Qu'est-ce que Willaw ?

Willaw est une plateforme SaaS de conformité RGPD tout-en-un avec intelligence artificielle intégrée, destinée aux entreprises françaises (TPE, PME, ETI, grandes entreprises). Elle automatise le registre des traitements, les analyses d'impact (DPIA), la gestion des sous-traitants et le portail d'exercice des droits.

Willaw utilise-t-il l'intelligence artificielle ?

Oui, Willaw intègre un copilot IA juridique RGPD avec deux modèles au choix : Google Gemini pour une compréhension contextuelle avancée, et Mistral AI, un modèle français dont les données sont traitées exclusivement en Europe pour garantir la souveraineté numérique.

Quels secteurs d'activité Willaw couvre-t-il ?

Willaw couvre de nombreux secteurs : services numériques, santé, finance, commerce, industrie, éducation, associations, immobilier et transport. Les recommandations IA sont adaptées aux spécificités réglementaires de chaque secteur.

Combien coûte Willaw ?

Willaw propose un essai gratuit pour découvrir la plateforme. Plusieurs plans tarifaires sont disponibles pour s'adapter aux besoins des TPE, PME et grandes entreprises. Contactez-nous pour un devis personnalisé.

Willaw est-il conforme au RGPD lui-même ?

Oui, Willaw est conçu dans le respect total du RGPD. Les données sont hébergées en Europe, le chiffrement est appliqué aux données sensibles, et l'option Mistral AI garantit un traitement 100% européen des données.

FRIA : guide pratique de l'évaluation des incidences sur les droits fondamentaux (Art. 27 AI Act)

Introduction : la FRIA, nouvelle obligation phare de l'AI Act

L'Article 27 du Règlement sur l'intelligence artificielle (2024/1689) introduit une obligation inédite pour les déployeurs de systèmes d'IA à haut risque relevant de l'Annexe III : réaliser une évaluation des incidences sur les droits fondamentaux (FRIA — Fundamental Rights Impact Assessment) avant la mise en service du système.

Cette obligation concerne spécifiquement les déployeurs qui sont des organismes de droit public, ou des entités privées fournissant des services publics, ainsi que les déployeurs de systèmes visés aux points 5.b et 5.c de l'Annexe III (évaluation de solvabilité et tarification d'assurance). En pratique, le champ d'application est large et touche de nombreuses organisations.

La FRIA n'est pas un simple formulaire à remplir. C'est une démarche d'analyse structurée qui vise à identifier, évaluer et atténuer les risques que le système d'IA fait peser sur les droits fondamentaux des personnes affectées. Cet article présente la méthodologie complète en 8 étapes.

1. Identification du système et de son contexte de déploiement

La première étape consiste à dresser une fiche d'identité complète du système d'IA :

Nom et version du système : identification précise, incluant les versions et mises à jour
Fournisseur : éditeur, intégrateur, développement interne
Contexte de déploiement : dans quel environnement opérationnel le système sera-t-il utilisé ? (service public, entreprise, espace public)
Finalité prévue : description précise de ce que le système est censé accomplir, en lien avec l'Article 6 du Règlement
Périmètre géographique : territoire d'utilisation (national, européen, international)
Date de déploiement : prévue ou effective

Cette étape est factuelle mais essentielle : elle pose le cadre de toute l'analyse qui suivra. Un système de tri de CV pour le recrutement (Annexe III, domaine 4) n'appellera pas les mêmes analyses qu'un système d'aide au diagnostic médical (Annexe III via Annexe I).

2. Description des processus d'utilisation

Il s'agit de documenter comment le système s'intègre concrètement dans les opérations de l'organisation :

Description de l'utilisation : qui utilise le système, à quelle fréquence, dans quelles conditions
Rôle dans la prise de décision : le système prend-il des décisions autonomes ou assiste-t-il un opérateur humain ? Le degré d'automatisation est un facteur clé dans l'évaluation des risques
Données d'entrée : quelles données sont fournies au système ? (types, sources, volumes, qualité)
Sorties du système : que produit le système ? (scores, recommandations, décisions, classifications)
Intervention humaine : à quels moments un opérateur humain intervient-il dans le processus ?

Lien avec l'Article 14
La description du processus d'utilisation doit être cohérente avec les mesures de surveillance humaine prévues par l'Article 14. Si le système est conçu pour fonctionner de manière autonome dans certaines situations, ces situations doivent être identifiées et documentées.

3. Identification des personnes concernées et des groupes vulnérables

Cette étape identifie qui sera affecté par le fonctionnement du système :

Catégories de personnes concernées : utilisateurs directs, personnes soumises aux décisions du système, tiers potentiellement impactés
Nombre estimé : ordre de grandeur des personnes affectées (pour évaluer l'échelle du risque)
Groupes vulnérables : mineurs, personnes handicapées, personnes âgées, minorités ethniques, personnes en situation de précarité économique, demandeurs d'asile
Information des personnes : comment les personnes sont-elles informées de l'utilisation du système d'IA ?
Mécanisme de consentement : le consentement est-il requis et comment est-il recueilli ?

L'identification des groupes vulnérables est particulièrement importante : le Règlement accorde une attention spéciale aux impacts sur ces populations (considérant 60), et les risques à leur égard pèsent plus lourd dans l'évaluation globale.

4. Évaluation des risques d'atteinte aux droits fondamentaux

C'est le cœur de la FRIA. Il s'agit d'évaluer, pour chaque droit fondamental pertinent, le risque d'atteinte que le système fait peser. Les droits à analyser sont ceux de la Charte des droits fondamentaux de l'Union européenne :

Dignité humaine (Art. 1 Charte UE)

Le système peut-il porter atteinte à la dignité des personnes ? Risques de déshumanisation, d'objectification, de traitement dégradant. Exemples : profilage excessif, réduction de la personne à un score.

Non-discrimination (Art. 21 Charte UE)

Le système présente-t-il des risques de biais ou de discrimination ? Analyse des biais potentiels dans les données d'entraînement, des risques de discrimination directe ou indirecte basée sur le sexe, la race, l'origine ethnique, la religion, le handicap, l'âge ou l'orientation sexuelle.

Vie privée et protection des données (Art. 7-8 Charte UE)

Impact sur la vie privée : surveillance, profilage, collecte excessive de données. Ce volet doit être articulé avec l'analyse d'impact relative à la protection des données (AIPD) prévue par l'article 35 du RGPD.

Liberté d'expression et d'information (Art. 11 Charte UE)

Le système peut-il restreindre l'accès à l'information, censurer des contenus, ou influencer l'opinion publique ?

Droit à un recours effectif (Art. 47 Charte UE)

Les personnes affectées par les décisions du système ont-elles accès à une explication ? Peuvent-elles contester la décision ? Existe-t-il une voie de recours effective ?

Autres droits

Selon le contexte du système : liberté de réunion (Art. 12), droits des travailleurs (Art. 27-31), protection des consommateurs (Art. 38), droits de l'enfant (Art. 24).

Évaluation globale du risque
À l'issue de cette étape, vous devez attribuer un niveau de risque global : faible, moyen, élevé ou critique. Ce niveau conditionne l'ampleur des mesures d'atténuation à mettre en œuvre (étape 6).

5. Mesures de surveillance humaine (Art. 14)

L'Article 14 du Règlement impose que les systèmes à haut risque soient conçus et développés de manière à ce qu'une surveillance humaine effective soit possible. La FRIA doit documenter :

Mécanisme de surveillance : human-in-the-loop (intervention humaine dans chaque décision), human-on-the-loop (supervision continue avec possibilité d'intervention), ou human-in-command (contrôle humain global)
Capacité de dérogation : l'opérateur peut-il ignorer, corriger ou annuler les décisions du système ?
Fréquence du monitoring : en continu, quotidien, hebdomadaire
Formation des opérateurs : conformément à l'Article 4 sur la littératie IA, les personnes qui supervisent le système doivent disposer d'une formation adéquate
Procédure d'escalade : que se passe-t-il lorsqu'un problème est détecté ? Qui est alerté et dans quel délai ?

6. Mesures d'atténuation des risques

Pour chaque risque identifié à l'étape 4, des mesures d'atténuation doivent être définies :

Mesures techniques

Tests de biais réguliers, audits algorithmiques, mécanismes d'explicabilité (XAI), tests de robustesse, chiffrement des données, contrôle d'accès, redondances.

Mesures organisationnelles

Formation des équipes, procédures de validation, comité d'éthique IA, audits internes réguliers, processus de signalement des dysfonctionnements.

Mesures juridiques

Clauses contractuelles avec le fournisseur (garanties de conformité, accès aux informations techniques), AIPD RGPD associée, mécanismes de recours pour les personnes affectées, couverture assurantielle.

Risques résiduels

Après application de toutes les mesures, certains risques peuvent subsister. Ils doivent être identifiés, quantifiés et évalués en termes d'acceptabilité. L'évaluation d'acceptabilité distingue trois conclusions possibles :

Acceptable : les risques résiduels sont marginaux et maîtrisés
Acceptable sous conditions : des mesures complémentaires sont requises avant ou pendant le déploiement
Inacceptable : les risques résiduels sont trop élevés, le déploiement doit être suspendu ou le système reconçu

7. Calendrier et fréquence de revue

La FRIA n'est pas un document statique. Elle doit être revue :

Périodiquement : trimestrielle, semestrielle ou annuelle selon le niveau de risque
Lors d'événements déclencheurs : modification significative du système, changement de fournisseur, mise à jour majeure de l'algorithme, incident, changement de contexte de déploiement, évolution réglementaire

Le responsable de la revue doit être désigné nominativement, et la politique d'archivage des versions précédentes documentée (obligation de traçabilité).

8. Validation et décision de déploiement

La dernière étape formalise la conclusion de l'évaluation :

Conclusion de l'évaluation : synthèse des risques identifiés, adéquation des mesures d'atténuation
Décision : approuvé / approuvé sous conditions / rejeté / différé
Conditions : si applicable, liste des mesures complémentaires à mettre en œuvre avant le déploiement
Validateur : nom, fonction et date — la FRIA doit être validée par une personne habilitée
Référence AIPD : si une AIPD RGPD est associée, la référence croisée doit être documentée

Articulation FRIA / AIPD RGPD

L'Article 27.4 du Règlement prévoit explicitement que la FRIA peut être réalisée conjointement avec l'AIPD prévue par l'article 35 du RGPD. En pratique, les deux évaluations partagent un socle commun :

Description du traitement / système
Évaluation de la nécessité et de la proportionnalité
Identification des risques pour les droits des personnes
Mesures d'atténuation

Les spécificités de chaque évaluation sont :

AIPD : focalisée sur les données personnelles, les bases légales, les droits des personnes concernées au sens du RGPD
FRIA : focalisée sur les droits fondamentaux au sens large (Charte UE), incluant des dimensions qui dépassent la protection des données (discrimination, dignité, liberté d'expression, accès à la justice)

Recommandation
Pour les systèmes d'IA à haut risque qui traitent des données personnelles, nous recommandons de conduire les deux évaluations de manière coordonnée, en partageant le socle commun et en documentant séparément les volets spécifiques à chaque texte. Cette approche réduit la charge de travail tout en garantissant la couverture complète des deux obligations.

Conclusion

La FRIA est un exercice exigeant mais structurant. Au-delà de l'obligation réglementaire, elle oblige les organisations à réfléchir en profondeur aux impacts de leurs systèmes d'IA sur les personnes. Les organisations qui l'abordent sérieusement — plutôt que comme un formulaire à cocher — en tireront un triple bénéfice : conformité au Règlement, réduction effective des risques, et confiance des personnes affectées par leurs systèmes d'IA.

Changement d'entreprise