description des processus du déployeur dans lesquels le système à haut risque sera utilisé, conformément à son objectif prévu
  • La période et la fréquence pendant lesquelles le système est destiné à être utilisé
  • Les catégories de personnes physiques et de groupes susceptibles d'être affectés dans le contexte spécifique
  • Les risques spécifiques de préjudice susceptibles d'affecter ces catégories de personnes
  • Une description des mesures de surveillance humaine en place, conformément aux instructions d'utilisation
  • Les mesures à prendre si les risques se concrétisent, y compris les dispositions de gouvernance internes et les mécanismes de plainte

Notification de l'autorité

La FRIA n'est pas un exercice purement interne — ses résultats sont signalés au régulateur :

  • Une fois l'évaluation effectuée, le déployeur notifie l'autorité de surveillance du marché de ses résultats
  • Le Bureau de l'IA est chargé d'élaborer un questionnaire-type pour aider les déployeurs à se conformer de manière simplifiée
  • La FRIA doit être mise à jour si l'un de ses éléments change ou n'est plus à jour pendant la période d'utilisation
  • Elle complète, et ne remplace pas, les obligations de conformité et de gestion des risques propres au fournisseur

Comment AIAgentree aide

Une FRIA doit décrire les mesures de surveillance humaine et de suivi sur papier — AIAgentree fournit les preuves concrètes que ces mesures fonctionnent réellement :

  • Flux de travail de surveillance humaine et d'approbation donnent une substance concrète aux mesures de surveillance que la FRIA doit décrire, avec un enregistrement de qui a examiné quoi et quand
  • Enregistrements de décision à preuve de falsification et suivi des résultats soutiennent le suivi continu des risques pour les personnes concernées que la FRIA vous engage à effectuer
  • Conservation d'audit (six mois ou plus) avec résidence de données de l'UE en Allemagne garde ces preuves de surveillance disponibles si l'autorité demande de voir comment l'évaluation se déroule dans la pratique

Foires aux questions

Qui doit réaliser une évaluation de l'impact sur les droits fondamentaux ?

Certains déployeurs de systèmes d'IA à haut risque : les organismes régis par le droit public et les entités privées fournissant des services publics, ainsi que les déployeurs de systèmes à haut risque de l'annexe III utilisés pour l'évaluation du crédit (évaluation de la solvabilité) et pour l'évaluation et la tarification des risques dans l'assurance-vie et l'assurance-maladie. Il s'agit d'une obligation du déployeur, et non du fournisseur.

Quand l'évaluation de l'impact sur les droits fondamentaux doit-elle être terminée ?

Avant que le déployeur n'utilise le système d'IA à haut risque. Elle doit également être tenue à jour — si l'un de ses éléments change ou devient obsolète pendant la période d'utilisation, le déployeur met à jour l'évaluation.

Qu'est-ce qu'une évaluation de l'impact sur les droits fondamentaux doit couvrir ?

Les processus et l'objectif prévu du déployeur pour le système, la période et la fréquence d'utilisation, les catégories de personnes et de groupes susceptibles d'être affectés, les risques spécifiques de préjudice pour eux, les mesures de surveillance humaine en place, et les mesures à prendre si les risques se concrétisent, y compris la gouvernance interne et les mécanismes de plainte.

Devons-nous informer un régulateur de l'évaluation de l'impact sur les droits fondamentaux ?

Oui. Une fois l'évaluation réalisée, le déployeur notifie l'autorité de surveillance du marché des résultats. Le Bureau de l'IA est en train d'élaborer un questionnaire de modèle pour soutenir une façon simplifiée de se conformer à cette notification.

Pouvons-nous réutiliser notre évaluation d'impact sur la protection des données du RGPD pour l'évaluation de l'impact sur les droits fondamentaux ?

En partie. Lorsqu'une évaluation d'impact sur la protection des données du RGPD couvre déjà des éléments chevauchants, l'évaluation de l'impact sur les droits fondamentaux peut s'appuyer sur et compléter celle-ci plutôt que de dupliquer le travail. L'évaluation de l'impact sur les droits fondamentaux a toutefois son propre focus sur les droits fondamentaux que l'évaluation d'impact sur la protection des données ne remplace pas entièrement.

Continuer à explorer le guide de la loi européenne sur l'IA

Guide de conformité à la loi européenne sur l'IA

Le guide complet pour la conformité à la loi européenne sur l'IA pour les agents d'IA — commencez ici.

Article 12 — Conservation des enregistrements et journalisation

Ce que chaque système d'IA à haut risque doit journaliser et comment le capturer.

Article 14 — Surveillance humaine

Conception de contrôles efficaces avec intervention humaine pour les décisions d'IA.

Annexe III — Systèmes d'IA à haut risque

Quels cas d'utilisation d'IA la loi classe comme à haut risque.

Liste de contrôle de conformité à la loi européenne sur l'IA

Une liste de contrôle étape par étape pour atteindre et documenter la conformité.

Calculateur de coût de conformité

Estimez vos efforts et coûts de conformité à la loi européenne sur l'IA.

Délais et calendrier

Dates clés d'application, y compris le délai du 2 août 2026.

Amendes et pénalités

Niveaux de pénalité allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Obligations de transparence (art. 13 et 50)

Devoirs de divulgation pour les systèmes d'IA et leurs sorties.

Gestion des risques et évaluation de la conformité

Construire un système de gestion des risques et évaluer la conformité.

Obligations GPAI

Règles pour les fournisseurs de modèles d'IA à usage général.

Loi européenne sur l'IA pour les entreprises américaines

Portée extraterritoriale et ce que les fournisseurs américains doivent faire.

Mise à jour omnibus

Les derniers changements apportés au calendrier et aux règles de la loi européenne sur l'IA.

Calculatrice de pénalité

Estimez votre amende maximale en vertu des niveaux de l'article 99.

Article 11 + Annexe IV

Quelle documentation technique l'Acte IA de l'UE exige.

Article 26 : Obligations des déploieurs

Ce que les déploieurs d'IA à haut risque doivent faire, y compris la conservation des journaux.

Article 17 : Gestion de la qualité

Le Système de gestion de la qualité (SGQ) que les fournisseurs d'IA à haut risque doivent documenter.

Article 10 : Gouvernance des données

Qualité des données, mitigation des biais et devoirs de gouvernance.

Article 4 : Littératie en IA

L'obligation de littératie en IA du personnel en vigueur depuis février 2025.

Déploieur vs Fournisseur

Qui assume quelle obligation — et quand un déploieur devient un fournisseur.

À qui s'applique-t-il ?

Champ d'application, opérateurs et portée extraterritoriale de l'Acte IA de l'UE.

Surveillance post-marché

Articles 72–73 : surveillance continue et déclaration d'incidents.

ISO 42001 vs Acte IA de l'UE

Comment la norme volontaire et la loi contraignante s'harmonisent.

NIST AI RMF vs Acte IA de l'UE

Un guide pratique entre le cadre et la loi.

Acte IA de l'UE pour les soins de santé

IA médicale à haut risque, interaction avec les règlements MDR/IVDR et surveillance clinique.

Acte IA de l'UE pour les services financiers

Notation de crédit, tarification des assurances et réglementation financière existante.

Acte IA de l'UE pour les RH et l'emploi

Embauche d'IA à haut risque, ainsi que chevauchement avec la loi NYC LL144 et la commission EEOC.