🔍 Le 26 février 2025, le Parlement européen vient de publier une note révélatrice sur un dilemme juridique majeur : comment détecter les biais discriminatoires dans l’IA sans enfreindre la protection des données sensibles ?
Une tension fondamentale entre deux cadres juridiques européens
L’AI Act, entré en vigueur en août 2024, autorise le traitement de données sensibles pour détecter et corriger les biais algorithmiques dans les systèmes d’IA à haut risque (Article 10(5)).
Le RGPD, quant à lui, impose des restrictions strictes sur le traitement de ces mêmes catégories spéciales de données personnelles (Article 9).
Cette divergence crée une incertitude juridique significative pour les entreprises.
Impact concret pour les directions juridiques
Pour les juristes d’entreprise, cette tension se manifeste dans plusieurs domaines critiques :
🤖 IA Générative : Bien que non classés comme systèmes à haut risque par défaut, les chatbots peuvent générer des discours discriminatoires. Comment assurer leur conformité sans accéder aux données sensibles nécessaires pour détecter les biais ?
🚗 Véhicules autonomes : Les systèmes de vision artificielle pourraient détecter plus précisément les piétons à peau claire que ceux à peau foncée. Le traitement des données ethniques pour corriger ce biais est-il conforme au RGPD ?
👔 Recrutement : Les algorithmes de sélection des candidats peuvent perpétuer des discriminations fondées sur le genre ou la santé. Comment les auditer sans traiter précisément ces données protégées ?
💰 Scoring bancaire : Les systèmes d’évaluation bancaire peuvent masquer des biais liés au lieu de résidence ou à l’origine ethnique. Comment garantir leur neutralité tout en respectant le RGPD ?
Le paradoxe juridique à résoudre
Pour qu’une entreprise puisse détecter si son système d’IA discrimine en fonction de l’origine ethnique, elle doit logiquement connaître cette information sur ses utilisateurs – ce qui implique le traitement de données sensibles strictement encadrées par le RGPD.
Le rapport souligne que l’article 10(5) de l’AI Act pourrait s’appuyer sur « l’intérêt public substantiel » prévu à l’article 9(2)(g) du RGPD. Mais cette interprétation reste sujette à caution et n’offre pas la sécurité juridique nécessaire.
Conditions essentielles selon la Belgian Supervisory Authority
Le rapport de la Belgian Supervisory Authority de septembre 2024, cité dans l’analyse du Parlement, souligne que pour que l’article 10(5) de l’AI Act soit pleinement conforme au RGPD, plusieurs conditions doivent être remplies :
Des mesures robustes de cybersécurité doivent être mises en place
Les principes du RGPD (minimisation, limitation de finalité, intégrité et confidentialité) doivent être respectés
Le traitement doit être « strictement nécessaire » à la protection contre les discriminations
Une base légale spécifique de l’article 9 du RGPD doit être identifiée
Une complexité supplémentaire : le statut variable des données discriminantes
Certains facteurs discriminants (âge, genre) ne sont pas des « catégories spéciales » au sens du RGPD, mais de simples données personnelles relevant de l’article 6.
Pour les juristes, cela signifie deux régimes juridiques distincts selon la nature du biais à corriger – un casse-tête opérationnel qui complexifie encore davantage la mise en conformité.
Perspectives d’évolution réglementaire
L’incertitude actuelle appelle soit à une réforme du RGPD pour l’adapter à l’ère de l’IA, soit à l’émission de lignes directrices clarifiant l’articulation entre ces deux textes fondamentaux.
Pour les juristes d’entreprise, il devient urgent d’anticiper ces évolutions en mettant en place des processus d’audit d’algorithmes respectant à la fois l’objectif de non-discrimination et la protection des données personnelles.
🔄 Quelle solution serait la plus efficace : modifier le RGPD pour l’adapter aux défis de l’IA, interpréter l’AI Act de manière restrictive, ou créer un nouveau cadre spécifique pour la gestion des biais algorithmiques ?
📝 Sources :
EPRS | Service de recherche du Parlement européen, Note d’analyse PE 769.509, Février 2025
Rapport de la Belgian Supervisory Authority, Septembre 2024
