Article 27 du règlement (UE) 2024/1689 — Évaluation de l'impact sur les droits fondamentaux pour les systèmes d'IA à haut risque. Texte officiel, interprétation pratique, obligations clés et implications en matière de conformité.
Résumé du texte officiel
L'article 27 du règlement (UE) 2024/1689 établit une obligation pour certains déployeurs de systèmes d'IA à haut risque de réaliser une évaluation de l'impact sur les droits fondamentaux (ÉIDF) avant de mettre ces systèmes en service. Cette obligation s'applique aux déployeurs qui sont des organismes régis par le droit public au sens de la directive 2014/24/UE, ainsi qu'aux déployeurs qui sont des entités privées fournissant des services à caractère public — notamment dans les domaines bancaire, de l'assurance, de la santé, de l'éducation et de la formation professionnelle, de la gestion de l'emploi et des travailleurs, et de l'administration des infrastructures critiques.
L'évaluation doit être réalisée avant le déploiement et doit couvrir les éléments suivants : une description des processus du déployeur dans lesquels le système d'IA à haut risque sera utilisé et leur finalité ; les catégories de personnes physiques et de groupes susceptibles d'être affectés ; les risques spécifiques pour les droits fondamentaux pouvant résulter de l'utilisation ; les mesures concrètes que le déployeur entend mettre en œuvre pour atténuer ces risques ; une indication de l'existence de mécanismes de réclamation ou de recours ; et, le cas échéant, une description de l'impact sur les enfants.
Les déployeurs relevant de cette obligation doivent également notifier l'autorité de surveillance du marché compétente avant de déployer certaines catégories de systèmes d'IA à haut risque énumérées à l'annexe III. L'évaluation doit s'appuyer sur les informations communiquées par le fournisseur conformément à l'article 13 et doit être documentée et conservée à la disposition des autorités compétentes.
Ce que cela signifie en pratique
Pour les organisations relevant du champ d'application, l'article 27 impose un processus structuré et documenté avant la mise en service de tout système d'IA à haut risque. Il ne s'agit pas d'un simple exercice ponctuel — l'ÉIDF doit refléter le contexte de déploiement réel et être réexaminée lorsque ce contexte change de manière substantielle.
Un hôpital public déployant un système de diagnostic ou de triage assisté par IA doit évaluer quels groupes de patients pourraient être affectés de manière disproportionnée, quels droits sont en jeu (dignité, non-discrimination, accès aux soins de santé), et quelles garanties existent si le système produit des recommandations incorrectes. Une collectivité locale utilisant un système d'IA pour le filtrage de l'éligibilité aux aides sociales doit identifier les risques pour le droit à la protection sociale et à un procès équitable, et documenter le fonctionnement concret de la supervision humaine.
Les entités privées fournissant des services financiers au public — telles que les plateformes de notation de crédit ou de souscription d'assurance — relèvent du champ d'application si elles se qualifient comme déployeurs de systèmes à haut risque au titre de l'annexe III. Une société fintech utilisant un modèle d'IA pour évaluer les demandes de crédit doit cartographier les groupes démographiques exposés aux décisions algorithmiques, évaluer le risque de résultats discriminatoires et établir un parcours de recours documenté.
En pratique, les déployeurs devraient intégrer l'ÉIDF dans leurs flux de travail existants d'analyse d'impact relative à la protection des données (AIPD) au titre du RGPD lorsque cela est pertinent, puisque l'article 27, paragraphe 4, autorise explicitement la réalisation conjointe des deux évaluations. Les organisations devraient désigner un responsable de l'évaluation, utiliser comme données d'entrée la documentation technique et les instructions d'utilisation du fournisseur, et créer un enregistrement versionné pouvant être produit à la demande des autorités de surveillance.
Obligations clés
- Réaliser une évaluation de l'impact sur les droits fondamentaux avant de déployer tout système d'IA à haut risque relevant du champ d'application du déployeur, couvrant l'utilisation prévue, les personnes affectées, les risques identifiés et les mesures d'atténuation prévues.
- Documenter l'évaluation par écrit et la conserver pour inspection par les autorités compétentes et les autorités de surveillance du marché sur demande.
- Notifier l'autorité de surveillance du marché compétente avant le déploiement lorsque la catégorie spécifique de système d'IA à haut risque figurant à l'annexe III l'exige.
- Utiliser les informations et les instructions d'utilisation communiquées par le fournisseur du système d'IA au titre de l'article 13 comme données d'entrée obligatoires pour l'évaluation.
- Actualiser l'évaluation en cas de changement significatif du contexte de déploiement, notamment en cas de modification des catégories de personnes affectées, de la finalité d'utilisation ou du profil de risque du système.
- Lorsqu'une analyse d'impact relative à la protection des données au titre de l'article 35 du RGPD est également requise, les deux évaluations peuvent être réalisées conjointement afin de réduire la charge administrative, à condition que tous les éléments des deux soient couverts.
Relation avec d'autres articles
L'article 27 s'inscrit dans le chapitre 3 du titre III, qui répartit les obligations entre fournisseurs et déployeurs. Il doit être lu conjointement avec l'article 26 (obligations des déployeurs en général), qui établit l'obligation générale des déployeurs d'utiliser les systèmes à haut risque conformément aux instructions du fournisseur et de mettre en place une supervision humaine. L'ÉIDF s'appuie directement sur les informations que le fournisseur est tenu de fournir au titre de l'article 13 (transparence et fourniture d'informations aux déployeurs) et de l'article 16, point d) (obligation du fournisseur d'établir la documentation technique).
L'article 27, paragraphe 4, crée un lien procédural direct avec le RGPD : lorsqu'une AIPD au titre de l'article 35 du règlement (UE) 2016/679 est également requise, les deux évaluations peuvent être fusionnées. Ce lien est particulièrement pertinent pour les déployeurs traitant des données à caractère personnel, ce qui sera le cas dans la plupart des contextes réglementés couverts par l'annexe III.
L'article 27 est également lié à l'article 72 (surveillance du marché) et à l'article 74 (accès aux données), car l'évaluation complétée doit être accessible aux autorités compétentes exerçant des fonctions de supervision.
Calendrier de conformité
Le règlement IA de l'UE est entré en vigueur le 1er août 2024 (vingt jours après sa publication au Journal officiel le 12 juillet 2024). Ses dispositions s'appliquent de manière progressive :
- 2 février 2025 — Les interdictions relatives aux pratiques d'IA présentant un risque inacceptable (article 5) sont devenues applicables.
- 2 août 2025 — Les obligations relatives aux modèles d'IA à usage général (titre VIII, chapitre 2) et les dispositions de gouvernance sont devenues applicables.
- 2 décembre 2026 — Les obligations relatives aux systèmes d'IA à haut risque figurant à l'annexe I (législation sur la sécurité des produits) deviennent applicables.
- 2 août 2027 — Les obligations relatives aux systèmes d'IA à haut risque figurant à l'annexe III (systèmes à haut risque autonomes, notamment ceux les plus susceptibles de déclencher des ÉIDF au titre de l'article 27 dans des domaines tels que l'emploi, l'éducation, l'identification biométrique et l'accès aux services publics) deviennent applicables.
L'article 27 s'inscrit dans le cadre des obligations des déployeurs de systèmes à haut risque et devient donc applicable le 2 août 2027 pour les systèmes relevant de l'annexe III, et le 2 décembre 2026 pour les systèmes relevant de l'annexe I. Les déployeurs ne devraient pas attendre ces échéances : mettre en place dès maintenant des processus d'ÉIDF permet aux organisations d'identifier et de remédier aux risques pour les droits fondamentaux avant le début de l'application des règles et d'aligner les évaluations sur les programmes en cours d'AIPD au titre du RGPD.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
L'article 27 s'applique spécifiquement aux déployeurs de systèmes d'IA à haut risque qui sont des organismes régis par le droit public, ou des entités privées fournissant des services à caractère public — notamment dans les domaines bancaire, de l'assurance, de la santé ou de l'éducation. Tous les déployeurs ne sont pas concernés — les entreprises privées opérant dans des contextes purement commerciaux sans dimension de service public sont généralement hors du champ de cette obligation spécifique, bien qu'elles restent soumises à d'autres obligations des déployeurs au titre du règlement IA.
L'évaluation doit être conduite avant le déploiement du système d'IA à haut risque. Il s'agit d'une obligation préalable au déploiement, ce qui signifie que le déployeur doit réaliser et documenter l'évaluation avant de mettre le système en service. Elle doit être actualisée en cas de changements significatifs dans le contexte de déploiement ou l'utilisation du système.
L'évaluation de conformité prévue à l'article 43 est réalisée par le fournisseur ou pour son compte afin de vérifier que le système d'IA satisfait aux exigences techniques du chapitre 2 avant sa mise sur le marché. L'ÉIDF prévue à l'article 27 est réalisée par le déployeur pour évaluer l'impact concret sur les droits fondamentaux dans le contexte de déploiement spécifique. Ces deux démarches sont complémentaires : l'évaluation de conformité porte sur la conformité intrinsèque du système, tandis que l'ÉIDF porte sur l'impact réel sur les personnes dans un cas d'utilisation donné.
L'article 27 n'impose pas explicitement un audit externe. L'évaluation peut être réalisée en interne par le déployeur. Toutefois, les déployeurs doivent notifier l'autorité de surveillance du marché compétente avant le déploiement dans certains cas, et l'évaluation documentée doit être mise à la disposition des autorités compétentes sur demande. Le recours à une expertise externe constitue une bonne pratique, notamment pour les contextes de déploiement complexes ou sensibles.
Les déployeurs doivent utiliser les informations mises à disposition par le fournisseur au titre de l'article 13 (transparence et fourniture d'informations) et les instructions d'utilisation. Les fournisseurs sont tenus de communiquer des informations suffisantes sur la finalité prévue, les capacités, les limites et les risques du système pour permettre aux déployeurs de procéder à une évaluation significative de l'impact sur les droits fondamentaux.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.