L'AI Act européen s'impose en Afrique — sans que l'Afrique ait eu son mot à dire
Le cadre de certification IA de l'UE entre en vigueur et touche directement les systèmes déployés en Afrique : scoring de crédit mobile, e-ID, détection de fraudes. Cinq pays doivent s'aligner. L'Union Africaine propose sa propre réponse.
Publié le
23 mai 2026
Lecture
~2 min
Score Afrique
Sévérité
Partager
↗
Le problème d'un coup d'œil
L'Union Européenne vient de publier son premier schéma de certification pour les systèmes d'IA "à haut risque". Le calendrier ne concerne pas que Bruxelles : le Nigeria, l'Égypte, l'Afrique du Sud, le Maroc et le Kenya ont chacun des accords d'adéquation numérique en négociation avec l'UE. Pour ces cinq pays, le standard européen n'est plus optionnel.
Ce que "haut risque" veut dire concrètement en Afrique
La définition européenne couvre les systèmes IA utilisés dans l'éducation, l'emploi, les services essentiels et la biométrie. Appliquée au continent, cela inclut :
— Le scoring de crédit de Wave et M-Pesa, qui catégorise des millions de personnes non bancarisées. — Les systèmes de e-ID en déploiement au Nigeria (NIN), au Kenya (Huduma Namba) et au Ghana (Ghana Card). — Les moteurs de détection de fraude des banques centrales d'Afrique de l'Ouest.
Ces systèmes seront soumis à des obligations de transparence, d'audit et de documentation que leurs opérateurs n'ont pas anticipées.
L'Union Africaine joue sa carte
Ce n'est pas une capitulation. L'UA finalise son African AI Framework (AAF) pour le sommet de juillet 2026. Le texte diverge du règlement européen sur un point central : la souveraineté des données d'entraînement.
L'UA veut que les modèles déployés sur le continent soient entraînés — au moins en partie — sur des données africaines, et que ces données restent sous juridiction locale. L'UE n'a pas de disposition comparable. Ce désaccord n'est pas résolu.
Pourquoi c'est un enjeu de cybersécurité
Les obligations d'audit imposées par l'AI Act européen nécessitent un accès aux modèles et à leurs données d'entraînement. Pour les systèmes fournis par des tiers (souvent européens ou américains), cet accès passe par des interfaces que les opérateurs africains ne contrôlent pas.
En pratique : si un système de scoring de crédit déployé au Sénégal doit être audité pour conformité européenne, l'auditeur accède à des données sensibles sur des citoyens sénégalais via une infrastructure qui n'est pas sous autorité sénégalaise. Le vecteur d'exposition est réel.
Ce qui se passe maintenant
Les ministères des TIC nigérian et marocain ont engagé des consultations avec leurs homologues bruxellois depuis le premier trimestre 2026. Le Rwanda, observateur actif, adapte déjà son cadre national d'IA pour anticiper une convergence.
Pour les autres, le risque est de se retrouver à devoir appliquer rétroactivement des normes auxquelles ils n'ont pas participé — comme cela s'est produit avec le RGPD entre 2018 et 2022.
— ◆ —