L'article 27 du Règlement (UE) 2024/1689 détaille les obligations des déployeurs en matière d'analyse d'impact sur les droits fondamentaux (AIDF) pour les systèmes d'IA à haut risque. Cette disposition s'applique aux organismes de droit public et aux opérateurs privés fournissant des services publics, reconnaissant leur responsabilité particulière dans la protection des droits des citoyens.
L'analyse d'impact sur les droits fondamentaux s'inspire du modèle des analyses d'impact relatives à la protection des données (AIPD) prévues par le RGPD, tout en l'élargissant à l'ensemble des droits fondamentaux garantis par la Charte des droits fondamentaux de l'Union européenne. Elle vise à anticiper et à atténuer les effets négatifs potentiels du système d'IA sur les personnes concernées.
L'article 27 précise le champ d'application de cette obligation, son contenu, les modalités de sa réalisation et les conditions de sa mise à jour, fournissant un cadre structuré pour cette démarche d'évaluation préalable.
Texte officiel de l'article 27 de l'AI Act
L'article 27 de l'AI Act dispose :
1. Avant de mettre en service un système d'IA à haut risque visé à l'article 6, paragraphe 2, les déployeurs visés à l'article 26, paragraphe 8, effectuent une analyse d'impact sur les droits fondamentaux que l'utilisation de ce système peut engendrer. À cette fin, les déployeurs procèdent à une analyse comprenant :
a) une description des processus du déployeur dans lesquels le système d'IA à haut risque sera utilisé conformément à sa finalité prévue ;
b) une description de la période et de la fréquence auxquelles chaque système d'IA à haut risque est destiné à être utilisé ;
c) les catégories de personnes physiques et de groupes susceptibles d'être concernés par son utilisation dans le contexte spécifique ;
d) les risques spécifiques de préjudice susceptibles d'avoir une incidence sur les catégories de personnes physiques ou de groupes de personnes identifiées en vertu du point c) du présent paragraphe, compte tenu des informations communiquées par le fournisseur conformément à l'article 13 ;
e) une description de la mise en œuvre des mesures de contrôle humain, conformément aux instructions d'utilisation ;
f) les mesures à prendre en cas de matérialisation de ces risques, y compris les dispositifs de gouvernance interne et les mécanismes de plainte.
2. L'obligation prévue au paragraphe 1 s'applique à la première utilisation du système d'IA à haut risque. Le déployeur peut, dans des cas similaires, s'appuyer sur des analyses d'impact sur les droits fondamentaux effectuées précédemment ou sur des analyses d'impact existantes réalisées par le fournisseur. (...)
3. Lorsque l'une des informations visées au paragraphe 1 a déjà été fournie dans le cadre de l'analyse d'impact relative à la protection des données effectuée conformément à l'article 35 du règlement (UE) 2016/679 (...), l'analyse d'impact sur les droits fondamentaux complète cette analyse d'impact relative à la protection des données.
4. Les déployeurs informent l'autorité de surveillance du marché des résultats de l'analyse effectuée conformément au paragraphe 1, en soumettant le formulaire d'enregistrement rempli visé à l'article 49, paragraphe 5.
5. Les déployeurs utilisent les informations reçues en application de l'article 13 pour se conformer à leur obligation prévue au paragraphe 1 du présent article.
Analyse juridique de l'article 27
Champ d'application de l'obligation
L'obligation d'AIDF s'applique aux systèmes d'IA à haut risque visés à l'article 6, paragraphe 2, c'est-à-dire ceux relevant des domaines énumérés à l'annexe III (identification biométrique, gestion des infrastructures critiques, éducation, emploi, services publics essentiels, répression, immigration, justice). Elle concerne les déployeurs qui sont des organismes de droit public ou des opérateurs privés fournissant des services publics.
Contenu de l'analyse
L'AIDF doit couvrir six éléments principaux :
- Description des processus : contexte d'utilisation du système et sa place dans les processus métier du déployeur
- Période et fréquence d'utilisation : caractérisation temporelle du déploiement
- Personnes concernées : identification des catégories de personnes physiques et groupes affectés
- Risques de préjudice : analyse des risques spécifiques pour les personnes identifiées, en s'appuyant sur les informations du fournisseur
- Contrôle humain : description des mesures de surveillance humaine mises en œuvre
- Mesures d'atténuation : actions prévues en cas de matérialisation des risques, y compris les voies de recours
Moment de réalisation
L'AIDF doit être réalisée « avant de mettre en service » le système. Elle constitue donc un préalable obligatoire au déploiement, et non une formalité pouvant être accomplie postérieurement. Cette exigence garantit une réflexion anticipée sur les impacts du système.
Articulation avec l'AIPD du RGPD
Lorsqu'une analyse d'impact relative à la protection des données (AIPD) a été réalisée conformément à l'article 35 du RGPD, l'AIDF la complète sans la dupliquer. Les éléments déjà traités dans l'AIPD peuvent être réutilisés, l'AIDF se concentrant sur les droits fondamentaux non couverts par la protection des données (non-discrimination, dignité, liberté, etc.).
Réutilisation d'analyses existantes
Le déployeur peut s'appuyer sur des analyses antérieures pour des « cas similaires » ou sur des analyses réalisées par le fournisseur. Cette disposition favorise l'efficacité en évitant de répéter intégralement l'exercice pour des déploiements comparables, tout en maintenant l'exigence d'une évaluation spécifique au contexte.
Notification à l'autorité de surveillance
Les résultats de l'AIDF doivent être communiqués à l'autorité de surveillance du marché via le formulaire d'enregistrement prévu à l'article 49. Cette notification permet aux autorités de disposer d'une vision consolidée des systèmes d'IA à haut risque déployés par les organismes publics et les opérateurs de services publics.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 27 de l'AI Act
Cas 1 - Pôle emploi déployant un système d'orientation : Avant de mettre en service un système d'IA recommandant des formations aux demandeurs d'emploi, Pôle emploi réalise une AIDF. Elle identifie les risques de discrimination (âge, origine, handicap), décrit les mesures de contrôle humain (validation par un conseiller), prévoit des mécanismes de recours (contestation des recommandations), et complète l'AIPD déjà réalisée au titre du RGPD.
Cas 2 - CAF utilisant un système de détection de fraude : La Caisse d'allocations familiales déploie un système d'IA pour le ciblage des contrôles. L'AIDF analyse les risques de profilage discriminatoire de certaines catégories d'allocataires, décrit les garanties procédurales (contrôle humain des ciblages, possibilité de contestation), et évalue l'impact sur le droit aux prestations sociales.
Cas 3 - Opérateur de transport public : Un opérateur de transports urbains déploie un système de vidéosurveillance avec détection comportementale. En tant qu'opérateur de service public, il réalise une AIDF examinant les impacts sur la vie privée, la liberté de circulation, et le risque de surveillance disproportionnée. Il prévoit des limitations de la durée de conservation des données et des procédures d'accès pour les personnes filmées.
Cas 4 - Réutilisation d'analyse existante : Une mairie ayant déjà réalisé une AIDF pour un système de tri de candidatures pour ses recrutements peut s'appuyer sur cette analyse pour déployer le même système dans ses services annexes. Elle vérifie que le contexte est suffisamment similaire et adapte les éléments spécifiques (catégories de personnes concernées, processus métier).
Articulation avec les autres dispositions de l'AI Act
L'article 27 détaille l'obligation introduite à l'article 26, paragraphe 8, concernant l'analyse d'impact pour les déployeurs publics ou fournissant des services publics. Il s'appuie sur les informations que le fournisseur doit communiquer au titre de l'article 13 (transparence), permettant au déployeur de comprendre le fonctionnement du système et ses risques inhérents.
La notification des résultats de l'AIDF à l'autorité de surveillance (paragraphe 4) s'inscrit dans le dispositif d'enregistrement prévu à l'article 49, contribuant à la base de données européenne des systèmes d'IA à haut risque.
L'articulation avec le RGPD (paragraphe 3) illustre l'approche d'intégration retenue par l'AI Act : les obligations s'ajoutent aux exigences existantes sans créer de contradiction, permettant une vision cohérente de la conformité.
Implications pratiques pour les organisations
Les organismes publics et les opérateurs de services publics doivent intégrer l'AIDF dans leur processus de décision préalablement au déploiement de systèmes d'IA à haut risque. Cette analyse doit être menée par des équipes pluridisciplinaires associant expertise métier, juridique et technique.
L'AIDF doit être documentée et conservée, car elle peut être demandée par les autorités de contrôle. Sa mise à jour est nécessaire en cas de changement significatif dans les conditions d'utilisation du système ou dans la population concernée.
La coordination avec les délégués à la protection des données est essentielle lorsque le système traite des données personnelles. L'AIDF et l'AIPD peuvent être menées conjointement pour une approche cohérente et efficiente.
Les mécanismes de recours prévus dans l'AIDF doivent être effectivement mis en place et accessibles aux personnes concernées. L'information de ces personnes sur leurs droits contribue à l'effectivité de ces mécanismes.
L'article 27 de l'AI Act établit un cadre structuré pour l'analyse d'impact sur les droits fondamentaux, obligation préalable au déploiement de systèmes d'IA à haut risque par les organismes publics et les opérateurs de services publics. Cette analyse vise à anticiper et à atténuer les effets négatifs potentiels du système sur les personnes concernées.
En s'articulant avec les analyses d'impact existantes (AIPD RGPD) et en s'appuyant sur les informations fournies par les fournisseurs, l'AIDF s'inscrit dans une démarche de conformité cohérente et efficiente. La notification à l'autorité de surveillance garantit une visibilité publique sur les déploiements d'IA à haut risque dans les services publics.
Pour les organisations concernées, l'AIDF représente une opportunité de structurer leur réflexion sur l'usage de l'IA et de démontrer leur engagement en faveur de la protection des droits fondamentaux des citoyens et usagers qu'elles servent.