L’intelligence artificielle s’impose désormais au cœur de décisions qui engagent directement la vie, la santé et les droits des citoyens européens. Dans des entreprises, des administrations, des hôpitaux ou sur des plateformes numériques, des algorithmes trient, évaluent, recommandent et parfois décident. Face à cette automatisation croissante, une question centrale se pose : la réponse de l’Union européenne pour encadrer l’intelligence artificielle est-elle à la hauteur des risques qu’elle prétend prévenir ?

Imaginons qu’une entreprise décide d’utiliser une intelligence artificielle (IA) pour automatiser son processus de recrutement. L’algorithme, conçu pour analyser des milliers de CV, est entraîné sur les données RH de l’entreprise des dix dernières années. Or, les profils recrutés durant cette période sont majoritairement masculins. L’algorithme déduit alors de ces données que les candidats masculins sont préférables et exclut de fait les profils féminins.

Ce scénario n’est pas fictif : il s’inspire directement du cas d’Amazon, dont l’outil de recrutement par IA a dû être abandonné après la révélation de ces biais eu égard aux risques juridiques qu’ils engendraient. Cet exemple illustre précisément les risques que le législateur entend prévenir : erreurs algorithmiques, atteintes aux droits fondamentaux, captation et fuite de données, dépendance technologique.

En réponse, l’Union européenne a bâti depuis plusieurs années un arsenal juridique ambitieux, allant du Règlement général sur la protection des données (RGPD) au Règlement sur l’intelligence artificielle (RIA). Ces textes doivent relever un défi de taille : concilier innovation et protection, réguler les acteurs internationaux sans les éloigner du marché européen, et garantir les droits fondamentaux sans censure – le tout face à des technologies transversales, opaques et en constante évolution. Cet ensemble de règles constitue-t-il une réponse satisfaisante ?

Pas de régulation de l’IA, sans régulation des données

La régulation de l’intelligence artificielle ne saurait être envisagée indépendamment d’une politique structurée de la donnée. La donnée constitue en effet le carburant indispensable au développement et au perfectionnement des systèmes d’intelligence artificielle. En cela, la quantité de données compte tout autant que leur qualité.

C’est pourquoi, le législateur européen a d’abord cherché à réguler la donnée avant de réguler l’IA : d’une part avec le RGPD dont la finalité est de protéger les données à caractère personnel (les informations concernant une personne physique identifiée ou identifiable, comme un numéro de téléphone ou une adresse postale).

D’autre part avec une série de textes portant sur la régulation des données non personnelles (les informations ne se rapportant à aucune personne identifiable, comme une statistique ou un nombre d’accidents sur une autoroute visée). Ceux-ci comprennent le DSA, le DMA, le DGA, le Data Act et visent notamment à limiter la domination des géants du numérique et organiser le partage et l’accès de certaines données entre plateformes, entreprises, administrations publiques et utilisateurs,........

© The Conversation