L'EU AI Act (Reglement 2024/1689) introduit des obligations non seulement pour les entreprises qui developpent des systemes d'IA, mais pour toute organisation qui les utilise. Le reglement appelle ces organisations des "deployers" — et si votre entreprise utilise des outils alimentes par l'IA dans ses operations, vous en etes un. Cet article explique les obligations specifiques des deployers en vertu de l'Art. 26 et l'Art. 27, la difference entre une DPIA et une evaluation d'impact sur les droits fondamentaux (FRIA), et les etapes pratiques a entreprendre avant le 2 aout 2026.
Qui est un deployer ?
L'Art. 3(4) definit un deployer comme toute personne physique ou morale qui utilise un systeme d'IA sous sa propre autorite. Vous n'avez pas construit l'IA — mais vous avez decide de la deployer dans votre organisation, ce qui vous rend responsable de son fonctionnement et de son impact sur les personnes.
Si votre service RH utilise une selection de candidats assistee par l'IA, si votre departement financier utilise un scoring de credit par IA, ou si votre service client utilise un chatbot IA — votre organisation est deployer pour chacun de ces systemes. Les obligations sont proportionnelles au risque : les systemes a risque minimal exigent peu, mais les systemes a haut risque necessitent une documentation structuree, une supervision humaine et des evaluations d'impact.
Art. 26 : Obligations fondamentales des deployers
L'article 26 definit ce que chaque deployer d'un systeme d'IA a haut risque doit faire. Ce ne sont pas des suggestions — ce sont des exigences legales assorties de sanctions.
Utilisation conforme aux instructions. Les deployers doivent utiliser les systemes d'IA a haut risque conformement aux instructions d'utilisation du fournisseur. Cela signifie lire la documentation, comprendre l'objectif prevu et les limites du systeme, et ne pas le detourner pour des usages que le fournisseur n'a pas prevus ni valides.
Assurer la supervision humaine. Designez des personnes competentes pour superviser le fonctionnement du systeme d'IA. Ces personnes doivent avoir l'autorite, la competence et les ressources necessaires pour passer outre ou ignorer la sortie du systeme. Documentez qui sont ces personnes, quelle formation elles ont recue et quel est le processus d'escalade lorsque l'IA produit des resultats incorrects ou biaises.
Surveiller le fonctionnement. Les deployers doivent surveiller le systeme d'IA pendant son utilisation pour detecter les risques. Si le systeme produit des sorties inattendues, montre des signes de biais ou fonctionne en dehors de ses parametres prevus, vous devez agir — et vous devez avoir des processus en place pour detecter ces problemes.
Conserver les journaux. Les journaux generes automatiquement doivent etre conserves pendant une periode appropriee a l'objectif prevu du systeme d'IA a haut risque, et au moins six mois. Ces journaux doivent etre disponibles pour les autorites de surveillance sur demande.
Realiser une DPIA. Lors du deploiement d'un systeme d'IA a haut risque traitant des donnees personnelles, les deployers doivent realiser une DPIA en vertu de l'Art. 35 du RGPD. Ce n'est pas nouveau — le RGPD l'exigeait deja — mais l'AI Act le rend explicite et obligatoire pour tous les deployers d'IA a haut risque.
Informer les personnes concernees. Les individus soumis a des decisions prises ou assistees par un systeme d'IA a haut risque doivent etre informes de l'utilisation du systeme, sauf si cela est deja evident dans le contexte.
Art. 27 : Evaluation d'impact sur les droits fondamentaux
L'article 27 introduit une nouvelle obligation qui va au-dela du RGPD : l'evaluation d'impact sur les droits fondamentaux (FRIA). Cela s'applique specifiquement aux deployers de systemes d'IA a haut risque qui sont des organismes de droit public, des entites privees fournissant des services publics, ou des deployers utilisant l'IA pour certaines finalites dont le scoring de credit, l'evaluation des risques en assurance vie et sante, et les forces de l'ordre.
La FRIA exige des deployers qu'ils evaluent l'impact du systeme d'IA sur les droits fondamentaux — y compris le droit a la non-discrimination, la vie privee, la liberte d'expression et la dignite humaine — avant la mise en service du systeme. L'evaluation doit etre transmise a l'autorite de surveillance du marche competente.
FRIA vs DPIA : quelle est la difference ?
Ces deux evaluations servent des objectifs differents et aucune ne remplace l'autre.
Une DPIA (RGPD Art. 35) se concentre sur les risques lies a la protection des donnees. Elle pose la question : quelles donnees personnelles sont traitees, quels sont les risques pour la vie privee des individus, et quelles mesures attenuent ces risques ? Elle couvre la minimisation des donnees, la limitation de la conservation, les controles d'acces et les scenarios de violation.
Une FRIA (AI Act Art. 27) se concentre sur l'impact plus large des decisions alimentees par l'IA sur les droits fondamentaux. Elle pose la question : ce systeme d'IA pourrait-il discriminer des groupes proteges ? Pourrait-il affecter l'acces aux services essentiels ? Pourrait-il porter atteinte a l'autonomie ou la dignite humaine ? La FRIA examine l'impact decisionnel, pas seulement le traitement des donnees.
En pratique, un systeme d'IA a haut risque traitant des donnees personnelles necessitera les deux evaluations. Elles partagent un terrain commun — toutes deux considerent les risques pour les individus — mais elles abordent la question sous des angles differents. Votre DPIA protege les personnes concernees. Votre FRIA protege les titulaires de droits fondamentaux. Souvent ce sont les memes personnes, mais l'analyse differe.
Ce que les deployers doivent documenter
Pour chaque systeme d'IA dans votre organisation, vous devriez pouvoir repondre a ces questions :
- Fournisseur et modele. Qui a construit le systeme d'IA ? Quelle version utilisez-vous ?
- Finalite prevue. A quoi l'utilisez-vous ? Est-ce conforme a l'usage prevu par le fournisseur ?
- Classification des risques. Est-il minimal, limite ou a haut risque selon l'AI Act ? Documentez votre raisonnement.
- Personnes concernees. Qui est affecte par les sorties ou decisions du systeme ? Employes, clients, candidats, le public ?
- Supervision humaine. Qui examine la sortie de l'IA ? Quelle est leur autorite pour passer outre ? Quelle formation ont-ils recue ?
- Statut de conformite. Le fournisseur a-t-il complete une evaluation de conformite ? Y a-t-il un marquage CE ? Le systeme est-il enregistre dans la base de donnees IA de l'UE ?
- Statut DPIA. Une evaluation d'impact sur la protection des donnees a-t-elle ete realisee pour ce systeme ?
- Statut FRIA. Si requis, une evaluation d'impact sur les droits fondamentaux a-t-elle ete realisee et soumise ?
- Journaux et surveillance. Les journaux sont-ils conserves ? Qui surveille le fonctionnement du systeme ?
Etapes pratiques pour les deployers
Etape 1 : Inventoriez vos systemes d'IA
Vous ne pouvez pas gouverner ce que vous n'avez pas cartographie. Listez chaque service alimente par l'IA dans votre organisation — des plateformes d'entreprise avec IA integree aux outils individuels adoptes par les equipes. Ajoutez chacun a votre registre de services de donnees avec sa finalite, ses categories de donnees et ses controles d'acces.
Etape 2 : Classifiez les risques
Pour chaque systeme d'IA, determinez son niveau de risque sous l'AI Act. Les categories a haut risque sont listees dans l'Annexe III et incluent l'IA pour le recrutement, le scoring de credit, l'acces aux services essentiels et l'identification biometrique. Documentez votre classification et le raisonnement sous-jacent.
Etape 3 : Documentez la finalite et les personnes concernees
Pour chaque systeme d'IA, enregistrez sa finalite prevue, les categories de personnes affectees par ses sorties, et s'il prend ou soutient des decisions concernant des individus. Cette documentation est le fondement de votre DPIA et de votre FRIA.
Etape 4 : Realisez les evaluations d'impact
Pour les systemes d'IA a haut risque : completez une DPIA en vertu de l'Art. 35 du RGPD et, lorsque l'Art. 27 s'applique, une FRIA. Celles-ci doivent se referencer mutuellement mais restent des evaluations separees avec des perimetre distincts.
Etape 5 : Suivez la conformite et la gouvernance
Maintenez des registres des declarations de conformite des fournisseurs, des marquages CE et des enregistrements dans la base de donnees IA de l'UE. Conservez ces documents aux cotes de vos DPA et SLA — ils font partie de votre chaine de gouvernance fournisseurs.
Comment Readmodel® soutient la conformite des deployers d'IA
Readmodel® traite les services d'IA comme partie integrante de votre cartographie des donnees, pas comme un silo de conformite separe. Lorsque vous ajoutez un service d'IA a votre projet, vous pouvez documenter sa classification des risques, les dispositions de supervision humaine et le statut de conformite aux cotes des elements de donnees qu'il traite, des bases legales et des periodes de conservation.
Le registre des risques signale automatiquement les services d'IA classifies a haut risque mais sans DPIA documentee. La fonctionnalite de stockage de documents vous permet d'attacher les declarations de conformite, les instructions d'utilisation du fournisseur et la documentation FRIA directement au service concerne. L'export ROPA inclut les champs de gouvernance IA, de sorte que votre registre Art. 30 reflete les exigences du RGPD et de l'AI Act dans un seul document.
La gouvernance de l'IA ne necessite pas une plateforme separee ni un engagement de conseil a six chiffres. Elle necessite une documentation structuree integree a votre cartographie des donnees existante. Readmodel® fournit cette structure — creez un compte gratuit et commencez a documenter vos obligations de deployer d'IA des aujourd'hui.
L'echeance approche
Les obligations des deployers en vertu de l'Art. 26 prennent effet le 2 aout 2026. Si vous maintenez deja une cartographie des donnees RGPD, vous avez les fondations. Etendez-la avec des champs specifiques a l'IA — classification des risques, supervision humaine, statut de conformite — et realisez les evaluations d'impact requises. Les regulateurs attendront de la documentation, pas des promesses. Commencez maintenant.