Je dois mettre mon organisation luxembourgeoise en conformité à l'article 27 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 27 cree une obligation spécifique aux deployeurs publics et entités privées fournissant des services publics (communes, hôpitaux, ministeres, CPAS, organismes de sécurité sociale, prestataires de transport public, établissements scolaires), ainsi qu'aux deployeurs de scoring crédit et tarification d'assurance-vie/santé. Le piège : confondre la FRIA (Fundamental Rights Impact Assessment) avec l'AIPD article 35 RGPD. Ce sont deux analyses distinctes, même si la FRIA peut completer l'AIPD. L'autorité de surveillance du marché IA (désignation luxembourgeoise en cours, EU AI Office au niveau européen) sanctionnera l'absence de notification des résultats, et la CNPD verifiera en parallele que l'AIPD article 35 RGPD est bien presente et distincte.Les 6 elements obligatoires que votre FRIA doit documenterProcessus metiers dans lesquels le système d'IA sera utilise conformément a sa destination prévue par le fournisseur.Période et fréquence d'utilisation : usage continu, ponctuel, saisonnier, par lot.Catégories de personnes physiques et groupes susceptibles d'être concernes dans le contexte spécifique (beneficiaires, demandeurs, employés, mineurs, personnes vulnerables).Risques spécifiques de préjudice sur ces catégories, en integrant les informations fournies par le fournisseur au titre de l'article 13 (notice d'utilisation, performance, limites).Mesures de contrôle humain effectivement mises en œuvre, conformément a la notice d'utilisation et a l'article 14.Mesures correctives en cas de materialisation des risques : gouvernance interne, mécanismes de plainte internes, procédure d'escalade.Les pièges en pratiqueUne commune luxembourgeoise qui deploie un outil d'IA pour l'attribution d'aides sociales doit réaliser une FRIA, même si le fournisseur a deja fourni sa documentation technique.La FRIA s'applique a la premiere utilisation, puis doit être mise à jour des qu'un element change (nouvelle population cible, nouveau cas d'usage, mise à jour du modèle).Les résultats doivent être notifiés a l'autorité de surveillance du marché via le modèle du Bureau de l'IA, pas simplement archives en interne.Une banque CSSF qui utilise un système de crédit scoring IA (annexe III point 5(b)) est tenue par l'article 27, en plus de ses obligations DORA et AIPD CNPD.Comment Luxgap automatise ce risqueNotre Luxgap Fundamental Rights Sentinel transforme l'obligation FRIA en preuve opposable générée en 30 minutes au lieu de 3 semaines de comites. L'outil combine un agent LLM spécialisé droits fondamentaux (Charte UE, CEDH, jurisprudence CJUE) avec des connecteurs natifs vers vos systèmes de deploiement IA (Azure AI Foundry, AWS Bedrock, Google Vertex, Hugging Face Enterprise, MLflow on-premise) pour extraire automatiquement le contexte d'usage reel, et non celui declare dans un formulaire fige.Detecte automatiquement chaque nouveau système d'IA a haut risque deploye dans votre SI, en croisant vos registres Azure AI, vos pipelines MLflow et vos co...

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 27

Analyse d’impact des systèmes d’IA à haut risque sur les droits fondamentaux

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

Analyse d’impact des systèmes d’IA à haut risque sur les droits fondamentaux

1. Avant le déploiement d’un système d’IA à haut risque visé à l’article 6, paragraphe 2, à l’exception des systèmes d’IA à haut risque destinés à être utilisés dans le domaine visé à l’annexe III, point 2, les déployeurs qui sont des organismes de droit public ou des entités privées fournissant des services publics et les déployeurs de systèmes d’IA à haut risque visés à l’annexe III, points 5), b) et c), effectuent une analyse de l’impact sur les droits fondamentaux que l’utilisation de ce système peut produire. À cette fin, les déployeurs effectuent une analyse comprenant:

a)	une description des processus du déployeur dans lesquels le système d’IA à haut risque sera utilisé conformément à sa destination;

b)	une description de la période pendant laquelle et de la fréquence à laquelle chaque système d’IA à haut risque est destiné à être utilisé;

c)	les catégories de personnes physiques et les groupes susceptibles d’être concernés par son utilisation dans le contexte spécifique;

d)	les risques spécifiques de préjudice susceptibles d’avoir une incidence sur les catégories de personnes physiques ou groupes de personnes identifiés en vertu du point c) du présent paragraphe, compte tenu des informations fournies par le fournisseur conformément à l’article 13;

e)	une description de la mise en œuvre des mesures de contrôle humain, conformément à la notice d’utilisation;

f)	les mesures à prendre en cas de matérialisation de ces risques, y compris les dispositifs relatifs à la gouvernance interne et aux mécanismes de plainte internes.

2. L’obligation établie au paragraphe 1 s’applique à la première utilisation du système d’IA à haut risque. Le déployeur peut, dans des cas similaires, s’appuyer sur des analyses d’impact sur les droits fondamentaux effectuées précédemment ou sur des analyses d’impact existantes réalisées par le fournisseur. Si, au cours de l’utilisation du système d’IA à haut risque, le déployeur estime qu’un des éléments énumérés au paragraphe 1 a changé ou n’est plus à jour, il prend les mesures nécessaires pour mettre à jour les informations.

3. Une fois l’analyse visée au paragraphe 1 du présent article effectuée, le déployeur en notifie les résultats à l’autorité de surveillance du marché, et soumet le modèle visé au paragraphe 5 du présent article, rempli, dans le cadre de la notification. Dans le cas visé à l’article 46, paragraphe 1, les déployeurs peuvent être exemptés de cette obligation de notification.

4. Si l’une des obligations prévues au présent article est déjà remplie au moyen de l’analyse d’impact relative à la protection des données réalisée en application de l’article 35 du règlement (UE) 2016/679 ou de l’article 27 de la directive (UE) 2016/680, l’analyse d’impact sur les droits fondamentaux visée au paragraphe 1 du présent article complète ladite analyse d’impact relative à la protection des données.

5. Le Bureau de l’IA élabore un modèle de questionnaire, y compris au moyen d’un outil automatisé, afin d’aider les déployeurs à se conformer de manière simplifiée aux obligations qui leur incombent en vertu du présent article.

Spécificité Luxembourg

Loi luxembourgeoise de transposition AI Act, en cours de preparation (designation de l'autorite de surveillance du marche IA attendue)

Au Luxembourg, l'autorité de surveillance du marche IA n'est pas encore formellement désignée a la date de publication. En attendant cette désignation, les deployeurs publics luxembourgeois (communes, ministeres, établissements publics, hopitaux du secteur conventionne) doivent préparer leur FRIA et la conserver en tenant prete sa notification des publication de l'autorité competente. La CNPD reste en parallele competente pour le volet AIPD article 35 RGPD, et il est probable qu'elle joue un role de premier plan dans la désignation IA au regard de sa pratique deja constituee.

Pratique Luxgap : ne pas attendre la désignation pour réaliser la FRIA. Les administrations luxembourgeoises qui deploient deja des systèmes d'aide a la décision (Adem, CCSS, communes) doivent documenter retroactivement leur premier usage, faute de quoi la notification au moment de la désignation revelera une non-conformite de plusieurs mois.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 27 cree une obligation spécifique aux deployeurs publics et entités privées fournissant des services publics (communes, hôpitaux, ministeres, CPAS, organismes de sécurité sociale, prestataires de transport public, établissements scolaires), ainsi qu'aux deployeurs de scoring crédit et tarification d'assurance-vie/santé. Le piège : confondre la FRIA (Fundamental Rights Impact Assessment) avec l'AIPD article 35 RGPD. Ce sont deux analyses distinctes, même si la FRIA peut completer l'AIPD. L'autorité de surveillance du marché IA (désignation luxembourgeoise en cours, EU AI Office au niveau européen) sanctionnera l'absence de notification des résultats, et la CNPD verifiera en parallele que l'AIPD article 35 RGPD est bien presente et distincte.

Les 6 elements obligatoires que votre FRIA doit documenter

Processus metiers dans lesquels le système d'IA sera utilise conformément a sa destination prévue par le fournisseur.
Période et fréquence d'utilisation : usage continu, ponctuel, saisonnier, par lot.
Catégories de personnes physiques et groupes susceptibles d'être concernes dans le contexte spécifique (beneficiaires, demandeurs, employés, mineurs, personnes vulnerables).
Risques spécifiques de préjudice sur ces catégories, en integrant les informations fournies par le fournisseur au titre de l'article 13 (notice d'utilisation, performance, limites).
Mesures de contrôle humain effectivement mises en œuvre, conformément a la notice d'utilisation et a l'article 14.
Mesures correctives en cas de materialisation des risques : gouvernance interne, mécanismes de plainte internes, procédure d'escalade.

Les pièges en pratique

Une commune luxembourgeoise qui deploie un outil d'IA pour l'attribution d'aides sociales doit réaliser une FRIA, même si le fournisseur a deja fourni sa documentation technique.
La FRIA s'applique a la premiere utilisation, puis doit être mise à jour des qu'un element change (nouvelle population cible, nouveau cas d'usage, mise à jour du modèle).
Les résultats doivent être notifiés a l'autorité de surveillance du marché via le modèle du Bureau de l'IA, pas simplement archives en interne.
Une banque CSSF qui utilise un système de crédit scoring IA (annexe III point 5(b)) est tenue par l'article 27, en plus de ses obligations DORA et AIPD CNPD.

Comment Luxgap automatise ce risque

Notre Luxgap Fundamental Rights Sentinel transforme l'obligation FRIA en preuve opposable générée en 30 minutes au lieu de 3 semaines de comites. L'outil combine un agent LLM spécialisé droits fondamentaux (Charte UE, CEDH, jurisprudence CJUE) avec des connecteurs natifs vers vos systèmes de deploiement IA (Azure AI Foundry, AWS Bedrock, Google Vertex, Hugging Face Enterprise, MLflow on-premise) pour extraire automatiquement le contexte d'usage reel, et non celui declare dans un formulaire fige.

Detecte automatiquement chaque nouveau système d'IA a haut risque deploye dans votre SI, en croisant vos registres Azure AI, vos pipelines MLflow et vos contrats fournisseurs Odoo ou SAP Ariba.
Classifie chaque système selon l'annexe III du AI Act et determine si l'article 27 s'applique a votre statut (organisme public, service public, scoring crédit, assurance vie/santé).
Genere les 6 sections de la FRIA preremplies à partir de la notice d'utilisation du fournisseur (article 13), des données d'usage reelles et de la cartographie des populations concernees extraite de vos référentiels RH ou CRM.
Croise automatiquement avec votre AIPD article 35 RGPD existante pour identifier les sections deja couvertes et celles qui doivent être completees au sens du paragraphe 4.
Pre-remplit le modèle de questionnaire du Bureau de l'IA des sa publication, et prepare la notification a l'autorité de surveillance du marché.
Alerte en temps reel des qu'un element listé au paragraphe 1 change (nouvelle version du modèle, extension du périmètre d'usage, nouvelle population cible) et déclenche la mise à jour obligatoire.
Produit un rapport PDF horodate cryptographiquement scelle, opposable lors d'un contrôle de l'autorité de surveillance du marché IA ou de la CNPD.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes d'IA reels, avec un audit blanc gratuit sous 48h pour cartographier vos obligations article 27 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Analyse d’impact des systèmes d’IA à haut risque sur les droits fondamentaux

Ils nous font confiance

Avant de discuter