Quelques réflexions tirées de M. Almada /G. De Gregorio, The Mixed Nature of the AI Act: Product Safety and Fundamental Rights Regulation (November 19, 2025) (https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5770982):

L’article analyse la nature mixte du règlement européen sur l’IA (AI Act), qui poursuit simultanément deux objectifs: d’une part la sécurité des produits, d’autre part la protection des droits fondamentaux et des valeurs démocratiques. Les auteurs montrent que ces deux dimensions sont présentes dès l’origine du projet, mais reposent sur des logiques juridiques différentes qui créent des tensions au moment de l’application concrète du texte.

Ils partent du constat que l’AI Act a été conçu sur le modèle classique du droit européen de la sécurité des produits, comme pour les jouets, dispositifs médicaux ou machines. Dans cette logique, il s’agit d’identifier des risques pour la santé et la sécurité et d’imposer des exigences techniques aux fabricants avant la mise sur le marché, souvent complétées par des normes harmonisées. Or, les systèmes d’IA posent aussi des risques qui excèdent largement les dommages physiques: atteintes au droit à la non-discrimination, à la vie privée, à la participation démocratique, ou encore surveillance de masse. L’AI Act a progressivement intégré ces préoccupations en élargissant son champ au-delà de la seule sécurité matérielle. Mais la grille de lecture reste largement celle du droit des produits, avec une logique de conformité technique difficile à appliquer à des atteintes qui sont souvent contextuelles, diffuses et cumulatives.

Les auteurs reviennent ensuite sur l’historique de la prise en compte des droits fondamentaux dans la genèse de l’AI Act. Contrairement à l’idée parfois avancée selon laquelle ces droits auraient été ajoutés a posteriori, ils montrent qu’ils sont présents dès les premiers travaux. Dans un premier temps, les droits fondamentaux servent surtout de source d’inspiration pour des principes éthiques (transparence, responsabilité, respect de la vie privée). L’approche envisagée est alors plutôt sectorielle: des adaptations ponctuelles de la législation dans des domaines spécifiques, guidées par ces principes.

La proposition de la Commission de 2021 marque un tournant: elle abandonne l’idée d’une mosaïque sectorielle et propose un seul instrument horizontal, calqué sur le «New Legislative Framework» des produits. Cette option a des effets ambivalents. D’un côté, la proposition mentionne abondamment les droits fondamentaux, les utilise pour définir certaines pratiques interdites et pour classer certaines utilisations comme «à haut risque», et insère des exigences de contrôle humain et de transparence en lien avec ces droits. De l’autre, l’outillage juridique reste celui de la sécurité des produits: classification rigide des systèmes (interdits, à haut risque, autres), accent sur des incidents identifiables et mesurables, focalisation sur des dommages individuels plutôt que sur des effets systémiques produits par l’agrégation de nombreuses décisions algorithmiques au fil du temps. Les critiques soulignent que cette transposition risque de réduire les droits fondamentaux à ce qui est «mesurable» dans un incident, en négligeant des dimensions structurelles comme la transformation des rapports de pouvoir ou la normalisation de pratiques intrusives.

Au cours de la procédure législative, ces critiques ont contribué à renforcer la couche «droits fondamentaux» de l’AI Act. Les listes de pratiques interdites et de systèmes à haut risque ont été modifiées, notamment pour intégrer de nouveaux usages jugés dangereux et pour encadrer les modèles d’IA à usage général, en particulier lorsqu’ils créent des risques systémiques. Le législateur a introduit l’obligation, pour certains utilisateurs de systèmes à haut risque, de réaliser une étude d’impact sur les droits fondamentaux avant la première utilisation. Les autorités nationales chargées des droits fondamentaux se voient reconnaître des compétences dans la mise en œuvre de l’Act. Un droit à une explication des décisions impliquant des systèmes à haut risque est également ajouté. Toutefois, certaines évolutions vont aussi dans le sens d’un assouplissement, comme la possibilité pour des fournisseurs d’exclure certains systèmes de la catégorie à haut risque sur la base de leur auto-évaluation.

Sur cette base, les auteurs examinent la «dimension constitutionnelle» de l’AI Act. Dès son premier considérant, le règlement se réfère aux valeurs de l’article 2 TUE: dignité humaine, état de droit, démocratie, égalité, droits des minorités. Il s’inscrit ainsi dans la lignée d’autres textes récents comme le RGPD ou le Digital Services Act, qui assument un rôle de protection de l’ordre constitutionnel européen dans l’environnement numérique. Mais, dans le détail, la structure de l’AI Act reste dominée par une approche graduée des risques inspirée du droit des produits: la plupart des systèmes ne sont soumis à aucune exigence spécifique, une catégorie étroite est soumise à des obligations harmonisées, et quelques pratiques sont purement interdites.

Pour certaines utilisations qui affectent directement les droits fondamentaux et les valeurs démocratiques, l’Act adopte néanmoins une approche plus substantielle: ainsi de l’encadrement très strict, voire de l’interdiction, de certaines formes de reconnaissance biométrique en temps réel dans l’espace public ou de systèmes de notation sociale. Ces cas montrent que la classification du risque ne repose pas seulement sur la dangerosité technique du produit, mais aussi sur la gravité des enjeux constitutionnels. Cela illustre bien la cohabitation de deux logiques: d’un côté, une grille de lecture axée sur des seuils techniques de sécurité; de l’autre, la prise en compte de valeurs plus abstraites et plus difficiles à traduire en normes techniques, comme la dignité ou l’égalité.

Les auteurs insistent sur la difficulté de traduire des droits fondamentaux en exigences techniques standardisées. Par exemple, l’exigence de «justice» ou de «non-discrimination» ne se laisse pas réduire à un indicateur quantitatif unique de «fairness» dans un modèle. La recherche montre au contraire la pluralité des notions de fairness et le fait qu’on ne peut pas toutes les satisfaire simultanément. Si l’on se contente de ce qui est aisément codable, on risque de protéger seulement une partie des valeurs en jeu et de laisser de côté des dimensions importantes mais moins «computables». De plus, l’ancrage de l’AI Act dans la compétence de marché intérieur implique que la protection des droits fondamentaux est filtrée par des objectifs d’harmonisation et de bon fonctionnement du marché, ce qui tend à privilégier une lecture centrée sur les consommateurs et la concurrence.

L’article montre aussi que, dans la mise en œuvre concrète, une part significative de la traduction des valeurs européennes se joue à travers des instruments de conformité élaborés avec ou par des acteurs privés: normes techniques harmonisées, codes de conduite et codes de pratique, notamment pour les modèles d’usage général. Même sans créer une présomption formelle de conformité, ces instruments orientent l’interprétation du règlement et façonnent en pratique ce que signifie «protéger les droits fondamentaux» dans le contexte de l’IA. La forte présence d’industriels dans ces processus soulève des questions de légitimité: des choix normatifs importants risquent d’être effectués par des acteurs privés qui ne sont ni élus ni soumis aux mêmes exigences de responsabilité que les institutions publiques.

À cette complexité s’ajoute l’hétérogénéité prévisible des approches nationales. Les autorités des États membres peuvent interpréter différemment l’équilibre entre sécurité des produits et droits fondamentaux, certains mettant davantage l’accent sur la conformité technique et l’intégration du marché, d’autres sur la protection des individus. Malgré la création d’instances européennes de coordination, ce risque de divergences peut fragiliser l’objectif d’un niveau élevé et uniforme de protection dans l’Union.

Les auteurs analysent ensuite plus en détail l’approche par les risques, commune à l’AI Act, au RGPD et au DSA. Cette approche marque un déplacement par rapport à une logique purement fondée sur des droits subjectifs, vers un modèle où le législateur définit des catégories de risques et délègue aux acteurs privés une partie de l’évaluation et de la gestion de ces risques, tout en gardant une fonction de supervision. Le risque devient une sorte de proxy pour le travail de pondération d’intérêts et de valeurs. Dans l’AI Act, cette logique est clairement visible: interdiction pour les usages jugés «à risque inacceptable», obligations renforcées pour les systèmes à haut risque, obligations plus légères ou volontaires pour les usages considérés comme limités.

Dans ce cadre, l’évaluation d’impact sur les droits fondamentaux joue un rôle clef pour tenter de réconcilier sécurité des produits et protection des droits. Inspirée de la DPIA du RGPD, la FRIA est un instrument ex ante: certains utilisateurs de systèmes à haut risque doivent identifier et évaluer les risques pour les droits fondamentaux avant la première mise en service, puis suivre ces risques dans la phase de surveillance. En théorie, cela permet une appréciation contextuelle, tenant compte du secteur d’activité, de la population concernée, de l’environnement institutionnel. Mais, dans la pratique, la définition des catégories de risques, la frontière entre ces catégories et leur interprétation laissent une marge d’incertitude importante, susceptible de fragiliser l’objectif de protection substantielle des valeurs européennes.

Dans la dernière grande partie, l’article cherche des pistes pour traiter cette dualité sans remettre en cause l’architecture de base du règlement. Les auteurs identifient d’abord le rôle central des standards techniques. Ils soulignent qu’il faut résister à la tentation des «solutions technologiques» censées «résoudre» les problèmes de droits fondamentaux par de simples ajustements algorithmiques. Certaines exigences peuvent légitimement être traduites en critères techniques (qualité des données, robustesse, sécurité informatique, traçabilité). Mais d’autres aspects – par exemple, la manière dont un système redistribue des chances d’accès à un droit social, ou influence la liberté d’expression – exigent des réponses juridiques, organisationnelles ou politiques, qui ne peuvent pas être réduites à des paramètres d’optimisation. L’enjeu est de délimiter prudemment ce qui peut être confié aux standards techniques, et ce qui doit rester du ressort d’autres instruments normatifs.

Ensuite, les auteurs abordent la question de la participation et de la légitimité. De nombreuses décisions apparemment «techniques» ont en réalité une forte charge normative: choix du but poursuivi par un système d’IA, fixation de seuils de performance jugés «acceptables», conception des mécanismes de supervision humaine. Ces décisions influencent directement l’intensité des atteintes possibles aux droits fondamentaux. Dès lors, leur légitimité suppose non seulement le respect du cadre juridique, mais aussi des procédures qui donnent une place à des perspectives variées, y compris celles des personnes potentiellement affectées. Des dispositifs de participation du public et de la société civile, même imparfaits et difficiles à organiser, peuvent contribuer à rendre visibles certains effets, à éviter une capture complète des processus par les intérêts industriels et à mieux informer le travail de normalisation et de régulation.

Les auteurs mettent également en avant la question des capacités institutionnelles. L’AI Act impose des obligations de formation et de sensibilisation, mais celles-ci doivent s’étendre au-delà des concepteurs de systèmes pour toucher les institutions chargées de l’application et du contrôle. Or, les compétences combinant compréhension technique de l’IA, maîtrise du droit de la sécurité des produits et expertise en droits fondamentaux sont rares. Les autorités nationales et européennes devront investir dans la formation, le recrutement et la coopération pour combler ces lacunes. Les organes créés par l’AI Act au niveau de l’UE sont appelés à jouer un rôle de pôle d’expertise partagé, pour aider les autorités nationales à interpréter les exigences techniques à la lumière des droits fondamentaux et à identifier les cas où d’autres instruments juridiques sont nécessaires.

Enfin, l’article traite des questions de compétence et de répartition des rôles entre l’Union et les États membres. Une lecture maximaliste verrait dans l’AI Act un instrument de pleine harmonisation, fermant largement la porte à des interventions nationales spécifiques sur l’IA. Les auteurs montrent au contraire que le texte final a un champ plus limité: il vise les objets techniques (systèmes d’IA, modèles à usage général) et certaines pratiques interdites, mais laisse théoriquement un espace aux législateurs nationaux pour adopter des règles complémentaires sur l’usage de l’IA, pour autant qu’elles ne contredisent pas le cadre européen. Des États pourraient, par exemple, fixer des garanties supplémentaires pour l’usage de l’IA en matière de police, de justice ou d’emploi, sans créer de nouvelles catégories de systèmes interdits ni dérégler la logique de mise sur le marché harmonisée. Cette ouverture permet de concilier l’exigence d’un niveau de protection uniforme avec le principe de subsidiarité et la diversité des traditions constitutionnelles nationales. Elle suppose toutefois un dialogue continu entre institutions européennes et États membres pour éviter que cette marge de manœuvre ne se traduise en fragmentation excessive.

En conclusion, les auteurs insistent sur le fait que l’AI Act doit être compris comme un instrument à la fois de sécurité des produits et de protection des droits fondamentaux. Chercher à le réduire à l’une ou l’autre de ces dimensions ferait perdre de vue les compromis qui ont structuré sa construction et les difficultés concrètes qui en résultent. L’enjeu, pour les autorités et les praticiens, est d’assumer cette dualité: interpréter les obligations techniques à la lumière de la Charte, utiliser les instruments d’évaluation des risques pour rendre visibles les enjeux constitutionnels, recourir à d’autres sources du droit lorsque les standards techniques atteignent leurs limites, et exploiter avec prudence la marge nationale laissée par le règlement pour compléter, sans la contredire, la protection offerte par le droit de l’Union.

Me Philippe Ehrenström, avocat, LLM, CAS en Droit et Intelligence Artificielle