30 jours d'essai gratuit, risques IA générative :Commencer
Demander une démo
Modèle gratuit · Risques et évaluation

Modèle d'analyse d'impact de l'IASachez qui votre IA affecte avant de la déployer

Un seul document qui couvre l'analyse d'impact sur les droits fondamentaux (FRIA) de l'article 27 de l'EU AI Act, les analyses d'impact algorithmique du secteur public et les revues volontaires de bonnes pratiques. Déterminez si une analyse est requise, décrivez le système et les personnes concernées, notez les risques, consignez les mesures d'atténuation et obtenez la validation, dans un format directement utilisable par une équipe GRC.

Quand une analyse d'impact de l'IA est-elle nécessaire ?

Certains déclencheurs sont des obligations légales ; d'autres relèvent des bonnes pratiques que clients et auditeurs attendent de plus en plus. Un seul oui suffit pour lancer l'analyse.

Obligatoire
Organismes publics déployant de l'IA à haut risque (art. 27 de l'EU AI Act)
Les organismes de droit public et les entités privées fournissant des services publics doivent réaliser une analyse d'impact sur les droits fondamentaux avant la première utilisation de la plupart des systèmes à haut risque de l'annexe III.
Obligatoire
Évaluation de crédit et tarification en assurance vie ou santé
Tout déployeur, y compris les banques et les assureurs, qui utilise une IA à haut risque pour évaluer la solvabilité ou pour évaluer les risques et fixer les prix en assurance vie et santé doit réaliser une FRIA.
Obligatoire
Traitement de données personnelles à haut risque (art. 35 du RGPD)
Le profilage à grande échelle ou les décisions automatisées produisant des effets juridiques ou similaires exigent une AIPD. La FRIA la complète ; ce modèle couvre le volet spécifique à l'IA en parallèle.
Obligatoire
Directives du secteur public et règles de passation de marchés
La Directive canadienne sur la prise de décisions automatisée impose des analyses d'impact algorithmique pour les systèmes décisionnels automatisés fédéraux, et les règles de passation de marchés les exigent de plus en plus des fournisseurs.
Bonne pratique
Décisions importantes concernant des personnes
Recrutement, crédit, logement, santé, éducation, prestations sociales : si le système prend ou influence matériellement ces décisions, analysez-le même lorsqu'aucune loi ne l'exige.
Bonne pratique
Certification et alignement sur les référentiels
ISO/IEC 42001 attend des analyses d'impact des systèmes d'IA dans le cadre du système de management, et le NIST AI RMF place l'identification des impacts dans sa fonction Map.

Calendrier : à la suite de l'omnibus numérique européen adopté en juin 2026, les obligations de l'AI Act pour les systèmes à haut risque, y compris l'obligation de FRIA de l'article 27, s'appliquent à partir du 2 décembre 2027 pour les systèmes autonomes de l'annexe III et à partir du 2 août 2028 pour l'IA intégrée dans des produits réglementés. Plusieurs États américains ont pris le chemin inverse : le SB 189 du Colorado (en vigueur le 1er janvier 2027) a abandonné les obligations d'analyse d'impact au profit d'obligations de transparence. Dans tous les cas, une analyse documentée reste votre meilleure preuve de conduite raisonnable.

Ce que couvre le modèle

Un questionnaire de sélection plus un formulaire d'analyse en neuf sections, avec des exemples remplis qui montrent le niveau de qualité attendu pour les descriptions de risques et les mesures d'atténuation.

1
Questionnaire de sélection
Six questions qui déterminent si une analyse est requise par la loi, par contrat ou recommandée, avec un enregistrement du résultat.
2
Description du système et usage prévu
Fournisseur, version du modèle, cas d'usage réel, processus métier dans lesquels le système opère et fréquence d'utilisation.
3
Personnes et groupes concernés
Chaque groupe touché par le système, la manière dont il est affecté, à quelle échelle et quels facteurs de vulnérabilité s'appliquent.
4
Données et entrées du modèle
Catégories de données, attributs sensibles, provenance, lacunes de représentativité et variables substitutives d'attributs protégés.
5
Registre des risques noté
Risques pour les droits fondamentaux et les individus : discrimination, vie privée, préjudice économique et équité procédurale, chacun noté en probabilité et en gravité.
6
Mesures de supervision humaine
Modèle de supervision, qui examine quels résultats, pouvoir de dérogation, contrôles du biais d'automatisation et arrêt d'urgence.
7
Atténuation et risque résiduel
Mesures d'atténuation avec responsables et échéances, risque résiduel réévalué et dispositifs de réclamation et de recours.
8
Registre de consultation
Qui vous avez consulté, ce qu'ils vous ont dit et ce qui a changé dans le déploiement en conséquence.
9
Déclencheurs de révision
Les événements qui rouvrent l'analyse, des changements de modèle à la dérive, aux réclamations et aux évolutions réglementaires.
10
Validation et signatures
Une décision explicite de déploiement, de déploiement conditionnel ou d'arrêt, avec un tableau de signatures et l'enregistrement de la notification au titre de l'article 27.

Sa place dans votre dispositif de gouvernance

L'analyse d'impact se situe entre la classification et le suivi quotidien. Trois articulations à soigner :

Classifiez d'abord
Effectuez d'abord la classification des risques de l'EU AI Act : le niveau obtenu détermine si l'article 27 s'applique et la profondeur requise de l'analyse.
Associez-la à votre AIPD
Selon l'AI Act, la FRIA complète l'analyse d'impact relative à la protection des données au lieu de la remplacer. Menez-les ensemble et croisez les références plutôt que de dupliquer.
Alimentez votre registre des risques
Les risques résiduels, les déclencheurs de révision et les conditions de validation ont leur place dans votre registre des risques vivant et votre processus de réponse aux incidents, pas dans un tiroir.
Commencer

Connaissez chaque système d'IA avant de l'évaluer

Vous ne pouvez pas évaluer l'impact d'une IA que vous ne voyez pas. Aona découvre chaque outil d'IA utilisé dans votre organisation, cartographie les données qui y circulent et maintient prêt pour l'audit l'inventaire dont dépendent vos analyses d'impact.