Quand la protection des données devient le bouclier de l’Afrique contre l’IA sauvage

Dans un bureau à Lagos, à Nairobi, à Luanda, un régulateur examine un dossier. Une entreprise de prêt numérique a refusé des milliers de demandes de crédit — principalement des femmes entrepreneures. L’algorithme a décidé : trop risqué. Mais les données montrent autre chose : ces femmes remboursent mieux que les hommes. L’algorithme ment. Ou plutôt : il révèle un biais profond, encodé dans les données d’entraînement. Et ce régulateur a une arme : la loi sur la protection des données. Pas une loi sur l’IA — ça n’existe pas encore. Mais la loi sur les données, oui. Et elle suffit, pour l’instant, à demander des comptes.

En avril 2026, les pays africains ont trouvé une astuce réglementaire que les experts du Future of Privacy Forum appellent une « porte dérobée » : plutôt que d’attendre des lois complètes sur l’IA — complexes, lentes à développer — ils utilisent un outil plus familier, déjà en place : la législation sur la protection des données. Angola, Maurice, Kenya, Nigeria, Seychelles, Afrique du Sud, Botswana révisent leurs lois sur la protection des données pour y intégrer des règles sur la prise de décision automatisée, le crédit scoring algorithmique, la transparence des algorithmes, les flux transfrontaliers de données.

L’Angola fournit l’exemple le plus explicite. Plutôt que de rédiger une loi autonome sur l’IA, il révise sa loi de 2011 sur la protection des données personnelles pour inclure des dispositions détaillées ciblant les systèmes d’IA. Les révisions introduisent le droit pour les individus de ne pas être soumis à des décisions basées uniquement sur un traitement automatisé, en particulier lorsque ces décisions ont des effets juridiques ou significatifs. Les entreprises doivent expliquer la logique derrière les décisions algorithmiques, et les individus peuvent contester ces résultats. Ces dispositions ressemblent étroitement à des éléments de l’AI Act européen — mais elles sont intégrées dans un cadre de protection des données.

L’urgence n’est pas abstraite. Une étude de juillet 2025, publiée dans l’Advanced Research Journal, a audité 10 algorithmes de crédit scoring au Nigeria, au Kenya et en Afrique du Sud. Résultat : un biais constant contre les PME dirigées par des femmes. Au Nigeria, un prêteur numérique majeur utilisait des données d’entraînement qui aboutissaient à un taux d’approbation de prêt 23 % inférieur pour les femmes — malgré un taux de remboursement 17 % meilleur que les hommes. Pour les décideurs politiques, ce n’est pas seulement un problème de vie privée. C’est un défi de responsabilité. Et la loi sur la protection des données est devenue l’outil le plus readily available pour y répondre.

Mais l’analyse révèle plusieurs couches de tension. Premièrement, la question de l’efficacité : ces lois existent, mais leur application est inégale. Beaucoup de lois de première vague (2010-2018) étaient critiquées pour être vagues, difficiles à appliquer. La deuxième vague — celle en cours — vise à resserrer les définitions, renforcer la surveillance, améliorer la conformité. Le Botswana illustre ce changement : il a adopté une loi complète en 2018, puis l’a abrogée et remplacée en 2024 avec des règles plus claires sur l’indépendance réglementaire et les études d’impact sur la protection des données. Deuxièmement, la question de la capacité : « Ce qui a vraiment été mis au défi, c’est la capacité parmi les régulateurs », dit Mercy King’Ori, qui dirige FPF Africa depuis Nairobi. « La maturité institutionnelle de la plupart de ces régulateurs est encore assez jeune. » Troisièmement, la question de la souveraineté : qui contrôle les données à l’ère de l’IA ? Les pays africains s’inquiètent de la souveraineté des données — s’assurer que les données locales sont gouvernées d’une manière qui correspond aux intérêts nationaux. Mais la souveraineté ne signifie pas l’isolement. « Il ne s’agit pas de dire que les données ne vont nulle part », explique King’Ori. « Il s’agit d’identifier certaines formes de données qui doivent rester dans les frontières pour des raisons légales. »

Ici, les principes éthiques de la House of 7 résonnent avec les questions que pose cette approche réglementaire. Ubuntu — « Je suis parce que nous sommes » — interpelle : une régulation de l’IA qui protège les individus contre les décisions algorithmiques discriminatoires, c’est de l’Ubuntu en action. C’est affirmer que la communauté — les femmes entrepreneures, les emprunteurs, les citoyens — mérite protection contre les systèmes qui les réduisent à des points de données. Teranga, l’hospitalité wolof, pose une question : comment l’Afrique accueille-t-elle les flux de données transfrontaliers sans se faire exploiter ? Il y a une différence entre l’hospitalité qui partage et l’hospitalité qui se fait extraire. Sankofa — « Retourne et récupère » — rappelle que les systèmes de responsabilité, de justice, de protection existaient avant le numérique : les conseils d’anciens, les mécanismes communautaires de résolution des conflits. Comment récupérer cette sagesse pour l’ère de l’IA ? Umoja, la solidarité panafricaine, se manifeste dans l’harmonisation continentale — l’UA et l’AfCFTA poussent à l’alignement des lois nationales — mais la vraie question est : cette harmonisation produira-t-elle des institutions durables, ou restera-t-elle un vœu pieux face aux intérêts nationaux ?

Mais il faut aussi nommer les limites. L’approche par la « porte dérobée » a des frontières. Des lois autonomes sur l’IA sont déjà en mouvement : le projet de loi sur l’IA du Kenya a été formellement introduit au Sénat le 19 février 2026. L’Afrique du Sud est en discussion active. D’autres vont suivre. La protection des données reste l’instrument principal pour l’instant — mais pas simplement par défaut. Les restrictions de l’Angola sur le scraping de données, la proposition du Ghana de traiter les données personnelles comme une propriété, et le modèle de langage open-source du Nigeria entraîné sur cinq langues nigérianes à faibles ressources pointent tous vers quelque chose de plus délibéré : les gouvernements africains ne copient pas les modèles mondiaux. Ils testent les leurs.

Alors, nous qui lisons ceci — citoyens du Sénégal, de Côte d’Ivoire, du Cameroun, du Burkina Faso, du Mali, de Tunisie, du Maroc, de la RDC, de tous les pays francophones — nous avons une question à porter : quand les lois sur la protection des données auront été révisées, quand les régulateurs auront infligé des amendes, quand les algorithmes auront été contraints à la transparence — qu’est-ce que nous ferons pour que ces protections ne restent pas des mots sur du papier, mais deviennent des boucliers réels ? Comment les citoyens peuvent-ils apprendre à contester les décisions algorithmiques qui les affectent ? Comment les régulateurs peuvent-ils développer la capacité institutionnelle pour faire respecter ces lois ? Comment la société civile peut-elle s’organiser pour que dans cinq ans, dix ans, vingt ans, la régulation de l’IA en Afrique soit une régulation qui protège réellement les communautés, pas seulement les intérêts des entreprises technologiques ?