Ce qui caractérise peut-être le mieux l’intelligence artificielle telle qu’elle s’exerce aujourd’hui, ce n’est pas sa puissance — c’est son invisibilité. Elle n’annonce pas son intervention : elle l’accomplit, souvent en arrière-plan, dans les mécanismes qui déterminent l’accès à un emploi, à un crédit, à une prestation sociale, à la justice ou à l’information. Dans de nombreuses sociétés, les systèmes algorithmiques participent désormais à des décisions qui, il y a vingt ans encore, relevaient exclusivement du jugement humain — l’évaluation d’une candidature, la priorisation de dossiers administratifs, la formulation d’une recommandation judiciaire, l’identification de comportements jugés suspects dans un contexte sécuritaire. Ce déplacement ne s’est pas opéré de manière spectaculaire. Il s’est accompli progressivement, intégré dans des processus existants, rarement soumis à un débat public à la mesure de ses implications. L’intelligence artificielle s’est ainsi installée comme une infrastructure de pouvoir — non pas en se substituant aux institutions, mais en pénétrant les mécanismes par lesquels elles exercent leurs fonctions.
Cette transformation s’accompagne d’une concentration croissante des capacités technologiques entre les mains d’un nombre limité d’acteurs. Les données personnelles, comportementales et biométriques constituent désormais une ressource stratégique au cœur des modèles économiques numériques et du fonctionnement des systèmes d’intelligence artificielle. Collecter, agréger, analyser et exploiter ces données à grande échelle exige des infrastructures et des investissements que seules quelques entités — publiques ou privées — sont en mesure de mobiliser. Cette réalité engendre une asymétrie structurelle : d’un côté, des acteurs dotés de capacités inédites d’analyse, de profilage, de prédiction et d’influence ; de l’autre, des individus et des institutions souvent dépourvus des moyens d’évaluer, de contester ou même de percevoir les effets des systèmes qui les affectent.
L’utilisation croissante de ces dispositifs touche directement à l’exercice de plusieurs droits fondamentaux — le droit au respect de la vie privée, la liberté d’expression et d’accès à l’information, le principe de non-discrimination, le droit à un recours effectif, les garanties inhérentes à l’accès à la justice. L’opacité de nombreux systèmes algorithmiques, la fragmentation des chaînes de responsabilité et le caractère transnational des infrastructures numériques compliquent par ailleurs l’application effective des protections juridiques existantes. Ces obstacles ne sont pas de nature purement technique : ils soulèvent des interrogations fondamentales sur la capacité des cadres normatifs actuels à maintenir un contrôle démocratique sur des mécanismes qui organisent, de manière croissante, l’accès aux droits et aux opportunités.
Certaines évolutions technologiques ouvrent de surcroît des questions inédites relatives à l’autonomie individuelle et à l’intégrité de la personne. Les technologies biométriques, les systèmes de surveillance algorithmique et, plus récemment, les neurotechnologies et le traitement des neurodonnées élargissent les capacités d’analyse et d’anticipation des comportements humains bien au-delà de ce que les cadres juridiques existants avaient envisagé. Ces développements questionnent les limites du contrôle technologique sur les individus, ainsi que la capacité des instruments normatifs actuels à préserver la dignité humaine, l’autonomie cognitive et les libertés fondamentales dans des environnements façonnés par des mécanismes dont la sophistication croît plus vite que leur régulation [5] [13].
Face à l’ampleur de ces transformations, les organisations internationales, les institutions européennes et de nombreux acteurs publics et privés ont engagé un effort normatif d’envergure. Les travaux des Nations Unies — rapporteurs spéciaux, organes de traités, Haut-Commissariat aux droits de l’homme — offrent un cadre d’analyse fondé sur les droits humains. Le Conseil de l’Europe a adopté, en 2024, la première convention internationale juridiquement contraignante sur l’intelligence artificielle [2]. L’Union européenne a mis en place, avec l’AI Act, une réglementation fondée sur les risques dont les modalités d’application ont encore fait l’objet d’ajustements significatifs en mai 2026, témoignant d’un cadre normatif encore en construction. [7] [17] L’UNESCO et l’OCDE ont, de leur côté, élaboré des instruments de référence sur l’éthique de l’IA et les principes de responsabilité des acteurs. Ces initiatives convergent vers une conviction partagée : le développement et le déploiement de systèmes d’IA ne peuvent être légitimes que s’ils demeurent compatibles avec les exigences démocratiques, l’État de droit et la protection réelle des personnes.
À mesure que les systèmes d’intelligence artificielle participent à l’organisation des décisions économiques, sociales, administratives et judiciaires, une question fondamentale s’impose avec une force croissante : comment préserver un contrôle humain effectif, des garanties démocratiques et une protection réelle des droits fondamentaux dans des sociétés où les mécanismes algorithmiques occupent une place déterminante dans l’exercice du pouvoir ?
Cette réflexion conduit à interroger non seulement les risques que les systèmes d’intelligence artificielle font peser sur les droits fondamentaux, mais aussi les transformations plus profondes qu’ils induisent dans les mécanismes de responsabilité, de gouvernance et de contrôle démocratique. Dans cette perspective, cet article analyse les principaux enjeux juridiques soulevés par l’intelligence artificielle ainsi que les cadres normatifs développés aux niveaux international et européen pour y répondre.
L’intelligence artificielle comme nouvelle infrastructure de pouvoir
L’intelligence artificielle ne transforme pas seulement les outils utilisés par les institutions, les entreprises ou les particuliers. Elle modifie progressivement la manière dont les décisions sont préparées, organisées et parfois orientées. La Convention-cadredu Conseil de l’Europe sur l’intelligence artificielle et les droits de l’homme, la démocratie et l’État de droit (STCE n° 225) définit un système d’IA comme un système automatisé capable de générer des résultats tels que des « prévisions, des contenus, des recommandations ou des décisions » susceptibles d’influer sur des environnements physiques ou virtuels [2]. Cette définition permet de saisir l’enjeu central : l’IA ne se limite pas à produire de l’information — elle participe à la structuration des choix.
Dans de nombreux domaines, les décisions humaines sont désormais précédées, accompagnées ou influencées par des modèles algorithmiques. Un logiciel peut classer des candidatures avant l’intervention d’un recruteur ; un outil de scoring peut contribuer à évaluer l’accès au crédit ; un système automatisé peut prioriser des dossiers administratifs ; un modèle prédictif peut signaler un risque de fraude ; une solution d’aide à la décision peut être utilisée dans un contexte judiciaire ou policier. Le Règlement 2024/1689de l’Union européenne établissant des règles harmonisées concernant l’intelligence artificielle (AI Act) illustre cette réalité en identifiant comme systèmes à haut risque plusieurs usages liés notamment à l’éducation, à l’emploi, à l’accès aux services essentiels, au maintien de l’ordre, à la migration, à l’administration de la justice et aux processus démocratiques [7].
Cette évolution marque un déplacement important. Les systèmes numériques traditionnels permettaient surtout de stocker, transmettre ou organiser l’information. Les systèmes d’IA peuvent, eux, classer, recommander, prédire, générer et hiérarchiser. Ils interviennent dans les étapes qui précèdent la décision : ils sélectionnent les informations visibles, attribuent des scores, évaluent des probabilités, détectent des corrélations ou produisent des contenus susceptibles d’influencer l’appréciation humaine. Un système de recommandation peut orienter l’accès à l’information ; un outil de tri automatisé peut influencer les chances d’être convoqué à un entretien ; un modèle génératif peut participer à la rédaction de documents, de synthèses ou de projets de décision.
Cette transformation ne signifie pas que la décision humaine disparaît. Le risque est souvent plus subtil : l’humain demeure présent, mais son choix peut être fortement encadré par le résultat algorithmique. Lorsqu’un outil classe les dossiers par priorité, signale certains profils comme plus risqués ou propose une réponse pré-rédigée, il crée une forme d’orientation préalable. La personne chargée de décider peut conserver juridiquement la responsabilité finale, tout en étant influencée par un système dont elle ne maîtrise pas toujours les données, les paramètres ou les limites.
L’IA agit ainsi comme une infrastructure de pouvoir parce qu’elle contribue à organiser l’accès aux ressources, aux services et à l’information. Elle ne se situe pas uniquement au niveau visible de l’interface utilisateur. Elle fonctionne souvent en arrière-plan : dans les systèmes de recrutement, les plateformes numériques, les outils de gestion du travail, les dispositifs de modération de contenus, les services publics, les infrastructures de sécurité ou les modèles utilisés par les administrations. Son influence tient précisément à cette présence diffuse, parfois invisible, dans des chaînes décisionnelles complexes. Cette réalité crée des écarts de capacité entre États, institutions et communautés, notamment lorsque certains acteurs disposent de moyens limités pour développer, auditer ou remettre en cause les effets de systèmes conçus ailleurs — soulevant ainsi une question d’équité technologique que les organisations internationales, dont l’OCDE, ont commencé à prendre en compte.
Cette place croissante de l’IA repose sur trois ressources stratégiques : les données, les capacités de calcul et les modèles. Les systèmes les plus avancés nécessitent des volumes importants de données, des infrastructures techniques puissantes et des moyens financiers considérables. Cette réalité favorise une concentration des capacités technologiques entre un nombre limité d’acteurs capables de développer, entraîner, héberger et déployer des modèles à grande échelle. Le projet B-Tech du Haut-Commissariat des Nations Unies aux droits de l’homme part précisément de ce constat : les technologies numériques doivent être analysées à travers les responsabilités des entreprises qui les conçoivent, les diffusent ou les utilisent, à la lumière des Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme [11].
Les modèles d’IA à usage général renforcent encore cette dynamique. Leur particularité est de pouvoir servir de base à une grande variété d’applications : rédaction automatisée, analyse de documents, génération d’images, assistance conversationnelle, programmation, recherche d’information ou aide à la décision. L’AI Act reconnaît que ces modèles peuvent accomplir un large éventail de tâches et devenir le fondement de nombreux systèmes d’IA, et que certains peuvent présenter des risques systémiques lorsqu’ils sont très puissants ou largement utilisés [7]. Cette polyvalence change l’échelle du problème : une même architecture technique peut se retrouver intégrée dans des secteurs très différents, avec des effets variables selon le contexte d’utilisation.
Il serait donc réducteur de considérer l’IA comme un simple outil neutre. Les systèmes algorithmiques traduisent des choix : choix des données, des objectifs, des catégories, des indicateurs de performance, des seuils d’alerte, des critères de classement ou des modalités de supervision humaine. Un système conçu pour optimiser la rapidité ne produira pas les mêmes effets qu’un système conçu pour préserver l’égalité d’accès ; un outil entraîné sur des données historiques peut reproduire des pratiques passées ; un modèle évalué uniquement sur sa performance statistique peut négliger des effets sociaux ou juridiques plus difficiles à mesurer.
Les technologies biométriques, la surveillance algorithmique et les neurotechnologies illustrent enfin la trajectoire possible de cette dynamique vers des formes toujours plus fines d’analyse des comportements humains. Les travaux de la Rapporteuse spéciale des Nations Unies sur le droit à la vie privée soulignent la nécessité de protéger la dignité humaine, la vie privée mentale et l’autonomie des personnes face au traitement des neurodonnées, tout en posant les bases d’un cadre conceptuel et, à terme, d’un modèle de loi pour la régulation de ces technologies. [5] [13] Ces développements restent inégalement déployés selon les contextes, mais ils révèlent une tendance de fond : la capacité technologique ne porte plus seulement sur l’observation de comportements extérieurs, mais aussi sur l’interprétation de signaux corporels, biométriques ou cognitifs.
L’enjeu n’est donc pas uniquement de savoir si l’intelligence artificielle est fiable ou performante. Il est de déterminer dans quelles conditions elle peut intervenir dans les processus qui organisent l’accès aux droits, aux services, à l’information et aux opportunités. En participant à la production de classements, de recommandations, de prédictions ou de décisions, les systèmes d’IA deviennent des éléments structurants de l’exercice du pouvoir. C’est pourquoi leur encadrement ne peut se limiter à une approche technique : il doit porter sur les responsabilités, les garanties et les conditions concrètes dans lesquelles les droits fondamentaux peuvent être effectivement exercés.
Dans de nombreux domaines, les décisions humaines sont désormais précédées, accompagnées ou influencées par des modèles algorithmiques. Un logiciel peut classer des candidatures avant l’intervention d’un recruteur ; un outil de scoring peut contribuer à évaluer l’accès au crédit ; un système automatisé peut prioriser des dossiers administratifs ; un modèle prédictif peut signaler un risque de fraude ; une solution d’aide à la décision peut être utilisée dans un contexte judiciaire ou policier. Le Règlement 2024/1689de l’Union européenne établissant des règles harmonisées concernant l’intelligence artificielle (AI Act) illustre cette réalité en identifiant comme systèmes à haut risque plusieurs usages liés notamment à l’éducation, à l’emploi, à l’accès aux services essentiels, au maintien de l’ordre, à la migration, à l’administration de la justice et aux processus démocratiques [7].
Cette évolution marque un déplacement important. Les systèmes numériques traditionnels permettaient surtout de stocker, transmettre ou organiser l’information. Les systèmes d’IA peuvent, eux, classer, recommander, prédire, générer et hiérarchiser. Ils interviennent dans les étapes qui précèdent la décision : ils sélectionnent les informations visibles, attribuent des scores, évaluent des probabilités, détectent des corrélations ou produisent des contenus susceptibles d’influencer l’appréciation humaine. Un système de recommandation peut orienter l’accès à l’information ; un outil de tri automatisé peut influencer les chances d’être convoqué à un entretien ; un modèle génératif peut participer à la rédaction de documents, de synthèses ou de projets de décision.
Cette transformation ne signifie pas que la décision humaine disparaît. Le risque est souvent plus subtil : l’humain demeure présent, mais son choix peut être fortement encadré par le résultat algorithmique. Lorsqu’un outil classe les dossiers par priorité, signale certains profils comme plus risqués ou propose une réponse pré-rédigée, il crée une forme d’orientation préalable. La personne chargée de décider peut conserver juridiquement la responsabilité finale, tout en étant influencée par un système dont elle ne maîtrise pas toujours les données, les paramètres ou les limites.
L’IA agit ainsi comme une infrastructure de pouvoir parce qu’elle contribue à organiser l’accès aux ressources, aux services et à l’information. Elle ne se situe pas uniquement au niveau visible de l’interface utilisateur. Elle fonctionne souvent en arrière-plan : dans les systèmes de recrutement, les plateformes numériques, les outils de gestion du travail, les dispositifs de modération de contenus, les services publics, les infrastructures de sécurité ou les modèles utilisés par les administrations. Son influence tient précisément à cette présence diffuse, parfois invisible, dans des chaînes décisionnelles complexes. Cette réalité crée des écarts de capacité entre États, institutions et communautés, notamment lorsque certains acteurs disposent de moyens limités pour développer, auditer ou remettre en cause les effets de systèmes conçus ailleurs — soulevant ainsi une question d’équité technologique que les organisations internationales, dont l’OCDE, ont commencé à prendre en compte.
Cette place croissante de l’IA repose sur trois ressources stratégiques : les données, les capacités de calcul et les modèles. Les systèmes les plus avancés nécessitent des volumes importants de données, des infrastructures techniques puissantes et des moyens financiers considérables. Cette réalité favorise une concentration des capacités technologiques entre un nombre limité d’acteurs capables de développer, entraîner, héberger et déployer des modèles à grande échelle. Le projet B-Tech du Haut-Commissariat des Nations Unies aux droits de l’homme part précisément de ce constat : les technologies numériques doivent être analysées à travers les responsabilités des entreprises qui les conçoivent, les diffusent ou les utilisent, à la lumière des Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme [11].
Les modèles d’IA à usage général renforcent encore cette dynamique. Leur particularité est de pouvoir servir de base à une grande variété d’applications : rédaction automatisée, analyse de documents, génération d’images, assistance conversationnelle, programmation, recherche d’information ou aide à la décision. L’AI Act reconnaît que ces modèles peuvent accomplir un large éventail de tâches et devenir le fondement de nombreux systèmes d’IA, et que certains peuvent présenter des risques systémiques lorsqu’ils sont très puissants ou largement utilisés [7]. Cette polyvalence change l’échelle du problème : une même architecture technique peut se retrouver intégrée dans des secteurs très différents, avec des effets variables selon le contexte d’utilisation.
Il serait donc réducteur de considérer l’IA comme un simple outil neutre. Les systèmes algorithmiques traduisent des choix : choix des données, des objectifs, des catégories, des indicateurs de performance, des seuils d’alerte, des critères de classement ou des modalités de supervision humaine. Un système conçu pour optimiser la rapidité ne produira pas les mêmes effets qu’un système conçu pour préserver l’égalité d’accès ; un outil entraîné sur des données historiques peut reproduire des pratiques passées ; un modèle évalué uniquement sur sa performance statistique peut négliger des effets sociaux ou juridiques plus difficiles à mesurer.
Les technologies biométriques, la surveillance algorithmique et les neurotechnologies illustrent enfin la trajectoire possible de cette dynamique vers des formes toujours plus fines d’analyse des comportements humains. Les travaux de la Rapporteuse spéciale des Nations Unies sur le droit à la vie privée soulignent la nécessité de protéger la dignité humaine, la vie privée mentale et l’autonomie des personnes face au traitement des neurodonnées, tout en posant les bases d’un cadre conceptuel et, à terme, d’un modèle de loi pour la régulation de ces technologies. [5] [13] Ces développements restent inégalement déployés selon les contextes, mais ils révèlent une tendance de fond : la capacité technologique ne porte plus seulement sur l’observation de comportements extérieurs, mais aussi sur l’interprétation de signaux corporels, biométriques ou cognitifs.
L’enjeu n’est donc pas uniquement de savoir si l’intelligence artificielle est fiable ou performante. Il est de déterminer dans quelles conditions elle peut intervenir dans les processus qui organisent l’accès aux droits, aux services, à l’information et aux opportunités. En participant à la production de classements, de recommandations, de prédictions ou de décisions, les systèmes d’IA deviennent des éléments structurants de l’exercice du pouvoir. C’est pourquoi leur encadrement ne peut se limiter à une approche technique : il doit porter sur les responsabilités, les garanties et les conditions concrètes dans lesquelles les droits fondamentaux peuvent être effectivement exercés.
Les risques systémiques de l’intelligence artificielle pour les droits fondamentaux
Les risques que soulève l’intelligence artificielle ne tiennent pas à des incidents isolés, à des défaillances ponctuelles ou à des abus marginaux. Ils sont structurels. Ils procèdent de la manière dont les systèmes sont conçus, entraînés, acquis, déployés et intégrés dans des chaînes décisionnelles souvent opaques. Lorsqu’ils influencent l’accès à l’emploi, à l’éducation, au crédit, aux prestations sociales, à la justice, à la sécurité ou à l’information, leurs effets peuvent dépasser la situation individuelle de chaque personne concernée et produire des conséquences collectives sur l’égalité, la participation démocratique et la confiance dans les institutions. Le Groupe de travail des Nations Unies sur les entreprises et les droits de l’homme souligne que l’IA est susceptible d’affecter un vaste éventail de droits fondamentaux : protection des données, vie privée, non-discrimination, procès équitable, liberté d’association et accès à une information pluraliste [1].
L’opacité algorithmique et l’affaiblissement du contrôle démocratique
Premier risque, et peut-être le plus transversal : l’opacité. Dans de nombreux cas, comprendre pourquoi un système a produit telle recommandation, classé une personne dans telle catégorie ou contribué à telle décision défavorable relève du défi. Non parce que les données manquent, mais parce que les architectures techniques, les choix de conception et les paramètres d’entraînement ne sont pas rendus lisibles — ni pour les personnes directement affectées, ni pour les administrations, les juridictions ou les autorités de contrôle qui utilisent ou supervisent ces systèmes.
L’affaire néerlandaise SyRI en illustre les enjeux avec une clarté saisissante. Ce dispositif de détection automatisée de fraudes sociales — croisant des dizaines de bases de données publiques pour générer des scores de risque — a été invalidé en 2020 par le tribunal de district de La Haye. Le motif central : des garanties de transparence insuffisantes et une protection insuffisante contre l’arbitraire. La décision a mobilisé l’article 8 de la Convention européenne des droits de l’homme, rappelant qu’une ingérence dans la vie privée doit non seulement être prévue par la loi, mais encadrée de manière à prémunir réellement les personnes contre des traitements injustifiés. [19] Ce précédent illustre une tendance plus large et désormais bien établie : la transparence algorithmique n’est plus seulement un impératif éthique — c’est une exigence juridique opposable.
L’enjeu dépasse pourtant la seule explicabilité technique. Il touche à quelque chose de plus fondamental : la capacité démocratique à contrôler les mécanismes qui participent à l’exercice du pouvoir. Qui a conçu le système ? Sur quelles données repose-t-il ? Quels objectifs poursuit-il ? Quelles garanties l’entourent ? Et qui répond des conséquences de son utilisation ? Ces questions sont au cœur de l’exigence de motivation, de transparence et de recours que la Convention-cadre du Conseil de l’Europe traduit en obligations concrètes : les personnes concernées doivent disposer d’informations suffisantes pour pouvoir contester une décision prise ou substantiellement influencée par un système d’IA [2].
Ce problème prend un relief particulier lorsque les pouvoirs publics acquièrent des systèmes développés par des entreprises privées. Dans ce type de configuration, la responsabilité tend à se fragmenter entre développeur, fournisseur, acheteur et autorité décisionnaire — rendant difficile toute reconstitution du chemin parcouru entre une donnée et une décision. Le Groupe de travail des Nations Unies sur les entreprises et les droits de l’homme l’a rappelé avec force : les Principes directeurs s’appliquent aussi bien aux concepteurs de systèmes d’IA qu’aux États et aux entreprises qui les acquièrent ou les déploient sans les avoir eux-mêmes développés [1].
Reste une dimension souvent moins visible mais tout aussi préoccupante : l’opacité des systèmes de recommandation et de modération, qui peut éroder l’exercice de la liberté d’expression et fragiliser l’accès à une information pluraliste. Dans l’Union européenne, cette problématique est au cœur du règlement sur les services numériques (Digital Services Act), lequel impose aux très grandes plateformes et moteurs de recherche des obligations renforcées de transparence et d’évaluation des risques systémiques, notamment lorsque leurs services sont susceptibles d’affecter les droits fondamentaux ou la qualité du débat démocratique. [18]
L’affaire néerlandaise SyRI en illustre les enjeux avec une clarté saisissante. Ce dispositif de détection automatisée de fraudes sociales — croisant des dizaines de bases de données publiques pour générer des scores de risque — a été invalidé en 2020 par le tribunal de district de La Haye. Le motif central : des garanties de transparence insuffisantes et une protection insuffisante contre l’arbitraire. La décision a mobilisé l’article 8 de la Convention européenne des droits de l’homme, rappelant qu’une ingérence dans la vie privée doit non seulement être prévue par la loi, mais encadrée de manière à prémunir réellement les personnes contre des traitements injustifiés. [19] Ce précédent illustre une tendance plus large et désormais bien établie : la transparence algorithmique n’est plus seulement un impératif éthique — c’est une exigence juridique opposable.
L’enjeu dépasse pourtant la seule explicabilité technique. Il touche à quelque chose de plus fondamental : la capacité démocratique à contrôler les mécanismes qui participent à l’exercice du pouvoir. Qui a conçu le système ? Sur quelles données repose-t-il ? Quels objectifs poursuit-il ? Quelles garanties l’entourent ? Et qui répond des conséquences de son utilisation ? Ces questions sont au cœur de l’exigence de motivation, de transparence et de recours que la Convention-cadre du Conseil de l’Europe traduit en obligations concrètes : les personnes concernées doivent disposer d’informations suffisantes pour pouvoir contester une décision prise ou substantiellement influencée par un système d’IA [2].
Ce problème prend un relief particulier lorsque les pouvoirs publics acquièrent des systèmes développés par des entreprises privées. Dans ce type de configuration, la responsabilité tend à se fragmenter entre développeur, fournisseur, acheteur et autorité décisionnaire — rendant difficile toute reconstitution du chemin parcouru entre une donnée et une décision. Le Groupe de travail des Nations Unies sur les entreprises et les droits de l’homme l’a rappelé avec force : les Principes directeurs s’appliquent aussi bien aux concepteurs de systèmes d’IA qu’aux États et aux entreprises qui les acquièrent ou les déploient sans les avoir eux-mêmes développés [1].
Reste une dimension souvent moins visible mais tout aussi préoccupante : l’opacité des systèmes de recommandation et de modération, qui peut éroder l’exercice de la liberté d’expression et fragiliser l’accès à une information pluraliste. Dans l’Union européenne, cette problématique est au cœur du règlement sur les services numériques (Digital Services Act), lequel impose aux très grandes plateformes et moteurs de recherche des obligations renforcées de transparence et d’évaluation des risques systémiques, notamment lorsque leurs services sont susceptibles d’affecter les droits fondamentaux ou la qualité du débat démocratique. [18]
Surveillance, biométrie et extension des capacités de contrôle
La combinaison de l’intelligence artificielle, de la collecte massive de données et des technologies biométriques confère aux acteurs qui en disposent des capacités d’observation et d’analyse sans équivalent historique. Traiter des volumes considérables d’informations, détecter des comportements jugés atypiques, produire des profils de risque en temps réel — tout cela est désormais techniquement accessible. Présentées comme des instruments de sécurité ou de lutte contre la fraude, ces capacités peuvent aussi engendrer des formes de surveillance disproportionnées, peu transparentes et susceptibles d’exercer un effet dissuasif durable sur l’exercice des libertés.
La dimension transfrontière de ces pratiques ajoute une couche supplémentaire de complexité. Des données peuvent être collectées dans un pays, transférées vers un autre, agrégées dans un troisième et analysées par des acteurs dont les obligations juridiques ne sont pas nécessairement équivalentes. La Rapporteuse spéciale des Nations Unies sur le droit à la vie privée a consacré un rapport à la collecte internationale de données personnelles, insistant sur la nécessité d’adopter des mesures propres à prévenir l’impunité dans le traitement transnational de ces informations [3]. Dans l’espace européen, cette problématique s’inscrit dans le cadre complémentaire offert par la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108+) du Conseil de l’Europe et par le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD) — deux piliers de la protection des personnes face aux traitements numériques à grande échelle, au profilage et aux usages fondés sur des volumes importants de données [15].
Les risques sont particulièrement élevés dans les domaines de la sécurité, du maintien de l’ordre, de la lutte contre le terrorisme et du contrôle des frontières. Dans un document de position de décembre 2025, le Rapporteur spécial des Nations Unies sur la promotion et la protection des droits de l’homme et des libertés fondamentales dans la lutte contre le terrorisme relève que certains dispositifs sont en mesure d’agréger et d’analyser des données d’une grande sensibilité — antécédents judiciaires, liens familiaux ou sociaux, communications, données de voyage, informations professionnelles, voire données détenues par des services sociaux, sanitaires ou éducatifs — pour construire des profils de risque susceptibles de conduire à des mesures particulièrement intrusives : surveillance, arrestation, détention, restrictions administratives [4]. Ces évaluations, le même document le souligne, demeurent probabilistes ; elles ne constituent pas des prédictions certaines, et leurs marges d’erreur peuvent avoir des conséquences graves pour les personnes ainsi ciblées.
L’AI Act prohibe certaines pratiques jugées incompatibles avec les droits fondamentaux : la manipulation nuisible, l’exploitation de vulnérabilités, le classement généralisé des personnes sur la base de leurs comportements sociaux (social scoring), certaines formes d’évaluation du risque individuel d’infraction pénale, le scraping non ciblé d’images faciales en vue de constituer ou d’élargir des bases de données biométriques, ainsi que la reconnaissance des émotions dans les lieux de travail et les établissements d’enseignement [7]. Ces interdictions ont été maintenues dans leur substance par l’accord provisoire conclu entre le Conseil et le Parlement européens en mai 2026 dans le cadre du paquet de simplification numérique — ce qui confirme que l’architecture des garanties fondamentales n’a pas été remise en cause, quand bien même le calendrier d’application de certaines obligations a été aménagé [17]. Certains usages, autrement dit, ne sauraient être simplement « mieux encadrés » : ils doivent être exclus.
La convergence entre intelligence artificielle et neurotechnologies ouvre enfin une dimension supplémentaire à ces enjeux. La Rapporteuse spéciale des Nations Unies sur le droit à la vie privée a établi que les neurodonnées — informations découlant directement de l’activité du système nerveux — constituent des données personnelles d’une sensibilité exceptionnelle, susceptibles de révéler des états cognitifs, des émotions ou des prédispositions à l’insu des personnes concernées [5]. La protection de la vie privée ne peut dès lors plus être pensée comme la seule sauvegarde d’informations personnelles classiques : elle embrasse désormais la capacité des individus à préserver leur autonomie intérieure et leur intégrité dans un environnement où les technologies ne se contentent plus d’observer les comportements, mais peuvent aussi les anticiper ou les orienter.
La dimension transfrontière de ces pratiques ajoute une couche supplémentaire de complexité. Des données peuvent être collectées dans un pays, transférées vers un autre, agrégées dans un troisième et analysées par des acteurs dont les obligations juridiques ne sont pas nécessairement équivalentes. La Rapporteuse spéciale des Nations Unies sur le droit à la vie privée a consacré un rapport à la collecte internationale de données personnelles, insistant sur la nécessité d’adopter des mesures propres à prévenir l’impunité dans le traitement transnational de ces informations [3]. Dans l’espace européen, cette problématique s’inscrit dans le cadre complémentaire offert par la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108+) du Conseil de l’Europe et par le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD) — deux piliers de la protection des personnes face aux traitements numériques à grande échelle, au profilage et aux usages fondés sur des volumes importants de données [15].
Les risques sont particulièrement élevés dans les domaines de la sécurité, du maintien de l’ordre, de la lutte contre le terrorisme et du contrôle des frontières. Dans un document de position de décembre 2025, le Rapporteur spécial des Nations Unies sur la promotion et la protection des droits de l’homme et des libertés fondamentales dans la lutte contre le terrorisme relève que certains dispositifs sont en mesure d’agréger et d’analyser des données d’une grande sensibilité — antécédents judiciaires, liens familiaux ou sociaux, communications, données de voyage, informations professionnelles, voire données détenues par des services sociaux, sanitaires ou éducatifs — pour construire des profils de risque susceptibles de conduire à des mesures particulièrement intrusives : surveillance, arrestation, détention, restrictions administratives [4]. Ces évaluations, le même document le souligne, demeurent probabilistes ; elles ne constituent pas des prédictions certaines, et leurs marges d’erreur peuvent avoir des conséquences graves pour les personnes ainsi ciblées.
L’AI Act prohibe certaines pratiques jugées incompatibles avec les droits fondamentaux : la manipulation nuisible, l’exploitation de vulnérabilités, le classement généralisé des personnes sur la base de leurs comportements sociaux (social scoring), certaines formes d’évaluation du risque individuel d’infraction pénale, le scraping non ciblé d’images faciales en vue de constituer ou d’élargir des bases de données biométriques, ainsi que la reconnaissance des émotions dans les lieux de travail et les établissements d’enseignement [7]. Ces interdictions ont été maintenues dans leur substance par l’accord provisoire conclu entre le Conseil et le Parlement européens en mai 2026 dans le cadre du paquet de simplification numérique — ce qui confirme que l’architecture des garanties fondamentales n’a pas été remise en cause, quand bien même le calendrier d’application de certaines obligations a été aménagé [17]. Certains usages, autrement dit, ne sauraient être simplement « mieux encadrés » : ils doivent être exclus.
La convergence entre intelligence artificielle et neurotechnologies ouvre enfin une dimension supplémentaire à ces enjeux. La Rapporteuse spéciale des Nations Unies sur le droit à la vie privée a établi que les neurodonnées — informations découlant directement de l’activité du système nerveux — constituent des données personnelles d’une sensibilité exceptionnelle, susceptibles de révéler des états cognitifs, des émotions ou des prédispositions à l’insu des personnes concernées [5]. La protection de la vie privée ne peut dès lors plus être pensée comme la seule sauvegarde d’informations personnelles classiques : elle embrasse désormais la capacité des individus à préserver leur autonomie intérieure et leur intégrité dans un environnement où les technologies ne se contentent plus d’observer les comportements, mais peuvent aussi les anticiper ou les orienter.
Discrimination algorithmique et reproduction des inégalités
L’apparence de neutralité est l’un des traits les plus trompeurs des systèmes algorithmiques. Parce qu’ils reposent sur des données, des modèles statistiques et des calculs automatisés, ils projettent souvent l’image d’une objectivité que les jugements humains seraient incapables d’atteindre. C’est précisément cette perception qui rend la discrimination algorithmique particulièrement insidieuse : elle peut opérer à bas bruit, sans que personne ne l’ait explicitement voulue, en reproduisant et parfois en amplifiant des inégalités déjà présentes dans les données d’entraînement.
Les mécanismes sont divers. Un outil de recrutement dont les données reflètent des pratiques historiquement discriminatoires peut perpétuer ces pratiques à grande échelle, avec une vélocité et une portée qu’aucun recruteur humain n’aurait pu atteindre. Un système de scoring de crédit peut pénaliser des parcours professionnels atypiques ou des territoires déjà fragilisés économiquement. Un dispositif de détection de fraude sociale, lorsqu’il est nourri de données issues de pratiques de surveillance déjà différenciées, tend à concentrer les contrôles sur les groupes les plus exposés — reproduisant ainsi un ciblage statistique qui, cumulé dans le temps, génère des effets d’exclusion structurels. Les systèmes de reconnaissance faciale ou de catégorisation biométrique ont par ailleurs montré des taux d’erreur significativement plus élevés pour certaines minorités, avec des conséquences pouvant aller jusqu’à de fausses arrestations — un constat documenté et relayé par le Réseau européen des institutions nationales des droits de l’homme (ENNHRI) [6].
Ce qui rend ces phénomènes particulièrement résistants à la correction, c’est leur invisibilité au niveau individuel. Une personne peut ne jamais savoir qu’un classement automatisé a réduit ses chances d’être convoquée à un entretien, qu'un score de risque a orienté un contrôle à son égard, ou qu'un filtre algorithmique a rendu ses contenus moins accessibles. Le préjudice n’apparaît qu’à travers des tendances — un groupe systématiquement moins bien traité, des décisions défavorables concentrées sur certaines catégories de population — que seule une analyse collective et outillée permet d'identifier. L’ENNHRI insiste précisément sur ce caractère cumulatif et difficile à percevoir des atteintes produites par les systèmes d’IA [6].
Une attention particulière s’impose aux personnes en situation de vulnérabilité — enfants, personnes handicapées, migrants, bénéficiaires de prestations sociales, travailleurs précaires, groupes exposés à des discriminations structurelles. Pour eux, les obstacles à la compréhension, à la contestation et à l’accès au recours sont souvent plus élevés. Et les domaines dans lesquels ces risques se matérialisent — emploi, logement, accès aux services publics, protection sociale, procédures migratoires — sont précisément ceux où l’exercice effectif des droits est le plus vital et les asymétries de pouvoir les plus marquées.
L’AI Act tente de répondre à ces réalités en imposant aux systèmes à haut risque des exigences renforcées en matière de gestion des risques, de qualité des jeux de données, d’exactitude, de robustesse et de traçabilité [7]. Mais les obligations normatives ne suffisent pas sans les mécanismes de contrôle, d’audit et de sanction qui leur confèrent leur effectivité — ni sans une culture institutionnelle disposée à remettre en cause les outils lorsque leurs effets se révèlent discriminatoires.
Les mécanismes sont divers. Un outil de recrutement dont les données reflètent des pratiques historiquement discriminatoires peut perpétuer ces pratiques à grande échelle, avec une vélocité et une portée qu’aucun recruteur humain n’aurait pu atteindre. Un système de scoring de crédit peut pénaliser des parcours professionnels atypiques ou des territoires déjà fragilisés économiquement. Un dispositif de détection de fraude sociale, lorsqu’il est nourri de données issues de pratiques de surveillance déjà différenciées, tend à concentrer les contrôles sur les groupes les plus exposés — reproduisant ainsi un ciblage statistique qui, cumulé dans le temps, génère des effets d’exclusion structurels. Les systèmes de reconnaissance faciale ou de catégorisation biométrique ont par ailleurs montré des taux d’erreur significativement plus élevés pour certaines minorités, avec des conséquences pouvant aller jusqu’à de fausses arrestations — un constat documenté et relayé par le Réseau européen des institutions nationales des droits de l’homme (ENNHRI) [6].
Ce qui rend ces phénomènes particulièrement résistants à la correction, c’est leur invisibilité au niveau individuel. Une personne peut ne jamais savoir qu’un classement automatisé a réduit ses chances d’être convoquée à un entretien, qu'un score de risque a orienté un contrôle à son égard, ou qu'un filtre algorithmique a rendu ses contenus moins accessibles. Le préjudice n’apparaît qu’à travers des tendances — un groupe systématiquement moins bien traité, des décisions défavorables concentrées sur certaines catégories de population — que seule une analyse collective et outillée permet d'identifier. L’ENNHRI insiste précisément sur ce caractère cumulatif et difficile à percevoir des atteintes produites par les systèmes d’IA [6].
Une attention particulière s’impose aux personnes en situation de vulnérabilité — enfants, personnes handicapées, migrants, bénéficiaires de prestations sociales, travailleurs précaires, groupes exposés à des discriminations structurelles. Pour eux, les obstacles à la compréhension, à la contestation et à l’accès au recours sont souvent plus élevés. Et les domaines dans lesquels ces risques se matérialisent — emploi, logement, accès aux services publics, protection sociale, procédures migratoires — sont précisément ceux où l’exercice effectif des droits est le plus vital et les asymétries de pouvoir les plus marquées.
L’AI Act tente de répondre à ces réalités en imposant aux systèmes à haut risque des exigences renforcées en matière de gestion des risques, de qualité des jeux de données, d’exactitude, de robustesse et de traçabilité [7]. Mais les obligations normatives ne suffisent pas sans les mécanismes de contrôle, d’audit et de sanction qui leur confèrent leur effectivité — ni sans une culture institutionnelle disposée à remettre en cause les outils lorsque leurs effets se révèlent discriminatoires.
Automatisation décisionnelle et fragilisation des garanties procédurales
Parmi tous les risques liés à l’IA, celui qui touche aux garanties procédurales est peut-être le plus profond, car il remet en question la substance même de l’État de droit. En matière administrative, judiciaire ou quasi-juridictionnelle, les droits fondamentaux ne se résument pas à l’issue d’une décision. Ils comprennent l’ensemble des sauvegardes qui entourent le processus : être informé, pouvoir présenter ses arguments, obtenir une décision motivée, accéder à un examen impartial, disposer d’un recours effectif. Or, chacune de ces protections peut être sérieusement fragilisée lorsque des dispositifs algorithmiques jouent un rôle déterminant dans la préparation, l’orientation ou la justification des décisions.
Un système qui attribue un score de risque dans une procédure judiciaire, classe automatiquement des demandes administratives ou génère un projet de décision ne décide peut-être pas, au sens juridique du terme. Mais il configure le champ des possibles, oriente le regard de l’agent responsable et réduit souvent la marge de manœuvre effective de ce dernier — surtout lorsque le temps, les compétences ou l’autorité institutionnelle font défaut pour s’en écarter. C’est ce que la recherche désigne comme le « biais d’automatisation » : la tendance à accorder aux résultats algorithmiques une confiance supérieure à celle que l’on accorderait à un jugement humain équivalent, parfois au détriment d’une appréciation individualisée et critique. La Rapporteuse spéciale des Nations Unies sur l’indépendance des juges et des avocats a mis en garde contre ce risque dans son rapport consacré à l’IA dans les systèmes judiciaires, soulignant qu’il peut éroder le pouvoir discrétionnaire des magistrats de manière presque imperceptible — au point de rendre l’intervention humaine formellement maintenue, mais matériellement ineffective [8].
Le même rapport rejette le « solutionnisme technologique », soit la conviction que la technologie pourrait ou devrait se substituer au jugement humain dans les sphères où l’indépendance, l’impartialité et la motivation constituent des exigences constitutives. Il affirme que le droit à un tribunal indépendant et impartial suppose l’accès à un juge humain, et que le droit d’accéder au conseil de son choix suppose l’accès à un avocat humain [8]. Ces exigences valent bien au-delà de la seule justice au sens strict : elles s’étendent à toute décision administrative susceptible d’affecter significativement la liberté, la sécurité, le statut migratoire, l’accès aux droits sociaux ou la situation familiale d’une personne.
Dans l’ordre juridique de l’Union européenne, cette problématique rencontre le RGPD qui, en son article 22, reconnaît le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé — y compris le profilage — dès lors qu’elle produit des effets juridiques significatifs [16]. Même lorsque cet article n’est pas directement applicable, sa logique offre un cadre de réflexion précieux pour penser les garanties nécessaires face aux décisions algorithmiques. L’article 6 de la Convention européenne des droits de l’homme, qui protège le droit à un procès équitable devant un tribunal indépendant et impartial, et l’article 47 de la Charte des droits fondamentaux de l’Union européenne, qui consacre le droit à un recours effectif, forment avec la Convention-cadre du Conseil de l’Europe un cadre normatif convergent : les recours doivent être accessibles et effectifs, et des garanties procédurales doivent être assurées chaque fois que l’utilisation d’un système d’IA est susceptible d’avoir un impact significatif sur les droits des personnes [2].
Plus la décision est lourde de conséquences, plus ces protections doivent être robustes. Un dispositif automatisé qui contribue à refuser une prestation, à orienter une enquête, à évaluer la crédibilité d’un dossier ou à préparer une décision judiciaire n’est pas un simple outil technique. Il est devenu un élément constitutif du processus décisionnel — et doit à ce titre être soumis aux exigences que l’État de droit impose à tout exercice du pouvoir.
Un système qui attribue un score de risque dans une procédure judiciaire, classe automatiquement des demandes administratives ou génère un projet de décision ne décide peut-être pas, au sens juridique du terme. Mais il configure le champ des possibles, oriente le regard de l’agent responsable et réduit souvent la marge de manœuvre effective de ce dernier — surtout lorsque le temps, les compétences ou l’autorité institutionnelle font défaut pour s’en écarter. C’est ce que la recherche désigne comme le « biais d’automatisation » : la tendance à accorder aux résultats algorithmiques une confiance supérieure à celle que l’on accorderait à un jugement humain équivalent, parfois au détriment d’une appréciation individualisée et critique. La Rapporteuse spéciale des Nations Unies sur l’indépendance des juges et des avocats a mis en garde contre ce risque dans son rapport consacré à l’IA dans les systèmes judiciaires, soulignant qu’il peut éroder le pouvoir discrétionnaire des magistrats de manière presque imperceptible — au point de rendre l’intervention humaine formellement maintenue, mais matériellement ineffective [8].
Le même rapport rejette le « solutionnisme technologique », soit la conviction que la technologie pourrait ou devrait se substituer au jugement humain dans les sphères où l’indépendance, l’impartialité et la motivation constituent des exigences constitutives. Il affirme que le droit à un tribunal indépendant et impartial suppose l’accès à un juge humain, et que le droit d’accéder au conseil de son choix suppose l’accès à un avocat humain [8]. Ces exigences valent bien au-delà de la seule justice au sens strict : elles s’étendent à toute décision administrative susceptible d’affecter significativement la liberté, la sécurité, le statut migratoire, l’accès aux droits sociaux ou la situation familiale d’une personne.
Dans l’ordre juridique de l’Union européenne, cette problématique rencontre le RGPD qui, en son article 22, reconnaît le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé — y compris le profilage — dès lors qu’elle produit des effets juridiques significatifs [16]. Même lorsque cet article n’est pas directement applicable, sa logique offre un cadre de réflexion précieux pour penser les garanties nécessaires face aux décisions algorithmiques. L’article 6 de la Convention européenne des droits de l’homme, qui protège le droit à un procès équitable devant un tribunal indépendant et impartial, et l’article 47 de la Charte des droits fondamentaux de l’Union européenne, qui consacre le droit à un recours effectif, forment avec la Convention-cadre du Conseil de l’Europe un cadre normatif convergent : les recours doivent être accessibles et effectifs, et des garanties procédurales doivent être assurées chaque fois que l’utilisation d’un système d’IA est susceptible d’avoir un impact significatif sur les droits des personnes [2].
Plus la décision est lourde de conséquences, plus ces protections doivent être robustes. Un dispositif automatisé qui contribue à refuser une prestation, à orienter une enquête, à évaluer la crédibilité d’un dossier ou à préparer une décision judiciaire n’est pas un simple outil technique. Il est devenu un élément constitutif du processus décisionnel — et doit à ce titre être soumis aux exigences que l’État de droit impose à tout exercice du pouvoir.
Encadrer le cycle de vie des systèmes d’IA : de la prévention des risques aux garanties effectives
Identifier les risques est nécessaire — mais nullement suffisant. Encore faut-il les prévenir, les détecter en temps utile et, lorsqu’ils se matérialisent malgré tout, rendre possible leur réparation. L’enjeu est de construire une architecture de garanties à la fois cohérente et opérationnelle : non des dispositifs qui s’activent au seul moment visible de la décision, mais des mécanismes qui accompagnent les systèmes d’IA tout au long de leur existence — de leur conception à leur éventuel retrait. C’est précisément la logique de cycle de vie que retient la Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle, qui vise à s’assurer que les activités liées aux systèmes d’intelligence artificielle soient compatibles avec les droits de l’homme, la démocratie et l’État de droit, à travers des mesures graduées en fonction de la gravité et de la probabilité des impacts négatifs [2].
Identifier les usages inacceptables et les systèmes à haut risque
Toute architecture de gouvernance commence par une cartographie des usages. Classer les systèmes d’IA selon leur niveau de risque permet d’éviter une réglementation abstraite et uniforme, tout en reconnaissant que certains dispositifs peuvent porter des atteintes particulièrement graves aux droits fondamentaux — et que d’autres, plus périphériques, n’appellent pas les mêmes exigences.
L’AI Act repose sur cette logique graduée. À un premier niveau, il prohibe des pratiques jugées intrinsèquement incompatibles avec les valeurs fondamentales de l’Union : manipulation psychologique nuisible, exploitation des vulnérabilités de personnes ou de groupes spécifiques, classement social généralisé fondé sur les comportements, certaines formes d’évaluation prédictive du risque individuel d’infraction pénale, constitution non ciblée de bases de données biométriques par scraping d’images faciales, reconnaissance des émotions en milieu professionnel ou scolaire [7]. Ces interdictions ne relèvent pas d’une logique de précaution excessive. Elles traduisent une conviction plus fondamentale : certains usages sont incompatibles avec une société démocratique, indépendamment de leur performance technique. Un dispositif de social scoring généralisé ne serait pas rendu acceptable par de meilleures garanties procédurales — sa nature même le situe hors du périmètre du tolérable.
À un second niveau, le règlement identifie des systèmes à haut risque dans des domaines où les enjeux sont particulièrement élevés : éducation, emploi, accès aux services essentiels, maintien de l’ordre, migration, asile, contrôle aux frontières, administration de la justice, processus démocratiques [7]. Pour ces systèmes, les obligations sont substantiellement renforcées — gestion des risques, qualité des données d’entraînement, traçabilité, documentation technique, information des déployeurs, supervision humaine, robustesse, exactitude. L’accord provisoire conclu en mai 2026 dans le cadre du paquet de simplification numérique a aménagé le calendrier d’application de certaines obligations, en prévoyant notamment une application au 2 décembre 2027 pour certains systèmes d’IA à haut risque non intégrés dans des produits, et au 2 août 2028 pour les systèmes à haut risque intégrés dans des produits.[17]
La Recommandation du Conseil de l’OCDE sur l’intelligence artificielle, adoptée en 2019 et révisée en 2024, converge sur ce point. Elle appelle les acteurs à assurer la transparence et l’explicabilité des systèmes d’IA, en particulier lorsqu’ils sont susceptibles d’affecter les droits des personnes, et elle place la responsabilité — la capacité à rendre compte du fonctionnement et des effets d’un système — au cœur des obligations de tout acteur de l’IA [14]. Ce principe de responsabilité, partagé entre les cadres européen, onusien et de l’OCDE, marque une rupture décisive avec l’idée qu’un système algorithmique pourrait être neutre ou sans auteur.
L’AI Act repose sur cette logique graduée. À un premier niveau, il prohibe des pratiques jugées intrinsèquement incompatibles avec les valeurs fondamentales de l’Union : manipulation psychologique nuisible, exploitation des vulnérabilités de personnes ou de groupes spécifiques, classement social généralisé fondé sur les comportements, certaines formes d’évaluation prédictive du risque individuel d’infraction pénale, constitution non ciblée de bases de données biométriques par scraping d’images faciales, reconnaissance des émotions en milieu professionnel ou scolaire [7]. Ces interdictions ne relèvent pas d’une logique de précaution excessive. Elles traduisent une conviction plus fondamentale : certains usages sont incompatibles avec une société démocratique, indépendamment de leur performance technique. Un dispositif de social scoring généralisé ne serait pas rendu acceptable par de meilleures garanties procédurales — sa nature même le situe hors du périmètre du tolérable.
À un second niveau, le règlement identifie des systèmes à haut risque dans des domaines où les enjeux sont particulièrement élevés : éducation, emploi, accès aux services essentiels, maintien de l’ordre, migration, asile, contrôle aux frontières, administration de la justice, processus démocratiques [7]. Pour ces systèmes, les obligations sont substantiellement renforcées — gestion des risques, qualité des données d’entraînement, traçabilité, documentation technique, information des déployeurs, supervision humaine, robustesse, exactitude. L’accord provisoire conclu en mai 2026 dans le cadre du paquet de simplification numérique a aménagé le calendrier d’application de certaines obligations, en prévoyant notamment une application au 2 décembre 2027 pour certains systèmes d’IA à haut risque non intégrés dans des produits, et au 2 août 2028 pour les systèmes à haut risque intégrés dans des produits.[17]
La Recommandation du Conseil de l’OCDE sur l’intelligence artificielle, adoptée en 2019 et révisée en 2024, converge sur ce point. Elle appelle les acteurs à assurer la transparence et l’explicabilité des systèmes d’IA, en particulier lorsqu’ils sont susceptibles d’affecter les droits des personnes, et elle place la responsabilité — la capacité à rendre compte du fonctionnement et des effets d’un système — au cœur des obligations de tout acteur de l’IA [14]. Ce principe de responsabilité, partagé entre les cadres européen, onusien et de l’OCDE, marque une rupture décisive avec l’idée qu’un système algorithmique pourrait être neutre ou sans auteur.
Évaluer les impacts avant et après le déploiement
Classer les systèmes par niveau de risque est une première étape. En elle-même, elle ne prévient rien si elle n’est pas suivie d’une évaluation sérieuse des effets — conduite avant le déploiement, bien sûr, mais aussi après, car les systèmes évoluent, leurs contextes d’utilisation se transforment et les conséquences qu’ils produisent ne sont pas toujours prévisibles au stade de la conception.
Une telle évaluation ne peut pas se cantonner à des indicateurs de performance technique. Elle doit interroger les effets du système sur les droits, sur l’égalité d’accès, sur la vie privée et sur la participation démocratique, en prêtant une attention particulière aux groupes les plus exposés. Quelles données sont utilisées, et d’où proviennent-elles ? Les personnes affectées ont-elles été associées au processus ? Existe-t-il un risque de discrimination directe ou indirecte ? Le système touche-t-il des enfants, des personnes handicapées, des demandeurs d’asile ? Peut-on comprendre et contester le résultat ? L’agent responsable dispose-t-il réellement de la latitude pour s’écarter de la recommandation algorithmique ? Ces questions, parmi bien d’autres, ne sont pas rhétoriques : elles dessinent les contours de ce que doit contenir, au minimum, toute évaluation d’impact sérieuse.
La Convention-cadre du Conseil de l’Europe prévoit à cet égard un cadre de gestion des risques et des impacts fondé sur l’identification, l’évaluation, la prévention et l’atténuation des risques posés par les systèmes d’IA, en tenant compte du contexte d’utilisation, de la gravité et de la probabilité des impacts potentiels, ainsi que des perspectives des parties prenantes — « en particulier des personnes dont les droits pourraient être affectés ». Elle précise que ces mesures doivent être appliquées « de manière itérative tout au long du cycle de vie du système » [2].
L’UNESCO apporte une dimension complémentaire en définissant l’évaluation d’impact éthique comme un « processus structuré permettant aux équipes de projet, en lien avec les communautés affectées, d’identifier les impacts potentiels d’un système d’IA et les mesures de prévention nécessaires » [9]. Deux éléments méritent d’être soulignés dans cette définition : le caractère structuré du processus — ce n’est pas une déclaration d’intention — et la place accordée à la participation des communautés affectées, qui ne sont pas de simples destinataires, mais des actrices de l’évaluation. Dans l’espace juridique européen, le RGPD fournit un mécanisme opérationnel complémentaire : l’analyse d’impact relative à la protection des données (AIPD), obligatoire lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, constitue un outil éprouvé dont la logique peut utilement alimenter les évaluations d’impact plus larges imposées par l’AI Act [16].
Au fond, cette démarche préventive exige une rupture avec la culture déclarative : non plus proclamer que les droits fondamentaux sont respectés, mais le démontrer, par des traces vérifiables, avant que le dommage ne survienne — et maintenir cette vigilance après le déploiement.
Une telle évaluation ne peut pas se cantonner à des indicateurs de performance technique. Elle doit interroger les effets du système sur les droits, sur l’égalité d’accès, sur la vie privée et sur la participation démocratique, en prêtant une attention particulière aux groupes les plus exposés. Quelles données sont utilisées, et d’où proviennent-elles ? Les personnes affectées ont-elles été associées au processus ? Existe-t-il un risque de discrimination directe ou indirecte ? Le système touche-t-il des enfants, des personnes handicapées, des demandeurs d’asile ? Peut-on comprendre et contester le résultat ? L’agent responsable dispose-t-il réellement de la latitude pour s’écarter de la recommandation algorithmique ? Ces questions, parmi bien d’autres, ne sont pas rhétoriques : elles dessinent les contours de ce que doit contenir, au minimum, toute évaluation d’impact sérieuse.
La Convention-cadre du Conseil de l’Europe prévoit à cet égard un cadre de gestion des risques et des impacts fondé sur l’identification, l’évaluation, la prévention et l’atténuation des risques posés par les systèmes d’IA, en tenant compte du contexte d’utilisation, de la gravité et de la probabilité des impacts potentiels, ainsi que des perspectives des parties prenantes — « en particulier des personnes dont les droits pourraient être affectés ». Elle précise que ces mesures doivent être appliquées « de manière itérative tout au long du cycle de vie du système » [2].
L’UNESCO apporte une dimension complémentaire en définissant l’évaluation d’impact éthique comme un « processus structuré permettant aux équipes de projet, en lien avec les communautés affectées, d’identifier les impacts potentiels d’un système d’IA et les mesures de prévention nécessaires » [9]. Deux éléments méritent d’être soulignés dans cette définition : le caractère structuré du processus — ce n’est pas une déclaration d’intention — et la place accordée à la participation des communautés affectées, qui ne sont pas de simples destinataires, mais des actrices de l’évaluation. Dans l’espace juridique européen, le RGPD fournit un mécanisme opérationnel complémentaire : l’analyse d’impact relative à la protection des données (AIPD), obligatoire lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, constitue un outil éprouvé dont la logique peut utilement alimenter les évaluations d’impact plus larges imposées par l’AI Act [16].
Au fond, cette démarche préventive exige une rupture avec la culture déclarative : non plus proclamer que les droits fondamentaux sont respectés, mais le démontrer, par des traces vérifiables, avant que le dommage ne survienne — et maintenir cette vigilance après le déploiement.
Organiser la responsabilité entre développeurs, déployeurs et acheteurs publics
L’une des difficultés les plus structurelles de la gouvernance algorithmique tient à la pluralité des acteurs impliqués dans la vie d’un système. Conçu par une entreprise, entraîné à partir de données provenant de sources multiples, intégré par un fournisseur, acquis par une administration, utilisé par un agent public — l’outil produit finalement des effets sur des personnes qui n’ont aucune relation directe avec son développeur initial. Dans cette chaîne, la responsabilité peut facilement se fragmenter jusqu’à se dissoudre : le développeur se présente comme fournisseur neutre, l’acheteur comme utilisateur passif, le déployeur comme simple exécutant.
Le rapport du Groupe de travail des Nations Unies sur les entreprises et les droits de l’homme consacré à l’achat et au déploiement de systèmes d’IA dissout cette fiction. Il établit que les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme s’appliquent non seulement aux concepteurs de systèmes d’IA, mais aussi aux États et aux entreprises qui les acquièrent ou les déploient sans les avoir conçus — et il examine la manière dont l’accès à un recours peut être garanti en cas d’atteintes aux droits humains résultant de ces systèmes [1].
Pour les marchés publics, la conséquence est limpide. Lorsqu’une administration acquiert un outil de détection de fraude, un système de gestion algorithmique des dossiers ou un dispositif d’aide à la décision administrative, elle ne peut pas transférer l’intégralité de sa responsabilité juridique au fournisseur privé. Elle doit s’assurer que le système est compatible avec ses obligations en matière de droits fondamentaux, que les données utilisées sont appropriées, que les risques de discrimination ont fait l’objet d’une évaluation sérieuse, que la documentation est accessible et que les personnes affectées disposent de garanties effectives. Cette exigence se révèle d’autant plus pressante lorsque le système est opaque, propriétaire ou insuffisamment documenté par son concepteur.
La même logique irrigue les obligations des acteurs privés. Les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, adoptés par le Conseil des droits de l’homme en 2011, fondent leur architecture sur le cadre « protéger, respecter et réparer » et établissent que les entreprises ont la responsabilité de respecter les droits humains — indépendamment des obligations incombant aux États [10]. Appliquée à l’IA, cette responsabilité prend la forme d’une diligence raisonnable continue : identifier les risques réels et potentiels pour les personnes, les prévenir, les atténuer, rendre compte des mesures adoptées et prévoir des voies de réparation. Le projet B-Tech du Haut-Commissariat des Nations Unies aux droits de l’homme travaille précisément à transposer ces principes au secteur technologique, en fournissant des orientations opérationnelles aux développeurs, aux investisseurs et aux autorités publiques [11]. La Recommandation de l’OCDE converge en exigeant que les organisations soient en mesure de rendre compte du fonctionnement de leurs systèmes d’IA et d’en assumer les conséquences [14] — une responsabilité qui va au-delà de la transparence, car elle impose non seulement de rendre visible, mais de rendre compte.
Le rapport du Groupe de travail des Nations Unies sur les entreprises et les droits de l’homme consacré à l’achat et au déploiement de systèmes d’IA dissout cette fiction. Il établit que les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme s’appliquent non seulement aux concepteurs de systèmes d’IA, mais aussi aux États et aux entreprises qui les acquièrent ou les déploient sans les avoir conçus — et il examine la manière dont l’accès à un recours peut être garanti en cas d’atteintes aux droits humains résultant de ces systèmes [1].
Pour les marchés publics, la conséquence est limpide. Lorsqu’une administration acquiert un outil de détection de fraude, un système de gestion algorithmique des dossiers ou un dispositif d’aide à la décision administrative, elle ne peut pas transférer l’intégralité de sa responsabilité juridique au fournisseur privé. Elle doit s’assurer que le système est compatible avec ses obligations en matière de droits fondamentaux, que les données utilisées sont appropriées, que les risques de discrimination ont fait l’objet d’une évaluation sérieuse, que la documentation est accessible et que les personnes affectées disposent de garanties effectives. Cette exigence se révèle d’autant plus pressante lorsque le système est opaque, propriétaire ou insuffisamment documenté par son concepteur.
La même logique irrigue les obligations des acteurs privés. Les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, adoptés par le Conseil des droits de l’homme en 2011, fondent leur architecture sur le cadre « protéger, respecter et réparer » et établissent que les entreprises ont la responsabilité de respecter les droits humains — indépendamment des obligations incombant aux États [10]. Appliquée à l’IA, cette responsabilité prend la forme d’une diligence raisonnable continue : identifier les risques réels et potentiels pour les personnes, les prévenir, les atténuer, rendre compte des mesures adoptées et prévoir des voies de réparation. Le projet B-Tech du Haut-Commissariat des Nations Unies aux droits de l’homme travaille précisément à transposer ces principes au secteur technologique, en fournissant des orientations opérationnelles aux développeurs, aux investisseurs et aux autorités publiques [11]. La Recommandation de l’OCDE converge en exigeant que les organisations soient en mesure de rendre compte du fonctionnement de leurs systèmes d’IA et d’en assumer les conséquences [14] — une responsabilité qui va au-delà de la transparence, car elle impose non seulement de rendre visible, mais de rendre compte.
Documenter, tracer et rendre les systèmes contestables
Une architecture de garanties sans documentation est une architecture sans fondations. Sans traces vérifiables, il est impossible de reconstituer quelles données ont été utilisées, quels paramètres retenus, quels tests effectués, quelles limites identifiées — ni, en cas de litige, d’établir le lien de causalité entre un choix de conception et un préjudice subi. Loin d’être une formalité administrative, la documentation est la condition de possibilité de toutes les autres garanties.
Pour les systèmes à haut risque, l’AI Act impose un ensemble d’obligations destinées à assurer cette traçabilité dans la durée : systèmes de gestion des risques, exigences de qualité sur les données d’entraînement, journalisation automatique des activités, documentation technique accessible aux autorités compétentes, information claire à destination des déployeurs, et surveillance post-commercialisation assurée conjointement par les fournisseurs, les déployeurs et les autorités nationales [7]. Ces obligations forment un continuum : avant la mise sur le marché, pendant le déploiement, et au-delà.
La Convention-cadre du Conseil de l’Europe prolonge cette logique vers les personnes directement concernées. Elle prévoit que les informations pertinentes concernant les systèmes d’IA ayant un impact significatif sur les droits humains doivent, lorsque cela est approprié et applicable, être documentées et communiquées de manière à permettre aux personnes concernées de contester les décisions prises ou substantiellement influencées par ces systèmes [2]. Cette formulation articule deux niveaux de garanties complémentaires : la documentation comme condition interne de contrôle, et la communicabilité comme condition externe d’accès au recours.
Dans l’espace juridique européen, le RGPD offre des outils dont la mobilisation conjointe avec l’AI Act renforce l’effectivité de ces garanties. Le droit à l’information sur les traitements automatisés, l’obligation de tenir un registre des activités de traitement, le droit d’accès aux données et le droit d’obtenir des explications sur les décisions automatisées significatives constituent autant de leviers permettant aux personnes de reconstituer ce qui s’est passé — à condition, bien sûr, que ces droits soient réellement accessibles et non seulement proclamés [16].
Sans information, pas de contestation possible. Sans contestation, pas de recours effectif. Et sans recours, la protection des droits reste abstraite, confinée dans les textes, sans prise sur les situations concrètes.
Pour les systèmes à haut risque, l’AI Act impose un ensemble d’obligations destinées à assurer cette traçabilité dans la durée : systèmes de gestion des risques, exigences de qualité sur les données d’entraînement, journalisation automatique des activités, documentation technique accessible aux autorités compétentes, information claire à destination des déployeurs, et surveillance post-commercialisation assurée conjointement par les fournisseurs, les déployeurs et les autorités nationales [7]. Ces obligations forment un continuum : avant la mise sur le marché, pendant le déploiement, et au-delà.
La Convention-cadre du Conseil de l’Europe prolonge cette logique vers les personnes directement concernées. Elle prévoit que les informations pertinentes concernant les systèmes d’IA ayant un impact significatif sur les droits humains doivent, lorsque cela est approprié et applicable, être documentées et communiquées de manière à permettre aux personnes concernées de contester les décisions prises ou substantiellement influencées par ces systèmes [2]. Cette formulation articule deux niveaux de garanties complémentaires : la documentation comme condition interne de contrôle, et la communicabilité comme condition externe d’accès au recours.
Dans l’espace juridique européen, le RGPD offre des outils dont la mobilisation conjointe avec l’AI Act renforce l’effectivité de ces garanties. Le droit à l’information sur les traitements automatisés, l’obligation de tenir un registre des activités de traitement, le droit d’accès aux données et le droit d’obtenir des explications sur les décisions automatisées significatives constituent autant de leviers permettant aux personnes de reconstituer ce qui s’est passé — à condition, bien sûr, que ces droits soient réellement accessibles et non seulement proclamés [16].
Sans information, pas de contestation possible. Sans contestation, pas de recours effectif. Et sans recours, la protection des droits reste abstraite, confinée dans les textes, sans prise sur les situations concrètes.
Garantir un contrôle humain effectif et des voies de recours
Affirmer qu’un humain reste « dans la boucle » ne suffit pas. Cette formule rassurante peut dissimuler des situations dans lesquelles le contrôle humain n’est que nominal — formellement maintenu, mais vidé de sa substance par le poids de la recommandation algorithmique, par l’absence de compétences pour en évaluer les limites, par le manque de temps pour examiner chaque dossier individuellement, ou par l’absence d’autorité institutionnelle pour s’écarter d’un résultat déjà produit par le système. Un contrôle humain effectif suppose des conditions matérielles précises : comprendre la finalité du dispositif, connaître ses marges d’erreur, disposer du temps nécessaire à un examen réel, avoir la latitude de dévier de la recommandation — et surtout, demeurer responsable de la décision finale.
Dans le domaine judiciaire, ces exigences atteignent leur intensité maximale. La Rapporteuse spéciale des Nations Unies sur l’indépendance des juges et des avocats met en garde contre le risque de « solutionnisme technologique » et souligne que « l’IA ne devrait pas être adoptée sans que l’on évalue soigneusement les risques qu’elle présente, les moyens de les atténuer et la possibilité de recourir à d’autres solutions moins risquées » [8]. Elle affirme par ailleurs que « le droit à un tribunal indépendant et impartial exige l’accès à un juge humain » et que l’accès au « défenseur de son choix suppose l’accès à un conseil humain » [8]. Ces affirmations ne constituent pas de simples rappels symboliques : elles tracent une frontière que la gouvernance de l’IA ne peut franchir.
Au-delà du prétoire, la même exigence s’étend à toute décision administrative susceptible d’affecter significativement les droits d’une personne. Refus d’une prestation sociale, orientation d’une procédure migratoire, évaluation d’un risque de récidive, suspension d’un accès à un service — autant de situations où la décision doit rester intelligible, motivée, imputable à une personne ou une autorité clairement identifiable, et susceptible d’être portée devant un organe de contrôle. La gravité de la décision doit être proportionnelle à la robustesse des garanties qui l’entourent.
La Convention-cadre du Conseil de l’Europe cristallise cette logique en prévoyant des « recours accessibles et effectifs » contre les violations des droits humains « résultant d’activités relevant du cycle de vie des systèmes d’IA », des garanties procédurales lorsque l’utilisation d’un système d’IA a un « impact significatif sur la jouissance des droits humains », et l’information des personnes lorsqu’elles interagissent avec un système d’IA plutôt qu’avec un être humain, selon le contexte [2].
Au terme de cette section, une conviction s’impose : la gouvernance de l’IA n’est pas d’abord une question d’innovation encadrée. C’est une question de pouvoir maîtrisé. Les systèmes les plus performants peuvent, en l’absence de garanties adéquates, devenir les plus opaques, les plus difficiles à responsabiliser et les moins accessibles aux personnes qu’ils affectent le plus directement. C’est précisément pour cette raison que l’évaluation des impacts, la documentation, la responsabilité partagée, la traçabilité et le contrôle humain effectif forment non pas un catalogue d’obligations disparates, mais l’ossature d’un État de droit adapté à l’ère algorithmique.
Dans le domaine judiciaire, ces exigences atteignent leur intensité maximale. La Rapporteuse spéciale des Nations Unies sur l’indépendance des juges et des avocats met en garde contre le risque de « solutionnisme technologique » et souligne que « l’IA ne devrait pas être adoptée sans que l’on évalue soigneusement les risques qu’elle présente, les moyens de les atténuer et la possibilité de recourir à d’autres solutions moins risquées » [8]. Elle affirme par ailleurs que « le droit à un tribunal indépendant et impartial exige l’accès à un juge humain » et que l’accès au « défenseur de son choix suppose l’accès à un conseil humain » [8]. Ces affirmations ne constituent pas de simples rappels symboliques : elles tracent une frontière que la gouvernance de l’IA ne peut franchir.
Au-delà du prétoire, la même exigence s’étend à toute décision administrative susceptible d’affecter significativement les droits d’une personne. Refus d’une prestation sociale, orientation d’une procédure migratoire, évaluation d’un risque de récidive, suspension d’un accès à un service — autant de situations où la décision doit rester intelligible, motivée, imputable à une personne ou une autorité clairement identifiable, et susceptible d’être portée devant un organe de contrôle. La gravité de la décision doit être proportionnelle à la robustesse des garanties qui l’entourent.
La Convention-cadre du Conseil de l’Europe cristallise cette logique en prévoyant des « recours accessibles et effectifs » contre les violations des droits humains « résultant d’activités relevant du cycle de vie des systèmes d’IA », des garanties procédurales lorsque l’utilisation d’un système d’IA a un « impact significatif sur la jouissance des droits humains », et l’information des personnes lorsqu’elles interagissent avec un système d’IA plutôt qu’avec un être humain, selon le contexte [2].
Au terme de cette section, une conviction s’impose : la gouvernance de l’IA n’est pas d’abord une question d’innovation encadrée. C’est une question de pouvoir maîtrisé. Les systèmes les plus performants peuvent, en l’absence de garanties adéquates, devenir les plus opaques, les plus difficiles à responsabiliser et les moins accessibles aux personnes qu’ils affectent le plus directement. C’est précisément pour cette raison que l’évaluation des impacts, la documentation, la responsabilité partagée, la traçabilité et le contrôle humain effectif forment non pas un catalogue d’obligations disparates, mais l’ossature d’un État de droit adapté à l’ère algorithmique.
Conclusion
Quelque chose s’est déplacé, durablement. L’intelligence artificielle n’est plus une technologie en gestation, dont les effets se limiteraient à quelques secteurs d’expérimentation : elle s’est imposée au cœur des mécanismes qui organisent l’accès aux droits, aux opportunités, à l’information et au pouvoir. Classer des candidatures, orienter des procédures administratives, évaluer des risques judiciaires, moduler l’accès aux prestations sociales, façonner les environnements informationnels — autant de fonctions que des systèmes algorithmiques exercent désormais, souvent en arrière-plan, dans des millions de situations individuelles. Ce déplacement appelle une réponse à la mesure de son ampleur : non pas une réponse purement technique, mais une réponse politique, juridique et institutionnelle, ancrée dans les droits fondamentaux.
Le cadre normatif qui s’élabore à l’échelle internationale et européenne témoigne d’une prise de conscience réelle. La Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle pose les bases d’une gouvernance fondée sur les droits humains, la démocratie et l’État de droit. L’AI Act de l’Union européenne introduit une approche graduée qui prohibe certains usages inacceptables et soumet les systèmes à haut risque à des obligations substantielles. La Recommandation de l’UNESCO, les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, les travaux des rapporteurs spéciaux et des organes de traités dessinent ensemble un corpus de plus en plus cohérent. Le Haut-Commissaire des Nations Unies aux droits de l’homme, Volker Türk, l’a formulé avec clarté : les droits humains sont le fondement indispensable d’une intelligence artificielle qui bénéficie réellement à l’humanité [12].
Pourtant, l’existence des normes ne garantit pas leur effectivité. L’écart entre les engagements proclamés et les garanties concrètement accessibles aux personnes affectées demeure l’une des vulnérabilités les plus sérieuses du dispositif. Une évaluation d’impact réduite à une formalité, une documentation insuffisante pour permettre toute contestation réelle, un contrôle humain ramené à une validation automatique, un recours juridiquement prévu mais pratiquement inaccessible — chacune de ces situations transforme des protections nominales en remparts illusoires. La robustesse d’un cadre normatif se mesure à sa capacité à produire des effets observables dans la vie des personnes les plus exposées, et non à la seule élégance de ses formulations.
L’enjeu est, au fond, profondément démocratique. Il ne s’agit pas d’opposer les droits humains à l’innovation — ces deux horizons ne sont pas inconciliables. Il s’agit de poser une exigence de légitimité : les systèmes qui participent à l’organisation du pouvoir ne peuvent être légitimes que s’ils demeurent compréhensibles, contestables et imputables. Une décision qui ne peut être ni comprise, ni contestée, ni attribuée à une autorité responsable n’est pas simplement une décision défaillante — c’est une rupture avec les fondements de l’État de droit. C’est pourquoi la gouvernance de l’IA n’est pas une sous-discipline du droit des nouvelles technologies : elle touche aux conditions mêmes dans lesquelles les droits fondamentaux peuvent être exercés dans les sociétés contemporaines.
Protéger ces conditions suppose une mobilisation continue — des États, des entreprises, des institutions indépendantes, des juridictions et de la société civile. Les cadres normatifs existent. Les outils se précisent. Ce qui reste à construire, c’est la volonté institutionnelle et la vigilance collective nécessaires pour les faire vivre — non pas seulement dans les textes, mais dans l’expérience quotidienne des personnes que les systèmes algorithmiques affectent, souvent sans qu’elles le sachent.
Le cadre normatif qui s’élabore à l’échelle internationale et européenne témoigne d’une prise de conscience réelle. La Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle pose les bases d’une gouvernance fondée sur les droits humains, la démocratie et l’État de droit. L’AI Act de l’Union européenne introduit une approche graduée qui prohibe certains usages inacceptables et soumet les systèmes à haut risque à des obligations substantielles. La Recommandation de l’UNESCO, les Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme, les travaux des rapporteurs spéciaux et des organes de traités dessinent ensemble un corpus de plus en plus cohérent. Le Haut-Commissaire des Nations Unies aux droits de l’homme, Volker Türk, l’a formulé avec clarté : les droits humains sont le fondement indispensable d’une intelligence artificielle qui bénéficie réellement à l’humanité [12].
Pourtant, l’existence des normes ne garantit pas leur effectivité. L’écart entre les engagements proclamés et les garanties concrètement accessibles aux personnes affectées demeure l’une des vulnérabilités les plus sérieuses du dispositif. Une évaluation d’impact réduite à une formalité, une documentation insuffisante pour permettre toute contestation réelle, un contrôle humain ramené à une validation automatique, un recours juridiquement prévu mais pratiquement inaccessible — chacune de ces situations transforme des protections nominales en remparts illusoires. La robustesse d’un cadre normatif se mesure à sa capacité à produire des effets observables dans la vie des personnes les plus exposées, et non à la seule élégance de ses formulations.
L’enjeu est, au fond, profondément démocratique. Il ne s’agit pas d’opposer les droits humains à l’innovation — ces deux horizons ne sont pas inconciliables. Il s’agit de poser une exigence de légitimité : les systèmes qui participent à l’organisation du pouvoir ne peuvent être légitimes que s’ils demeurent compréhensibles, contestables et imputables. Une décision qui ne peut être ni comprise, ni contestée, ni attribuée à une autorité responsable n’est pas simplement une décision défaillante — c’est une rupture avec les fondements de l’État de droit. C’est pourquoi la gouvernance de l’IA n’est pas une sous-discipline du droit des nouvelles technologies : elle touche aux conditions mêmes dans lesquelles les droits fondamentaux peuvent être exercés dans les sociétés contemporaines.
Protéger ces conditions suppose une mobilisation continue — des États, des entreprises, des institutions indépendantes, des juridictions et de la société civile. Les cadres normatifs existent. Les outils se précisent. Ce qui reste à construire, c’est la volonté institutionnelle et la vigilance collective nécessaires pour les faire vivre — non pas seulement dans les textes, mais dans l’expérience quotidienne des personnes que les systèmes algorithmiques affectent, souvent sans qu’elles le sachent.
Notes et sources principales
[1] Nations Unies, Groupe de travail sur les entreprises et les droits de l’homme, Artificial intelligence procurement and deployment : ensuring alignment with the Guiding Principles on Business and Human Rights, A/HRC/59/53, 2025.
[2] Conseil de l’Europe, Convention-cadre sur l’intelligence artificielle et les droits de l’homme, la démocratie et l’État de droit, STCE n° 225, 2024.
[3] Nations Unies, Rapporteuse spéciale sur le droit à la vie privée, International collection of personal data, A/HRC/61/48, 2026.
[4] Nations Unies, Rapporteur spécial sur la promotion et la protection des droits de l’homme et des libertés fondamentales dans la lutte contre le terrorisme, Protecting Human Rights while Using Artificial Intelligence to Counter Terrorism, Position Paper, décembre 2025.
[5] Nations Unies, Rapporteuse spéciale sur le droit à la vie privée, Foundations and principles for the regulation of neurotechnologies and the processing of neurodata from the perspective of the right to privacy, A/HRC/58/58, 2025.
[6] ENNHRI (Réseau européen des institutions nationales des droits de l’homme), Key human rights challenges of AI.
[7] Union européenne, Règlement (UE) 2024/1689 du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (AI Act), 2024.
[8] Nations Unies, Rapporteuse spéciale sur l’indépendance des juges et des avocats, AI in judicial systems : promises and pitfalls, A/80/169, 2025.
[9] UNESCO, Recommandation sur l’éthique de l’intelligence artificielle, 2021.
[10] OHCHR, Principes directeurs relatifs aux entreprises et aux droits de l’homme : mise en œuvre du cadre de référence "Protéger, respecter et réparer", 2011.
[11] OHCHR, Projet B-Tech.
[12] OHCHR, Volker Türk, Human rights are the foundations for AI that benefits humanity, février 2026.
[13] Nations Unies, Rapporteuse spéciale sur le droit à la vie privée, Elements for the development of a model law on neurotechnologies and the processing of neurodata from the perspective of the right to privacy, A/80/283, 2025.
[14] OCDE, Recommandation du Conseil sur l’intelligence artificielle, OECD/LEGAL/0449, 2019, révisée en 2024.
[15] Conseil de l’Europe, Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite Convention 108+, version révisée, 2018.
[16] Union européenne, Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD), 2016.
[17] Conseil de l’Union européenne et Parlement européen, Accord provisoire sur la simplification des règles relatives à l’intelligence artificielle(Omnibus VII numérique), mai 2026.
[18] Union européenne, Règlement (UE) 2022/2065 relatif à un marché intérieur des services numériques (Digital Services Act, DSA), 2022.
[19] Tribunal de district de La Haye, affaire SyRI, 2020.
[2] Conseil de l’Europe, Convention-cadre sur l’intelligence artificielle et les droits de l’homme, la démocratie et l’État de droit, STCE n° 225, 2024.
[3] Nations Unies, Rapporteuse spéciale sur le droit à la vie privée, International collection of personal data, A/HRC/61/48, 2026.
[4] Nations Unies, Rapporteur spécial sur la promotion et la protection des droits de l’homme et des libertés fondamentales dans la lutte contre le terrorisme, Protecting Human Rights while Using Artificial Intelligence to Counter Terrorism, Position Paper, décembre 2025.
[5] Nations Unies, Rapporteuse spéciale sur le droit à la vie privée, Foundations and principles for the regulation of neurotechnologies and the processing of neurodata from the perspective of the right to privacy, A/HRC/58/58, 2025.
[6] ENNHRI (Réseau européen des institutions nationales des droits de l’homme), Key human rights challenges of AI.
[7] Union européenne, Règlement (UE) 2024/1689 du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (AI Act), 2024.
[8] Nations Unies, Rapporteuse spéciale sur l’indépendance des juges et des avocats, AI in judicial systems : promises and pitfalls, A/80/169, 2025.
[9] UNESCO, Recommandation sur l’éthique de l’intelligence artificielle, 2021.
[10] OHCHR, Principes directeurs relatifs aux entreprises et aux droits de l’homme : mise en œuvre du cadre de référence "Protéger, respecter et réparer", 2011.
[11] OHCHR, Projet B-Tech.
[12] OHCHR, Volker Türk, Human rights are the foundations for AI that benefits humanity, février 2026.
[13] Nations Unies, Rapporteuse spéciale sur le droit à la vie privée, Elements for the development of a model law on neurotechnologies and the processing of neurodata from the perspective of the right to privacy, A/80/283, 2025.
[14] OCDE, Recommandation du Conseil sur l’intelligence artificielle, OECD/LEGAL/0449, 2019, révisée en 2024.
[15] Conseil de l’Europe, Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, dite Convention 108+, version révisée, 2018.
[16] Union européenne, Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD), 2016.
[17] Conseil de l’Union européenne et Parlement européen, Accord provisoire sur la simplification des règles relatives à l’intelligence artificielle(Omnibus VII numérique), mai 2026.
[18] Union européenne, Règlement (UE) 2022/2065 relatif à un marché intérieur des services numériques (Digital Services Act, DSA), 2022.
[19] Tribunal de district de La Haye, affaire SyRI, 2020.