Un chatbot RH qui pré-trie automatiquement 2000 candidatures par trimestre fait l'objet d'une DPIA RGPD. Le dossier RGPD est complet : bases légales identifiées, consentement collecté, droit d'accès aménagé. Pourtant, sous l'EU AI Act, ce même chatbot peut relever de l'Annexe III point 4 (recrutement et gestion des travailleurs) et nécessiter une analyse complémentaire, la FRIA, qui pose des questions que la DPIA n'a pas eu à poser. Ce système crée-t-il un désavantage systémique pour certaines populations ? Comment le candidat refusé peut-il contester la décision ? Qui répond en cas d'incident discriminatoire ?

Ce malentendu est courant. Le risque opérationnel est que des PME, accompagnées par des DPO compétents en RGPD, se reposent sur leur DPIA existante sans intégrer les exigences spécifiques de l'EU AI Act. Le report de l'Annexe III au 2 décembre 2027, introduit par le Digital Omnibus du 7 mai 2026, renforce cette confusion. C'est inexact : l'obligation d'enregistrement de l'Article 6(3) survit intacte, l'Article 4 sur la littératie est en vigueur depuis février 2025, et certaines obligations de transparence de l'Article 50 s'appliquent dès le 2 août 2026.

Sommaire

  1. La DPIA RGPD : rappel synthétique
  2. Ce que l'EU AI Act ajoute
  3. Pont méthodologique DPIA × FRIA
  4. Cinq pièges classiques à éviter
  5. Plan d'action DPO en cinq étapes
  6. Conclusion

La DPIA RGPD : rappel synthétique

L'Article 35 du RGPD impose une analyse d'impact pour tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. La méthodologie est standardisée : description du traitement, évaluation de la nécessité et de la proportionnalité, analyse des risques pour les personnes concernées, mesures techniques et organisationnelles de réduction.

La CNIL liste neuf critères opérationnels permettant d'identifier les traitements à haut risque (le cumul de deux critères ou plus déclenche en principe l'obligation de DPIA). Les outils méthodologiques sont matures : PIA CNIL, EBIOS RM, ISO 27701. Pour une vision panoramique de l'articulation RGPD × EU AI Act, voir notre article dédié.

L'EU AI Act introduit une obligation d'une nature différente, qui complète la DPIA sans la remplacer. Cette obligation porte sur les droits fondamentaux dans leur ensemble, pas uniquement sur la protection des données.

Ce que l'EU AI Act ajoute

3.1 Fournisseur ou déployeur ? La distinction Article 3 qui change tout

Avant toute analyse d'impact sous EU AI Act, il faut identifier le rôle de l'organisation. L'Article 3(3) définit le fournisseur (provider) comme l'entité qui développe ou met sur le marché un système IA. L'Article 3(4) définit le déployeur (deployer) comme l'entité qui utilise un système IA sous sa propre autorité.

Cette distinction est critique pour les PME tech. Une organisation qui développe et utilise une fonctionnalité IA dans son propre SaaS cumule les obligations provider et deployer sur le même système. L'Article 27 FRIA est une obligation deployer uniquement. L'Article 11 sur la documentation technique (Annexe IV) est une obligation provider uniquement. L'Article 4 sur la littératie s'applique aux deux rôles.

Sans cette qualification préalable, l'analyse d'impact risque d'ignorer des obligations applicables ou d'engager des analyses hors-cible.

3.2 FRIA Article 27 : une analyse d'un autre type

La FRIA (Fundamental Rights Impact Assessment) est définie par l'Article 27 de l'EU AI Act. Elle s'applique aux déployeurs de systèmes d'IA à haut risque (Annexe III), et plus précisément à trois catégories : organismes de droit public, entités privées fournissant des services publics, et déployeurs de systèmes IA listés à l'Annexe III point 5(b) (évaluation de la solvabilité) et 5(c) (évaluation des risques et tarification d'assurance-vie et santé).

« description of the deployer's processes in which the high-risk AI system will be used »

Article 27(1) — EU AI Act, Règlement (UE) 2024/1689

L'Article 27(1) fixe le périmètre minimal : la documentation doit inclure notamment cette description des processus opérationnels. L'analyse part de l'usage opérationnel concret, pas d'une description théorique.

Le Digital Omnibus du 7 mai 2026 décale l'application de l'Article 27 au 2 décembre 2027. La préparation reste recommandée. La différence de fond avec la DPIA RGPD : la DPIA porte sur les données, la FRIA porte sur les personnes affectées et leurs droits fondamentaux dans leur ensemble.

3.3 Article 6(3) : la documentation obligatoire qui survit à l'Omnibus

Le Digital Omnibus a reporté plusieurs échéances de l'Annexe III. Une obligation a néanmoins survécu intacte : l'enregistrement prévu par l'Article 6(3). L'obligation a été maintenue par le compromis Digital Omnibus, malgré la révision initialement envisagée par la Commission. Lorsqu'un système d'IA listé à l'Annexe III est néanmoins considéré par le fournisseur comme non haut risque au titre de l'Article 6(3), il doit être enregistré dans la base de données EU AI Act (informations listées à l'Annexe VIII Section B). Cette obligation préparatoire ne peut pas attendre 2027.

Le projet de guidelines publié le 19 mai 2026 par la Commission précise les conditions pour qu'un système Annexe III échappe au régime haut risque au titre de l'Article 6(3). Le projet identifie quatre conditions cumulatives :

La Commission insiste sur une interprétation étroite. La section RH des guidelines confirme par exemple que les systèmes de matching et de ranking automatisé conçus pour assister les recruteurs sont identifiés comme haut risque dans le cadre de l'Annexe III point 4.

Précision méthodologique. Ce projet de guidelines reste ouvert à consultation publique jusqu'au 23 juin 2026 et n'est pas contraignant (seule la CJUE peut trancher in fine). L'Article 80 organise par ailleurs le mécanisme par lequel les autorités nationales de surveillance du marché peuvent évaluer et le cas échéant contester une auto-classification non-haut risque, ce qui rend la documentation justificative essentielle.

3.4 Article 4 : la littératie IA en vigueur depuis février 2025

L'Article 4 n'a fait l'objet d'aucun décalage par le Digital Omnibus. Il est en vigueur depuis février 2025. Il impose que tout opérateur intervenant dans une analyse d'impact (DPIA ou FRIA) dispose d'un niveau suffisant de littératie IA pour comprendre la nature, les limites et les risques du système analysé.

Sans littératie minimale, une analyse d'impact est conduite à l'aveugle. La conséquence méthodologique est claire : la formation Article 4 doit précéder la mise à jour des DPIA existantes, pas l'inverse.

3.5 Article 14 : la supervision humaine documentée

L'analyse d'impact doit nommer explicitement la forme de supervision humaine prévue pour chaque système IA. Le « human in the loop » déclaratif ne suffit pas. La FRIA documente la supervision telle qu'elle est prévue ; le suivi opérationnel documente son exercice effectif dans la durée.

Une FRIA qui décrit une supervision théorique sans procédure opérationnelle nommée laisse l'organisation exposée en cas d'incident. Notre article pillar sur la supervision humaine détaille la méthodologie en quatre niveaux opérationnels (REVIEW, OVERRIDE, MONITORING, STOP) qui sert d'aval méthodologique à la FRIA.

3.6 Article 50 : la transparence interactive post-Omnibus

L'Article 50 organise les obligations de transparence pour les systèmes IA interactifs et les contenus synthétiques. Les obligations 50(1) (interactions IA), 50(3) (emotion recognition) et 50(4) (deepfakes) sont appliquées au 2 août 2026 sans aménagement. L'obligation 50(2) (marquage des contenus synthétiques générés par IA pour permettre leur détection) s'applique au 2 août 2026 pour les nouveaux systèmes. Une grandfathering rule introduite par l'Omnibus accorde un délai jusqu'au 2 décembre 2026 pour les systèmes IA générateurs de contenus déjà sur le marché avant le 2 août 2026.

L'implication pour la FRIA est directe : la transparence factuelle vis-à-vis des personnes interagissant avec le système conditionne le consentement éclairé documenté dans l'analyse d'impact.

Pont méthodologique DPIA × FRIA

4.1 Tableau comparatif DPIA versus FRIA

Le tableau ci-dessous synthétise les différences pratiques sur huit dimensions opérationnelles, pour usage immédiat en cabinet DPO.

Dimension DPIA (Article 35 RGPD) FRIA (Article 27 EU AI Act)
Champ d'applicationDonnées personnellesDroits fondamentaux dans leur ensemble
Base juridiqueRisque élevé pour droits et libertés des personnesSystème d'IA haut risque listé à l'Annexe III
Déclencheur opérationnel9 critères CNIL (cumul de 2 ou plus)Statut deployer + Annexe III + 3 catégories spécifiques
Livrable documentéRegistre des traitements + plan d'actionDescription usage + analyse risques + gouvernance + notification
Autorité de contrôleCNIL (en France), homologues nationauxAI Office + autorités nationales de surveillance du marché
Consultation préalableCNIL si risque résiduel élevé subsisteNotification à l'autorité nationale de surveillance
Méthodologie de référencePIA CNIL, EBIOS RM, ISO 27701Cadre AI Office (template attendu, non publié à mai 2026) + frameworks externes (ECNL HRIA, Danish Institute for Human Rights HRIA)
Date d'applicationEn vigueur depuis 20182 décembre 2027 (Article 27 + Annexe III post-Omnibus)

Deux lectures opérationnelles ressortent. D'abord, le champ d'application de la FRIA dépasse celui de la DPIA : un système IA peut affecter des droits fondamentaux (non-discrimination, accès à un recours effectif, droit au travail) sans traiter de données personnelles supplémentaires. Ensuite, la DPIA évalue les risques d'un traitement de données, la FRIA évalue les risques d'un usage d'IA pour les droits fondamentaux. La gouvernance documentaire d'une organisation doit anticiper deux interlocuteurs distincts.

4.2 Trois approches d'articulation DPIA et FRIA

Le choix d'articulation dépend de la taille de l'organisation, du nombre de systèmes IA déployés, et de l'industrialisation des processus DPIA existants.

Approche A : la DPIA-Plus intégrée (recommandée pour les PME de 10 à 100 salariés). Un document unique couvre les deux périmètres. L'Article 27(4) prévoit que lorsque certaines obligations FRIA sont déjà satisfaites par une DPIA conduite au titre de l'Article 35 RGPD, la FRIA complète cette DPIA sur les volets manquants. DPIA et FRIA peuvent ainsi être consolidées en un rapport intégré unique. L'avantage est l'économie de temps et une vision unifiée ; l'inconvénient est le risque de mélange entre régimes RGPD et EU AI Act. Cette approche convient aux PME ayant peu de systèmes IA et une équipe DPO restreinte.

Approche B : la conduite parallèle (recommandée pour les ETI de 100 à 500 salariés). Deux documents distincts, chacun avec son objet juridique propre, et un référencement croisé explicite. L'avantage est la clarté juridique et la traçabilité indépendante. L'inconvénient est la duplication d'effort, avec typiquement 30 à 40 % de chevauchement matériel. Cette approche s'adresse aux organisations multi-sites ou ayant plusieurs systèmes IA dans des contextes hétérogènes.

Approche C : la modulaire (DPIA existante + annexe FRIA dédiée). La DPIA existante est conservée comme base. Une annexe FRIA complète uniquement les volets manquants : droits fondamentaux non couverts par la DPIA, groupes vulnérables affectés, mécanismes de recours individuel. Cette approche s'applique aux organisations dont les DPIA RGPD sont déjà industrialisées.

4.3 Cinq questions à intégrer dans un DPIA pour qu'il couvre l'EU AI Act

Indépendamment de l'approche retenue, cinq questions doivent être intégrées à toute analyse d'impact pour couvrir les exigences EU AI Act.

Checklist DPIA-Plus EU AI Act

  1. Le système est-il un système d'IA au sens de l'Article 3(1) ? La définition vise tout système automatisé qui infère, à partir d'entrées, comment générer des sorties (prédictions, contenus, recommandations, décisions). Un script déterministe simple n'est pas concerné ; un système de scoring par modèle entraîné l'est.
  2. Relève-t-il de la catégorie haut risque (Annexe III) ? Les huit domaines listés sont (1) la biométrie, (2) les infrastructures critiques, (3) l'éducation et la formation professionnelle, (4) l'emploi et la gestion des travailleurs, (5) les services essentiels privés et publics, (6) l'application de la loi, (7) la migration et les contrôles aux frontières, (8) l'administration de la justice et les processus démocratiques. Si l'auto-évaluation conclut à « non haut risque » dans un domaine Annexe III, l'enregistrement Article 6(3) reste obligatoire.
  3. L'organisation est-elle fournisseur (Article 3(3)), déployeur (Article 3(4)), ou les deux ? Cette qualification détermine la liste exhaustive des obligations applicables. Une PME tech qui intègre une fonctionnalité IA dans son produit logiciel cumule provider et deployer sur le même système.
  4. Les utilisateurs disposent-ils de la littératie nécessaire (Article 4) pour interpréter les sorties ? L'Article 4 est en vigueur depuis février 2025. Sans littératie minimale, l'analyse d'impact est biaisée à la base et la supervision humaine prévue par l'Article 14 reste théorique.
  5. La supervision humaine prévue par l'Article 14 est-elle nommée, documentée et testable ? Le « human in the loop » déclaratif ne satisfait pas l'Article 14. Une méthodologie en quatre niveaux opérationnels (REVIEW, OVERRIDE, MONITORING, STOP) répond à cette exigence, comme détaillé dans le pillar Complyla sur la supervision humaine.

Cinq pièges classiques à éviter

Piège 1 : « on a un DPIA donc on est conforme EU AI Act ». Faux. La DPIA RGPD ne couvre ni la classification Annexe III, ni l'Article 4, ni l'Article 14, ni l'Annexe IV (documentation technique Article 11) pour les fournisseurs. Un chatbot RH typique qui pré-trie 2000 candidatures par trimestre peut faire l'objet d'une DPIA RGPD complète sans pour autant satisfaire les exigences d'une FRIA Article 27 : la DPIA n'évalue ni le risque de désavantage systémique pour des populations spécifiques, ni l'effectivité du recours individuel pour un candidat refusé.

Piège 2 : « FRIA égale DPIA renommé ». Faux. Le champ est élargi aux droits fondamentaux non couverts par le RGPD : non-discrimination, accès à un recours effectif, droits sociaux. La DPIA porte sur les données ; la FRIA porte sur les personnes et leurs droits issus de la Charte des droits fondamentaux de l'Union européenne.

Piège 3 : « si non haut risque, pas d'analyse ». Faux. L'Article 4 et l'Article 50 s'appliquent hors périmètre haut risque. L'enregistrement Article 6(3) survit après Omnibus, même pour une auto-évaluation « non haut risque » dans un domaine Annexe III.

Piège 4 : « attendons le template officiel AI Office ». Au moment de la rédaction de cet article, le template officiel AI Office sur la FRIA n'a pas été publié. L'Article 27(1) est suffisamment spécifique pour supporter une documentation interne dès maintenant.

Piège 5 : « le Digital Omnibus nous donne du temps ». Faux. Le report concerne uniquement les obligations Annexe III à fin 2027. L'obligation d'enregistrement Article 6(3) survit intacte. L'Article 4 reste en vigueur depuis février 2025. Les obligations Article 50(1)(3)(4) s'appliquent au 2 août 2026 sans transition.

Plan d'action DPO en cinq étapes

Roadmap T3 2026 → 2 décembre 2027

  1. Étape 1 (T3 2026) : auditer les DPIA existantes et tagger celles qui touchent à l'IA. Inventaire des systèmes IA déployés ou en projet. L'inventaire doit inclure les systèmes IA utilisés sans déclaration officielle (cf. notre article sur le shadow AI en PME). Identification des systèmes potentiellement Annexe III. Identification des DPIA RGPD préexistantes liées.
  2. Étape 2 (semaine suivante) : qualifier le statut provider, deployer, ou les deux pour chaque système Annexe III identifié. Pour chaque DPIA existante, identifier les volets réutilisables au titre de l'Article 27(4).
  3. Étape 3 (semaines 3 et 4) : construire un template DPIA-Plus. Choix méthodologique entre approches A, B ou C. Intégration des cinq questions EU AI Act. Documentation du choix dans la politique de gouvernance IA.
  4. Étape 4 (mois 2, échéance pilote T4 2026) : conduire une FRIA pilote sur un système haut risque réel. Tester la méthodologie avant généralisation. Identifier les ajustements nécessaires.
  5. Étape 5 (mois 3 et suivants, conformité totale avant le 2 décembre 2027) : industrialiser et coordonner. Coordination entre DSI, équipes juridiques et métiers. Template interne FRIA fondé sur l'Article 27(1). Procédure de mise à jour en cas de changement matériel du système (model drift, ré-entraînement). Articulation explicite avec la supervision humaine opérationnelle.

Conclusion

L'EU AI Act n'efface pas la DPIA RGPD ; il y ajoute une couche d'analyse complémentaire centrée sur les droits fondamentaux. Pour les DPO français, le défi opérationnel des dix-huit mois à venir consiste à articuler ces deux disciplines sans dilution méthodologique. Pour structurer la démarche sur trois mois, consulter notre checklist conformité IA en 90 jours.

Et concrètement pour votre PME ?

Évaluez en 10 minutes votre niveau de conformité EU AI Act et obtenez un pré-diagnostic personnalisé.

Évaluation gratuite Télécharger le guide PDF

Jeremy Couchet — Founder Complyla. Conformité EU AI Act pour cabinets DPO et PME. Méthodologie aérospatiale appliquée à la gouvernance IA.

LinkedIn · contact@complyla.com

Ce contenu constitue un guide informatif et ne constitue pas un avis juridique. Pour toute question juridique spécifique relative à la DPIA Article 35 RGPD ou à la FRIA Article 27 EU AI Act, consultez un avocat spécialisé.