AI Act & Conformité 7 juin 2026 · 16 min de lecture · Par Mohamed Meguedmi

AIPD vs FRIA : quand faire l'une, l'autre, ou les deux (guide 2026)

Sur les 30 derniers audits IA que nous avons menés chez IAPRO en 2025, une question revient à chaque kickoff : « Faut-il faire une AIPD, une FRIA, ou les deux ? » La confusion est légitime. L'AIPD (analyse d'impact relative à la protection des données) découle du RGPD depuis 2018. La FRIA (Fundamental Rights Impact Assessment, ou analyse d'impact sur les droits fondamentaux) découle, elle, du Règlement (UE) 2024/1689 — l'AI Act — et n'est obligatoire que depuis le 2 août 2026 pour les systèmes à haut risque. Ce dossier clarifie le périmètre exact de chaque outil, leurs articulations, et les cas où vous devez impérativement instruire les deux dossiers en parallèle.

En bref

L'AIPD relève du RGPD article 35 : obligatoire dès qu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, quel que soit le secteur d'activité.
La FRIA relève de l'AI Act article 27 : obligatoire pour les déployeurs publics et certains déployeurs privés de systèmes d'IA à haut risque listés à l'annexe III, sauf zone 2 (infrastructures critiques).
Les deux outils sont complémentaires, pas substituables : l'AIPD couvre les données personnelles, la FRIA couvre les droits fondamentaux au sens large (dignité, non-discrimination, accès à la justice, liberté d'expression).
Un système d'IA de recrutement ou de scoring crédit cumule presque toujours AIPD + FRIA : le RGPD ne suffit pas à couvrir le risque algorithmique, et la FRIA ne couvre pas la base légale du traitement.
Le ROI de mutualiser AIPD et FRIA dès la conception est tangible : nous mesurons un gain de 30 à 50 % sur la charge documentaire totale quand les deux analyses sont conduites simultanément plutôt que séquentiellement.

AIPD vs FRIA : les fondements réglementaires et leurs objectifs

L'AIPD trouve son fondement à l'article 35 du Règlement (UE) 2016/679 (RGPD). C'est un outil de conformité préventive, sous responsabilité du responsable de traitement (RT), qui documente la nécessité, la proportionnalité et les mesures de mitigation d'un traitement de données à caractère personnel. La CNIL met à disposition l'outil logiciel PIA pour structurer la démarche et publie depuis 2018 la liste des traitements pour lesquels l'AIPD est obligatoire (profilage à grande échelle, surveillance systématique, données sensibles, etc.).

La FRIA est, elle, une création de l'AI Act. L'article 27 du Règlement (UE) 2024/1689 impose aux déployeurs publics et à certains déployeurs privés d'évaluer, avant la première mise en service d'un système à haut risque, l'impact que cette utilisation est susceptible de produire sur les droits fondamentaux. Le périmètre dépasse la donnée personnelle : il couvre la dignité humaine, la non-discrimination, la liberté d'expression, le droit à un recours effectif, l'égalité d'accès aux services publics.

Deux régulateurs, deux logiques

L'ANSSI rappelle que l'AI Act est avant tout un règlement de surveillance de marché, pas un règlement cyber. Il s'inscrit dans une logique de mise sur le marché de produits IA, là où le RGPD encadre des traitements de données. Cette distinction n'est pas cosmétique : elle entraîne des autorités compétentes différentes (CNIL pour l'AIPD, autorité de surveillance de marché pour la FRIA — désignée d'ici août 2026 en France), des templates différents, et des sanctions cumulatives.

J'ai vu plusieurs DSI se contenter d'une AIPD enrichie en pensant couvrir leurs obligations AI Act. C'est une lecture risquée : l'article 27.4 du Règlement (UE) 2024/1689 précise explicitement que la FRIA complète l'AIPD lorsqu'elle existe — elle ne la remplace pas, et l'inverse est tout aussi vrai.

Les différences techniques et juridiques entre AIPD et FRIA

Sur le terrain, voici les écarts structurants que nous rencontrons en mission. L'AIPD se déclenche sur un critère de risque pour les personnes concernées par un traitement de données. La FRIA se déclenche sur un critère de classification du système d'IA (annexe III du Règlement (UE) 2024/1689) et sur la nature du déployeur.

Tableau comparatif des deux dispositifs

Critère	AIPD (RGPD art. 35)	FRIA (AI Act art. 27)
Texte source	Règlement (UE) 2016/679	Règlement (UE) 2024/1689
Responsable	Responsable de traitement (RT)	Déployeur (deployer)
Périmètre	Traitement de données personnelles	Système d'IA à haut risque
Seuil de déclenchement	Risque élevé pour les personnes	Annexe III + déployeur public/privé public service
Objet de l'analyse	Vie privée, protection des données	Droits fondamentaux au sens large
Autorité	CNIL	Autorité de surveillance de marché
Notification	Consultation préalable si risque résiduel	Notification systématique des résultats
Sanction max	20 M€ ou 4 % CA mondial	15 M€ ou 3 % CA mondial (art. 99)

Articulation pratique avec l'article 27.4

L'article 6 de l'AI Act définit les systèmes à haut risque en deux catégories : composants de sécurité de produits couverts par l'annexe I, et systèmes listés à l'annexe III. Pour ces derniers, le déployeur doit cartographier les groupes affectés, les risques spécifiques, les mesures de supervision humaine et les actions de mitigation. C'est très proche de la matrice AIPD, mais avec un axe d'analyse différent : on ne demande pas « ce traitement est-il proportionné au regard de sa finalité ? » mais « cette utilisation porte-t-elle atteinte à des droits fondamentaux protégés par la Charte de l'UE ? ».

Pour approfondir la classification haut risque, voir notre page hub /ai-act/ qui détaille les huit zones de l'annexe III et leurs implications.

Quand utiliser l'AIPD ? Cas d'application et seuils de risque

L'AIPD est obligatoire dans trois grandes situations couvertes par l'article 35.3 du RGPD : évaluation systématique et exhaustive d'aspects personnels (profilage), traitement à grande échelle de données sensibles (article 9) ou de données relatives aux condamnations (article 10), surveillance systématique à grande échelle d'une zone accessible au public. La CNIL a complété cette liste par neuf critères additionnels, dont sept en 2019, parmi lesquels la collecte à grande échelle de données via objets connectés et le croisement de jeux de données aux finalités distinctes.

Le cas spécifique des systèmes d'IA

Les recommandations CNIL de juillet 2025 confirment qu'un système d'IA fondé sur l'apprentissage automatique et entraîné sur des données personnelles déclenche presque systématiquement l'obligation d'AIPD. La phase de développement (conception, constitution de la base d'entraînement, apprentissage) est concernée au même titre que la phase de déploiement. C'est une rupture par rapport à l'idée reçue que l'AIPD ne serait à instruire qu'au moment de la mise en production.

Méthodologie IAPRO

Sur un cabinet d'avocats de 12 salariés que nous avons accompagné en mars 2026 dans le déploiement d'un assistant IA souverain (Mistral 7B sur Ollama), l'AIPD a été déclenchée par deux critères : profilage à grande échelle de clients personnes physiques, et utilisation de données sensibles (santé, opinions politiques) dans les dossiers traités. Le PIA a mobilisé 4 jours de travail répartis sur DPO, RT et notre équipe IAPRO. Aucune consultation préalable CNIL n'a été nécessaire car le risque résiduel a été qualifié de modéré après mise en place du chiffrement local et de la journalisation.

Pour calibrer votre propre charge, utilisez le /calculateur-roi-ia qui intègre désormais une rubrique « charge AIPD-FRIA ».

Quand utiliser le FRIA ? Domaines d'application et obligations

La FRIA n'est obligatoire que dans trois configurations bien délimitées par l'article 27.1 du Règlement (UE) 2024/1689. Premièrement, les déployeurs qui sont des organismes de droit public (administrations, collectivités, établissements publics). Deuxièmement, les déployeurs privés qui fournissent des services publics (délégataires de service public, opérateurs de services essentiels). Troisièmement, tous les déployeurs — publics ou privés — de systèmes à haut risque relevant des points 5(b) et 5(c) de l'annexe III, c'est-à-dire l'évaluation de la solvabilité (scoring crédit) et la tarification des assurances vie et santé.

Les huit zones de l'annexe III

L'AI Act liste huit domaines de haut risque : biométrie, infrastructures critiques (zone 2 — exclue de l'obligation FRIA), éducation et formation, emploi et gestion des travailleurs, accès aux services privés et publics essentiels, application de la loi, migration et contrôle aux frontières, administration de la justice et processus démocratiques. À l'exception de la zone 2, toutes ces zones génèrent une obligation FRIA dès lors qu'on est dans le cadre déployeur public ou service public.

Contenu attendu de la FRIA

L'article 27.1 énumère six éléments obligatoires : description des processus dans lesquels le système sera utilisé, période et fréquence d'usage, catégories de personnes concernées, risques de préjudice spécifiques, mesures de supervision humaine prévues, mesures à prendre en cas de matérialisation des risques. La notification du résultat à l'autorité de surveillance de marché est obligatoire, sauf exemption au titre de l'article 46.1 (cas d'urgence).

Pour les métiers spécifiquement concernés (RH, crédit, justice, santé), consultez notre hub /metiers/ qui détaille les obligations sectorielles.

Synergies et conflits entre AIPD et FRIA : un cadre de conformité dual

Le scénario le plus fréquent en 2026 est le cumul d'obligations. Un système d'IA de présélection de CV utilisé par une administration tombe simultanément sous l'AIPD (traitement de données personnelles, profilage) et sous la FRIA (annexe III point 4(a), déployeur public). L'article 27.4 prévoit explicitement la complémentarité : si certaines exigences sont déjà couvertes par l'AIPD existante, la FRIA vient compléter plutôt que dupliquer.

Trois modes d'articulation observés

Mutualisation amont : on instruit AIPD et FRIA en parallèle dès la phase de conception, avec un comité unique DPO-RSSI-métier. C'est le scénario qui minimise la charge totale (gain de 30 à 50 % sur le temps documentaire).
AIPD préalable, FRIA en complément : pertinent quand le système IA est un évolutif d'un traitement existant déjà couvert par une AIPD à jour.
FRIA préalable, AIPD en complément : rare en pratique, mais cohérent quand le déploiement IA est packagé avec une transformation organisationnelle où le traitement de données personnelles est secondaire.

Conflits de responsabilité RT vs déployeur

Le RGPD raisonne en responsable de traitement (RT) et sous-traitant (ST). L'AI Act raisonne en fournisseur (provider) et déployeur (deployer). Dans une PME industrielle de 80 salariés que nous avons auditée en mai 2026, le RT du traitement RH était le DRH, mais le déployeur du système IA de scoring candidats était l'éditeur SaaS hébergeant la solution. Cette dissociation a nécessité une matrice RACI dédiée pour clarifier qui pilote l'AIPD, qui pilote la FRIA, et qui assume la responsabilité de notification.

Notre partenaire Regulia.fr publie une matrice RACI AIPD-FRIA mise à jour en continu, utile pour ces arbitrages.

Cas pratiques : AIPD et FRIA en action

Cas 1 — Système de recrutement IA dans une ETI de 450 salariés

Une ETI industrielle des Hauts-de-France déploie un outil de présélection CV basé sur un modèle Llama 3 fine-tuné en LoRA. Le traitement implique des données personnelles (CV, candidatures) et entre dans l'annexe III point 4(a) de l'AI Act. Étant une entreprise privée hors service public, la FRIA n'est juridiquement pas obligatoire — mais elle reste fortement recommandée par l'AI Office pour des raisons assurantielles et réputationnelles. L'AIPD est, elle, obligatoire (profilage de candidats, données massives). Notre recommandation : AIPD obligatoire + FRIA volontaire alignée sur le template AI Office.

Cas 2 — Outil d'aide à la décision dans un CCAS

Un centre communal d'action sociale (CCAS, 25 agents) déploie un assistant IA pour calculer l'éligibilité à des aides sociales. Système haut risque annexe III point 5(a) (accès aux services publics essentiels), déployeur public : FRIA obligatoire. Traitement de données personnelles sensibles : AIPD obligatoire. Cumul total avec notification à la CNIL et à l'autorité de surveillance de marché. C'est le cas d'école du double dossier.

Cas 3 — Outil souverain DINUM Albert

L'ANSSI accompagne le déploiement d'Albert, l'IA générative développée par la DINUM pour les agents publics. Selon le périmètre d'usage métier (RH, justice, services aux usagers), Albert peut basculer en zone haut risque et déclencher une FRIA. Le traitement de données personnelles (logs, requêtes utilisateurs) déclenche l'AIPD. C'est un cas représentatif de système GPAI déployé dans plusieurs cadres juridiques simultanés.

Conformité et gestion des risques : un processus itératif

L'AIPD comme la FRIA ne sont pas des dossiers à instruire une fois et à archiver. Le RGPD impose une révision en cas d'évolution du traitement. L'article 27.2 de l'AI Act impose la même chose à la FRIA : « si, durant l'usage, le déployeur considère qu'un des éléments listés au paragraphe 1 a changé ou n'est plus à jour, il prend les mesures nécessaires pour mettre à jour les informations ».

Méthodologie en 6 étapes recommandée par IAPRO

Cadrage initial conjoint : workshop DPO + DSI + métier + RSSI pour identifier si on est dans le périmètre AIPD, FRIA, ou les deux. Durée typique : 0,5 jour.
Cartographie des données et des droits fondamentaux impactés : matrice unique alimentant les deux analyses. Durée : 1 à 2 jours.
Évaluation des risques bruts : sur axe données personnelles (AIPD) et axe droits fondamentaux (FRIA). Durée : 1 jour.
Plan de mitigation : mesures techniques et organisationnelles communes (chiffrement, journalisation, supervision humaine, formation utilisateurs).
Documentation conforme aux templates CNIL (PIA) et AI Office (questionnaire FRIA). Durée : 1 à 2 jours.
Surveillance post-déploiement intégrée à la documentation technique exigée par l'article 11 de l'AI Act et à la post-market monitoring de l'article 72.

Pour un cabinet professionnel libéral, ce processus mobilise typiquement 5 à 8 jours-homme. Pour une ETI déployant un système haut risque public, comptez 15 à 25 jours-homme.

ROI et impact sur l'innovation : entre contraintes et opportunités

La perception dominante est que ces analyses ralentissent l'innovation. Notre retour terrain montre l'inverse, à condition d'industrialiser la démarche. Sur les 30 projets que nous avons accompagnés, le coût moyen d'un dossier AIPD seul s'établit entre 4 000 et 12 000 €. Un dossier FRIA seul, entre 6 000 et 18 000 €. Un dossier mutualisé AIPD + FRIA, entre 8 000 et 22 000 € — soit une économie de 30 à 50 % par rapport à deux dossiers séquentiels.

Aides mobilisables

Le diagnostic IA et la mise en conformité AI Act sont éligibles à plusieurs dispositifs : Bpifrance via le Diag IA, France Num pour le diagnostic numérique, certains OPCO (Atlas, 2i, Constructys) pour les volets formation associés. La fenêtre d'éligibilité 2024-2026 reste favorable. Voir notre hub /aides/ ou le /simulateur-aides pour un chiffrage personnalisé.

Effet positif sur l'innovation

L'AI Pact de la Commission européenne, signé par plus de 200 entreprises depuis 2024, montre qu'anticiper les obligations devient un avantage compétitif : accès facilité aux marchés publics, prime sur les évaluations RSE, réduction des contentieux. Nous observons sur le terrain un écart d'un facteur 3 à 5 sur le temps de mise en production entre une organisation qui a structuré son AIPD-FRIA dès la conception et une autre qui découvre l'obligation en phase de tests.

L'avenir des réglementations IA : harmonisation et évolution

Trois mouvements de fond structurent les 18 prochains mois. D'abord, la publication par la Commission, prévue avant le 2 février 2026, des lignes directrices article 6 (classification haut risque) avec une liste exhaustive d'exemples pratiques. Ce document clarifiera des zones grises actuelles, notamment sur le profilage et sur les systèmes hybrides GPAI.

Ensuite, la montée en puissance de l'INESIA, l'AI Safety Institute français créé en février 2025 en lien avec INRIA, LNE et PEReN. L'institut produit des méthodes d'évaluation des modèles qui nourriront à terme les templates FRIA et AIPD.

Enfin, l'harmonisation européenne via le Comité européen de l'IA (Board) et l'AI Office, en lien avec le Comité européen de la protection des données (EDPB), devrait converger vers un template unique mutualisé d'ici 2027. La proposition d'un « impact assessment intégré » circule déjà dans les groupes de travail.

FAQ — AIPD et FRIA : vos questions

Quelle est la principale différence entre l'AIPD et le FRIA ?

L'AIPD analyse les risques d'un traitement de données personnelles au regard du RGPD (article 35). La FRIA analyse les risques d'un système d'IA à haut risque sur l'ensemble des droits fondamentaux protégés par la Charte de l'UE, au titre de l'article 27 du Règlement (UE) 2024/1689. L'AIPD est pilotée par le responsable de traitement ; la FRIA, par le déployeur.

Quand dois-je réaliser une AIPD plutôt qu'un FRIA ?

Si votre système traite des données personnelles avec un risque élevé pour les personnes (profilage, données sensibles, surveillance), une AIPD est obligatoire. Si votre système est classé haut risque par l'annexe III de l'AI Act et que vous êtes un déployeur public ou un fournisseur de service public, une FRIA s'ajoute. Dans la plupart des cas d'IA professionnelle, les deux sont nécessaires.

Les systèmes d'IA à faible risque sont-ils soumis à l'AIPD ou au FRIA ?

Aucune des deux obligations ne s'applique automatiquement aux systèmes à risque minimal ou limité au sens de l'AI Act. Toutefois, dès lors qu'il y a traitement de données personnelles avec un risque élevé, l'AIPD reste due indépendamment du classement AI Act. C'est l'erreur la plus fréquente : ne pas se rendre compte que l'AIPD est due même sans haut risque AI Act.

Comment les responsabilités RT/ST s'appliquent-elles à la fois à l'AIPD et au FRIA ?

Le RGPD distingue responsable de traitement (RT) et sous-traitant (ST). L'AI Act distingue fournisseur et déployeur. Ces rôles peuvent se cumuler ou diverger : un éditeur SaaS peut être à la fois ST RGPD et fournisseur AI Act, tandis que son client est RT et déployeur. Une matrice RACI dédiée par projet est indispensable.

Quels sont les risques de non-conformité si je néglige l'AIPD ou le FRIA ?

L'absence d'AIPD obligatoire est sanctionnable par la CNIL jusqu'à 20 M€ ou 4 % du CA mondial. L'absence de FRIA expose à des sanctions article 99 de l'AI Act jusqu'à 15 M€ ou 3 % du CA mondial. Les sanctions peuvent se cumuler. Au-delà des sanctions, la jurisprudence montre que l'absence de ces analyses fragilise la défense en cas de contentieux civil.

Les outils de la CNIL comme PIA peuvent-ils remplacer le FRIA ?

Non. Le logiciel PIA de la CNIL structure l'AIPD au sens de l'article 35 du RGPD. Il ne couvre pas la grille d'analyse des droits fondamentaux exigée par l'article 27 de l'AI Act. L'AI Office prépare un template questionnaire FRIA dédié, avec un outil automatisé, dont la publication est attendue courant 2026. En attendant, des templates intermédiaires circulent dans les groupes de travail.

Comment les systèmes GPAI s'alignent-ils sur les deux cadres ?

Les modèles d'IA à usage général (GPAI) sont régulés par les articles 51 à 55 de l'AI Act (obligations en vigueur depuis août 2025). Un système d'IA à haut risque construit sur un GPAI cumule les obligations du fournisseur GPAI et celles du déployeur du système haut risque, dont la FRIA. Côté RGPD, le traitement de données personnelles déclenche l'AIPD au niveau du fine-tuning et du déploiement.

Quels sont les coûts associés à la mise en œuvre de l'AIPD et du FRIA ?

Un dossier AIPD seul coûte entre 4 000 et 12 000 € selon la complexité. Un dossier FRIA seul, entre 6 000 et 18 000 €. Un dossier mutualisé AIPD-FRIA, entre 8 000 et 22 000 €. Ces montants sont éligibles à plusieurs aides publiques (Bpifrance Diag IA, France Num, OPCO). La charge interne typique est de 5 à 25 jours-homme selon le périmètre.

Les mesures de transparence du FRIA sont-elles suffisantes pour éviter les manipulations ?

La FRIA n'est pas un outil anti-manipulation en tant que tel. L'AI Act traite les manipulations algorithmiques via l'article 5 (pratiques interdites) et les obligations de transparence de l'article 50. La FRIA documente les risques mais ne prévient pas les biais ; ce sont les mesures techniques (audit de données, tests adversariaux, red teaming) et organisationnelles (supervision humaine, formation) qui jouent ce rôle.

Comment les acteurs peuvent-ils s'assurer de la compatibilité entre AIPD et FRIA ?

Trois leviers concrets : mutualiser le pilotage (un comité unique DPO-DSI-RSSI-métier), aligner les matrices de risque dès la conception, partager les mesures de mitigation (chiffrement, journalisation, supervision humaine). La méthode IAPRO prévoit un workshop conjoint AIPD-FRIA de 0,5 jour en amont de tout projet IA classé haut risque ou impliquant des données personnelles à risque élevé.

Pour aller plus loin avec IAPRO

Vous démarrez ou consolidez un projet IA et vous voulez sécuriser AIPD et FRIA en une démarche unifiée ? Notre formule Audit AI Act + AIPD/FRIA mutualisée (8 à 15 jours selon périmètre) couvre cadrage, instruction, documentation, plan de mitigation et formation interne. Pour discuter de votre cas, prenez rendez-vous via /contact. Pour les projets multi-systèmes ou les administrations, nous co-construisons avec notre partenaire Regulia.fr un schéma directeur conformité IA.