AIDF et AI Act : Tout comprendre à l’Analyse d’Impact (2026)

·
Image AIDF

Le Règlement européen sur l’Intelligence Artificielle (RIA, ou AI Act), adopté en 2024, redessine le cadre juridique des technologies numériques pour les organismes publics et privés. Alors que la protection des données personnelles (le RGPD) est désormais intégrée dans les processus de gouvernance, une nouvelle exigence réglementaire va devenir incontournable : l’Analyse d’Impact sur les Droits Fondamentaux (AIDF), également désignée sous le terme anglophone de Fundamental Rights Impact Assessment (FRIA).

L’AIDF ne remplace pas l’AIPD imposée par le RGPD sur certaines traitements, mais s’impose comme son prolongement nécessaire lorsqu’un organisme utilise des systèmes d’IA.

Qu’est-ce que l’AI Act ?

L’AI Act est le premier cadre législatif européen destiné à encadrer le développement et l’utilisation de l’intelligence artificielle spécifiquement. Il repose sur une approche proportionnée au niveau des risques. Plus un système d’IA présente de risques pour la société, plus les obligations imposées sont strictes. Les niveaux de risques sont classés en quatre grandes catégories :

  • Risques inacceptables : Systèmes strictement interdits (comme la notation sociale ou la surveillance biométrique de masse non autorisée).
  • Hauts risques : Systèmes fortement régulés et soumis à l’obligation d’évaluation (comme les algorithmes de décision humaine ou de gestion d’infrastructures).
  • Risques limités : Obligations de transparence (par exemple, signaler l’utilisation de chatbots ou de contenus générés par IA / deepfakes).
  • Risques minimaux : Aucune obligation réglementaire spécifique (outils de bureautique, filtres anti-spams).

Qu’est-ce qu’un « système d’IA à haut risque » ?

Ce sont les applications d’intelligence artificielle susceptibles de porter directement atteinte à la santé, à la sécurité ou aux droits des personnes. Répertoriées dans les Annexes I et III du règlement, elles touchent des domaines particulièrement sensibles :

  • La gestion de la main-d’œuvre : Algorithmes de tri automatique de CV, d’évaluation des performances ou de promotion des salariés.
  • L’accès aux services essentiels : Outils d’évaluation de la solvabilité pour un crédit, de calcul des primes d’assurance ou d’attribution des aides sociales.
  • L’éducation : Systèmes de correction automatique d’examens ou d’orientation scolaire.
  • L’application des lois et la justice : Outils d’analyse des risques de récidive ou d’aide à la décision judiciaire.

Qu’est-ce que l’AIDF ?

L’Analyse d’Impact sur les Droits Fondamentaux (AIDF) est une évaluation des risques obligatoire imposée par l’Article 27 de l’AI Act. Elle doit être réalisée par le déployeur d’un système d’IA à haut risque avant sa mise en service effective. Son but est d’identifier, de documenter et de limiter les effets potentiellement néfastes du système sur l’ensemble des droits inscrits dans la Charte des droits fondamentaux de l’Union européenne (égalité, liberté d’expression, dignité, etc.).

AIDF Vs AIPD : quelles différences ?

Il est facile de confondre ces deux démanalyses, car elles partagent une méthodologie similaire d’analyse des risques.

AIPD : le focus sur la vie privée et la protection des données

L’Analyse d’Impact relative à la Protection des Données (AIPD) découle de l’article 35 du RGPD. Son champ d’application est centré sur la donnée à caractère personnel. Elle évalue si le traitement des données respecte la vie privée des individus (sécurité physique et logique, durée de conservation, minimisation).

L’AIDF : une vision sociétale et éthique large

L’AIDF dépasse le cadre de la donnée personnelle. Elle s’attache à protéger l’ensemble des droits humains qui pourraient être affectés par un automatisme décisionnel, même si le traitement technique des données est irréprochable :

  • Le droit à l’égalité et à la non-discrimination (par exemple, s’assurer qu’un algorithme de recrutement n’exclut pas indirectement des profils en fonction du genre ou de l’origine géographique).
  • Le droit à un recours effectif et à un procès équitable (garantir qu’un citoyen puisse contester et comprendre une décision administrative automatisée).
  • La liberté d’expression, d’opinion et d’association.
  • Le droit à la dignité humaine et à des conditions de travail équitables.

A retenir : Un système d’IA peut être parfaitement conforme au RGPD (données chiffrées, hébergement sécurisé, consentement recueilli) tout en violant les droits fondamentaux s’il produit des résultats biaisés ou discriminatoires. L’AIDF vise à pallier ce risque.

Qui doit réaliser une AIDF ?

L’obligation de mener une AIDF ne pèse pas sur les développeurs (qualifiés de « fournisseurs » par le règlement), mais sur les déployeurs. Le déployeur est l’entité, publique ou privée, qui utilise le système d’IA sous sa propre autorité.

L’article 27 de l’AI Act cible particulièrement trois grandes catégories de déployeurs :

  • Les organismes de droit public : Ministères, préfectures, collectivités territoriales, mairies, agences publiques.
  • Les entités privées fournissant des services publics : Établissements de santé, universités, bailleurs sociaux, gestionnaires de réseaux de transport public.
  • Les exploitants de secteurs clés réglementés : Établissements bancaires (pour l’évaluation de la solvabilité) ou compagnies d’assurance (pour l’évaluation des risques en assurance vie et maladie).

L’absence d’AIDF pour un système d’IA à haut risque constitue une infraction grave au règlement européen. Les sanctions financières sont particulièrement lourdes (plus que celles prévues par le RGPD) : les amendes administratives peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial de l’organisme contrevenant.

Le rôle du DPO dans l’AIDF

Le Délégué à la Protection des Données (DPO) joue un rôle de conseil. Puisque la majorité des IA à haut risque s’appuient sur des données à caractère personnel, l’AIPD et l’AIDF doivent être coordonnées. Le DPO veille à articuler ces deux analyses afin d’éviter la duplication des tâches et d’optimiser le temps des équipes opérationnelles.

Le DPO évalue la qualité des données

En collaboration avec les experts techniques, le DPO aide à analyser la représentativité des bases de données d’entraînement. L’objectif est de s’assurer de l’absence de biais historiques susceptibles d’être reproduits et amplifiés par le modèle d’IA.

La tenue de la documentation réglementaire

Tout comme l’AIPD, l’AIDF doit être documentée et tenue à disposition des autorités de contrôle en cas d’audit. Dans certains cas, l’AIDF doit d’ailleurs être transmises à des autorités nationales.

FAQ

Quand l’obligation de réaliser une AIDF entre-t-elle en vigueur ?

Bien que l’AI Act soit entré en vigueur en août 2024, son application est progressive. L’obligation de réaliser une AIDF (FRIA) pour les systèmes d’IA à haut risque répertoriés à l’Annexe III s’appliquera à partir du 2 décembre 2027 (et août 2028 pour ceux relevant de l’Annexe I).

L’AIDF doit-elle être rendue publique ?

Oui, en partie. Les déployeurs ont normalement l’obligation de transmettre l’AIDF à l’autorité nationale de contrôle (comme la CNIL en France). De plus, un résumé non confidentiel de cette évaluation doit être intégré à la base de données publique de l’Union européenne, garantissant ainsi l’information des citoyens et des utilisateurs.

Qui doit participer à la rédaction d’une AIDF ?

L’AIDF requiert une approche pluridisciplinaire. Elle implique les équipes de direction, les responsables métiers, les ingénieurs ou data scientists en charge du système, ainsi que les experts juridiques et de conformité (DPO, directions juridiques). L’avis des parties prenantes internes (représentants du personnel) ou externes (usagers) peut également être sollicité pour enrichir l’évaluation.