📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 27 IA ACT - Analyse d’impact sur les droits fondamentaux

Table des matières

Explication de l’article

L’article 27 de l’IA Act impose, pour certains systèmes d’intelligence artificielle à haut risque, la réalisation d’une évaluation de l’impact sur les droits fondamentaux avant leur mise en service ou leur utilisation.

L’objectif principal est préventif : il s’agit d’identifier en amont les risques que le système d’IA peut faire peser sur les droits et libertés des personnes concernées (discrimination, atteinte à la vie privée, exclusion sociale, erreurs affectant des décisions importantes, etc.).

Cette évaluation doit être réalisée par le déployeur du système, notamment lorsqu’il s’agit d’une autorité publique ou d’un acteur privé exerçant une mission d’intérêt général. Elle oblige l’utilisateur du système à réfléchir à ses effets réels sur les individus, au-delà des seules performances techniques.

L’article 27 marque ainsi un tournant : l’IA n’est plus évaluée uniquement sous l’angle technologique ou économique, mais aussi sous l’angle des droits fondamentaux, conformément aux valeurs de l’Union européenne.

Notions clés à comprendre

Système d’IA à haut risque : IA utilisée dans des domaines sensibles (recrutement, éducation, accès aux services publics, justice, sécurité, etc.).

Évaluation ex ante : analyse réalisée avant la mise en service du système.

Droits fondamentaux : droits garantis par la Charte des droits fondamentaux de l’UE (égalité, non-discrimination, protection des données, dignité humaine, liberté individuelle).

Responsabilité du déployeur : ce n’est pas seulement le concepteur de l’IA qui est responsable, mais aussi celui qui l’utilise concrètement.

Exemple pratique

Une collectivité territoriale souhaite utiliser une IA pour automatiser l’attribution d’aides sociales.

Avant de déployer le système, elle doit réaliser une évaluation de l’impact sur les droits fondamentaux, par exemple :

  • vérifier si l’algorithme risque de discriminer certains publics (familles monoparentales, personnes handicapées)
  • analyser les conséquences d’une erreur de l’IA (refus injustifié d’une aide vitale)
  • prévoir des mécanismes de contrôle humain et de recours pour les citoyens.

Si cette évaluation n’est pas réalisée ou si les risques sont ignorés, la collectivité s’expose à des sanctions et à une remise en cause de la légalité du dispositif.

Vous ne savez pas si vous devez réaliser une analyse d’impact avant de déployer votre IA ?
L’article 27 impose une analyse d’impact sur les droits fondamentaux pour certains systèmes d’IA à haut risque, avant leur déploiement.
Réaliser mon analyse d’impact IA avec un expert

Texte original de l’IA Act

Article 27 – Analyse d’impact des systèmes d’IA à haut risque sur les droits fondamentaux

1.   Avant le déploiement d’un système d’IA à haut risque visé à l’article 6, paragraphe 2, à l’exception des systèmes d’IA à haut risque destinés à être utilisés dans le domaine visé à l’annexe III, point 2, les déployeurs qui sont des organismes de droit public ou des entités privées fournissant des services publics et les déployeurs de systèmes d’IA à haut risque visés à l’annexe III, points 5), b) et c), effectuent une analyse de l’impact sur les droits fondamentaux que l’utilisation de ce système peut produire. À cette fin, les déployeurs effectuent une analyse comprenant:

a)

une description des processus du déployeur dans lesquels le système d’IA à haut risque sera utilisé conformément à sa destination;

b)

une description de la période pendant laquelle et de la fréquence à laquelle chaque système d’IA à haut risque est destiné à être utilisé;

c)

les catégories de personnes physiques et les groupes susceptibles d’être concernés par son utilisation dans le contexte spécifique;

d)

les risques spécifiques de préjudice susceptibles d’avoir une incidence sur les catégories de personnes physiques ou groupes de personnes identifiés en vertu du point c) du présent paragraphe, compte tenu des informations fournies par le fournisseur conformément à l’article 13;

e)

une description de la mise en œuvre des mesures de contrôle humain, conformément à la notice d’utilisation;

f)

les mesures à prendre en cas de matérialisation de ces risques, y compris les dispositifs relatifs à la gouvernance interne et aux mécanismes de plainte internes.

2.   L’obligation établie au paragraphe 1 s’applique à la première utilisation du système d’IA à haut risque. Le déployeur peut, dans des cas similaires, s’appuyer sur des analyses d’impact sur les droits fondamentaux effectuées précédemment ou sur des analyses d’impact existantes réalisées par le fournisseur. Si, au cours de l’utilisation du système d’IA à haut risque, le déployeur estime qu’un des éléments énumérés au paragraphe 1 a changé ou n’est plus à jour, il prend les mesures nécessaires pour mettre à jour les informations.

3.   Une fois l’analyse visée au paragraphe 1 du présent article effectuée, le déployeur en notifie les résultats à l’autorité de surveillance du marché, et soumet le modèle visé au paragraphe 5 du présent article, rempli, dans le cadre de la notification. Dans le cas visé à l’article 46, paragraphe 1, les déployeurs peuvent être exemptés de cette obligation de notification.

4.   Si l’une des obligations prévues au présent article est déjà remplie au moyen de l’analyse d’impact relative à la protection des données réalisée en application de l’article 35 du règlement (UE) 2016/679 ou de l’article 27 de la directive (UE) 2016/680, l’analyse d’impact sur les droits fondamentaux visée au paragraphe 1 du présent article complète ladite analyse d’impact relative à la protection des données.

5.   Le Bureau de l’IA élabore un modèle de questionnaire, y compris au moyen d’un outil automatisé, afin d’aider les déployeurs à se conformer de manière simplifiée aux obligations qui leur incombent en vertu du présent article.

Perspectives avec d’autres textes 

Perspectives européennes

Article 35 du RGPD : analyse d’impact relative à la protection des données (AIPD), dont l’article 27 s’inspire fortement.

Charte des droits fondamentaux de l’UE : fondement direct de l’obligation de protection des droits.

Règlement DSA : logique similaire de prévention des risques systémiques.

Perspectives françaises

Loi Informatique et Libertés : obligation de protection des personnes en cas de traitement à risque.

Jurisprudence du Conseil d’État (ex. décisions sur les algorithmes publics) : exigence de transparence et de contrôle.

Évaluer les impacts d’une IA sur les droits fondamentaux peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne.

← Article précédent - Article 26 : Obligations des déployeurs
Article suivant – Article 28 : Autorités notifiantes →

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.