L'AI Act : un cadre réglementaire incontournable pour les collectivités

Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 est le premier cadre juridique horizontal au monde sur l'intelligence artificielle. Il s'applique à toute organisation — privée comme publique — qui met sur le marché, met en service ou utilise un système d'IA sur le territoire de l'Union. Les collectivités territoriales sont explicitement concernées : la qualité de personne morale de droit public n'exonère pas, elle alourdit même certaines obligations.

Une approche hiérarchique par les risques

Le texte structure les systèmes d'IA en quatre niveaux :

  • risque inacceptable (article 5) : pratiques strictement interdites — manipulation subliminale, exploitation des vulnérabilités, notation sociale, police prédictive, reconnaissance faciale par moissonnage non ciblé, inférence d'émotions sur le lieu de travail, catégorisation biométrique sensible ;
  • haut risque (annexes I et III) : systèmes ayant un impact significatif sur les droits fondamentaux ou la sécurité — éducation, emploi, accès aux services publics essentiels, infrastructures critiques, biométrie, justice, processus démocratiques ;
  • risque limité (article 50) : obligations de transparence pour les systèmes interactifs (chatbots), contenus générés (deepfakes, textes informatifs) ;
  • risque minimal : filtres anti-spam, jeux, etc. — pas d'obligation spécifique au-delà du droit commun.

Un calendrier en quatre paliers

Selon la synthèse officielle service-public.fr, les jalons sont les suivants : entrée en vigueur le 1er août 2024, interdiction des pratiques inacceptables au 2 février 2025, obligations des modèles d'IA à usage général au 2 août 2025, application générale aux systèmes à haut risque relevant de l'annexe III au 2 décembre 2027, application complète y compris produits de l'annexe I au 2 août 2028. Pour un DSI de collectivité, la date pivot est décembre 2027 : c'est à cette échéance que les chatbots d'accueil usager, les outils de tri de candidatures RH ou les dispositifs biométriques deviennent justiciables d'un régime de conformité documenté.

Les obligations spécifiques des collectivités sous l'AI Act

L'erreur classique consiste à croire que seul l'éditeur du système est responsable. Le Règlement distingue deux statuts principaux : le fournisseur (celui qui développe ou met sur le marché) et le déployeur (celui qui utilise le système sous sa propre autorité, en l'occurrence la collectivité). Une commune qui déploie un chatbot fourni par un éditeur SaaS est déployeur, et porte à ce titre des obligations propres : information des personnes concernées, journalisation des incidents, supervision humaine effective, évaluation d'impact sur les droits fondamentaux (article 27 du Règlement, spécifique aux organismes publics et aux services d'intérêt général).

Les pratiques interdites concrètes pour une collectivité

Plusieurs usages tentants sont désormais interdits sans exception :

  • la notation sociale des administrés (article 5(1c)) — tout système qui croise comportements, historique de paiement et profil pour attribuer un score décisionnel relève de l'interdiction ;
  • la police prédictive ciblant des personnes (article 5(1d)) — interdite hors infractions déjà constatées et étayées ;
  • la catégorisation biométrique déduisant origine, opinions politiques, convictions religieuses (article 5(1g)) ;
  • l'identification biométrique à distance en temps réel dans les espaces publics à des fins répressives (article 5(1h)), sauf exceptions strictement encadrées ;
  • l'inférence d'émotions dans les écoles et sur le lieu de travail, donc dans les services municipaux (article 5(1f)).

Les systèmes à haut risque typiques du secteur public local

L'annexe III liste des domaines particulièrement présents dans l'activité d'une collectivité : éducation et formation professionnelle (orientation scolaire, sélection en formation), emploi (tri de candidatures pour les recrutements de fonctionnaires territoriaux), accès aux services publics essentiels (attribution de logements sociaux, aides sociales), répression (police municipale), processus démocratiques (modération de plateformes participatives). Selon la Direction générale des Entreprises, la CNIL est l'autorité compétente sur la majorité de ces usages, en coordination avec la DGCCRF pour la formation professionnelle et avec l'Arcom pour les processus démocratiques.

Les sanctions applicables

Les sanctions sont calibrées au niveau du Règlement : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, 15 millions d'euros ou 3 % pour les autres manquements aux obligations des fournisseurs et déployeurs, 7,5 millions d'euros ou 1 % pour la fourniture d'informations inexactes. La transposition française en cours adaptera l'assiette pour les personnes morales de droit public, mais le risque réputationnel et le risque contentieux administratif restent entiers.

Le rôle central des DSI dans la transition vers l'IA réglementée

Le DSI d'une collectivité devient, qu'il le veuille ou non, le point de convergence opérationnel du dispositif. Trois chantiers structurent sa feuille de route 2026.

Chantier 1 — l'inventaire et la classification

Aucune conformité n'est possible sans inventaire exhaustif. Cela suppose de recenser les systèmes d'IA acquis en marché public, ceux intégrés à des progiciels métier (RH, GED, finances), ceux activés par défaut dans les suites bureautiques cloud, et les expérimentations menées par des directions métier sans passage par la DSI. Lors d'un audit récent dans une intercommunalité de 250 agents, nous avons identifié 14 systèmes d'IA en production dont seulement 3 étaient connus de la DSI. Chaque système doit être classé : interdit, haut risque, risque limité, risque minimal.

Chantier 2 — la gouvernance et la documentation

Pour chaque système à haut risque, le déployeur doit pouvoir produire : une description du système, son usage prévu, les données d'entrée, la supervision humaine en place, les mesures de cybersécurité (référencement au RGS et au cadre ANSSI applicable), les modalités d'information des personnes concernées (article 26), et l'évaluation d'impact sur les droits fondamentaux (article 27). Cette documentation doit être tenue à jour et présentable à l'autorité de contrôle sous 15 jours.

Chantier 3 — la formation et l'AI literacy

L'article 4 du Règlement impose, depuis le 2 février 2025, un niveau suffisant de maîtrise de l'IA (« AI literacy ») pour les personnels concernés. Pour un DSI, cela signifie un plan de formation différencié : agents utilisateurs de chatbots internes, encadrants prenant des décisions assistées par IA, élus impliqués dans la doctrine, équipes SI elles-mêmes. Selon le baromètre Data Publica 2024, le manque de compétences est cité par 63 % des collectivités comme le premier obstacle à l'IA — c'est précisément ce déficit que l'AI Act force à combler.

Les enjeux de transparence et de confiance

L'article 50 du Règlement impose plusieurs obligations de transparence applicables même hors haut risque. Tout chatbot d'accueil doit informer l'usager qu'il interagit avec une IA, sauf évidence manifeste. Tout contenu généré (texte, image, audio, vidéo) doit être marqué dans un format lisible par machine. Tout deepfake doit être étiqueté. Tout texte d'information publié sur des sujets d'intérêt public doit signaler son origine artificielle si publié sans contrôle humain rédactionnel.

Pour une collectivité, ces obligations recoupent les attentes citoyennes. La démarche « Nantes Débat de l'IA » ou la consultation citoyenne lancée par la Ville de Paris en octobre 2024 illustrent une trajectoire : la conformité réglementaire devient un argument de légitimité démocratique. Le DSI a tout intérêt à coproduire la doctrine IA avec la direction de la communication, les élus, et le cas échéant un panel citoyen — ce qui anticipe par ailleurs le contrôle de l'Arcom sur les processus démocratiques (annexe III §8b).

Cas pratiques : comment les collectivités s'adaptent à l'AI Act

Plusieurs trajectoires se dessinent dans les territoires. Selon le baromètre 2024 de Data Publica, 51 % des collectivités interrogées ont déjà déployé ou prévoient de déployer un système d'IA dans les 12 mois, dont 75 % des régions et 62 % des métropoles. La gestion administrative pèse 29 % des projets, la relation usagers 11 %.

Robots conversationnels internes et externes

Le cas le plus fréquent est le chatbot. En interne, il répond aux questions RH des agents (carrière, congés, paie). En externe, il assiste l'usager sur les démarches d'état civil, d'urbanisme, de fiscalité locale. Ces systèmes sont rarement à « haut risque » en eux-mêmes, mais relèvent de l'article 50 (information de l'utilisateur) et, si la collectivité forme le modèle avec des données personnelles d'agents ou d'administrés, du RGPD (articles 6, 9 et 35 — analyse d'impact). Mon retour d'expérience : un déploiement propre suppose un cahier des charges qui exige du fournisseur la documentation AI Act, sinon la collectivité hérite seule du risque.

IA frugale et démonstrateurs territoriaux

L'appel à projets « Démonstrateurs d'IA frugale des territoires » (DIAT) opéré par la Banque des Territoires a sélectionné 12 projets : détection de zones plantables à la métropole de Lyon (IA.rbre), modélisation de la qualité de l'air à Paris-Ouest La Défense via les données de bornage mobile (Predict AI'r), refonte du PLU à Saclay (Urba IA). Ces projets démontrent qu'un cadre réglementaire strict n'empêche ni l'innovation ni la frugalité — il les structure.

Souveraineté et on-premise

Beaucoup de collectivités hésitent à confier les données municipales à des LLM hébergés hors UE. Une installation on-premise d'un modèle open-weight (Mistral, Llama 3, Qwen) couplée à un RAG sur la documentation interne lève à la fois le risque de transfert hors UE (RGPD chapitre V) et facilite la documentation AI Act, puisque le déployeur maîtrise l'ensemble de la chaîne. C'est la méthode IAPRO, détaillée dans notre approche métiers — voir notre page solutions par métier.

Les outils et partenariats pour sécuriser la transition

Le DSI n'est pas seul. Plusieurs ressources publiques sont mobilisables :

  • la DINUM, via son offre IA Alliance dédiée aux collectivités, propose Albert (LLM souverain de l'État), des briques outillées et un accompagnement méthodologique ;
  • le Pôle d'expertise de la régulation numérique (PEReN) et l'ANSSI mutualisent les compétences techniques en IA et cybersécurité au profit des autorités de contrôle, ce qui structure les attentes minimales auxquelles un DSI doit pouvoir répondre ;
  • la CNIL, via son espace IA, publie des fiches pratiques sur l'articulation RGPD/AI Act, les analyses d'impact, et la base légale du traitement ;
  • la Banque des Territoires finance les démonstrateurs ;
  • les groupements d'intérêt public régionaux (DECLIC, ADULLACT, et structures équivalentes) mutualisent les achats et les retours d'expérience.

Du côté privé, un partenaire spécialisé en audit AI Act peut prendre en charge l'inventaire, la classification, la documentation technique et l'évaluation d'impact. C'est le rôle que tient Regulia.fr, partenaire IAPRO sur le volet audit.

La conformité : un levier pour la performance des collectivités

Présenter la conformité comme un coût pur est une erreur stratégique. Trois bénéfices concrets se matérialisent dès la première année :

  • réduction du risque contentieux — les recours d'usagers contre des décisions algorithmiques (CADA, juge administratif) s'instruisent infiniment plus vite lorsque la collectivité produit la documentation AI Act ;
  • professionnalisation des achats — un cahier des charges qui exige la documentation AI Act du fournisseur élimine d'emblée les solutions non conformes et clarifie la chaîne de responsabilité ;
  • gains de productivité — la cartographie des systèmes d'IA fait souvent apparaître des doublons, des outils sous-utilisés et des opportunités d'automatisation maîtrisée. Sur un cas récent (intercommunalité 80 000 habitants), l'audit AI Act a libéré 2,3 ETP de tâches répétitives en 9 mois.

Pour objectiver la trajectoire financière, utilisez notre calculateur ROI IA.

L'impact sur la gouvernance et la stratégie numérique

L'AI Act force une mutation du modèle de gouvernance numérique des collectivités. Le DSI ne peut plus décider seul du déploiement d'un outil : la décision devient collégiale, associant DPO (RGPD), RSSI (cybersécurité), direction des affaires juridiques (responsabilité administrative), élus (légitimité démocratique), directions métier (besoin). Plusieurs collectivités ont formalisé cette coordination par un comité IA mensuel, présidé par l'élu en charge du numérique.

L'autre changement de fond est la publicité de la doctrine. Nantes Métropole a publié sa « boussole IA » dès 2023, Paris a consulté ses habitants en 2024-2025, France Urbaine et Intercommunalités de France ont appelé à des concertations territoriales en septembre 2024. Cette tendance n'est pas anecdotique : elle transforme l'IA en sujet politique local, ce qui sécurise les déploiements ultérieurs et désamorce les contestations.

Côté coûts, l'investissement initial en gouvernance (audit, formation, doctrine) se situe typiquement entre 30 000 € et 120 000 € selon la taille de la collectivité — montant à mettre en regard des financements mobilisables, détaillés dans notre hub aides au financement IA.

L'avenir de l'IA dans les collectivités : entre régulation et innovation

Trois tendances structurent l'horizon 2026-2028. D'abord, l'extension probable du périmètre de l'annexe III par actes délégués de la Commission européenne — les processus démocratiques, déjà visés, pourraient voir leur définition élargie à la modération de plateformes participatives. Ensuite, la convergence avec d'autres réglementations : le Data Governance Act, le Data Act, NIS 2, Cyber Resilience Act, EUDI Wallet, tous applicables aux collectivités, exigent une vision intégrée. Enfin, la montée de l'IA générative souveraine : les modèles européens open-weight, déployés on-premise ou en cloud souverain (SecNumCloud), deviennent une alternative crédible aux API américaines pour les usages sensibles.

L'enjeu, pour un DSI de collectivité en 2026, n'est plus de savoir « si » l'IA s'installe — elle est déjà là — mais d'organiser cette installation de manière documentée, supervisée et compréhensible par les agents comme par les administrés. C'est exactement le mandat que pose l'AI Act, et c'est une opportunité.

FAQ — AI Act et collectivités territoriales

Quels sont les risques juridiques pour les collectivités non conformes à l'AI Act ?

Les collectivités s'exposent à des sanctions administratives (jusqu'à 35 M€ ou 7 % du budget pour pratiques interdites, 15 M€ ou 3 % pour autres manquements), à des recours contentieux d'usagers devant le juge administratif contre les décisions algorithmiques non documentées, et à un risque réputationnel direct. La transposition française précisera l'assiette applicable aux personnes morales de droit public.

Comment les DSI peuvent-ils évaluer les risques liés aux systèmes d'IA qu'ils déployent ?

L'évaluation commence par un inventaire exhaustif, suivi d'une classification par niveau de risque selon les articles 5, 6 et l'annexe III du Règlement (UE) 2024/1689. Pour chaque système à haut risque, une évaluation d'impact sur les droits fondamentaux (article 27) est obligatoire pour les organismes publics. Cette démarche s'articule avec l'AIPD RGPD existante (article 35).

Quels outils et ressources sont disponibles pour les collectivités ?

L'offre publique inclut Albert (DINUM), les fiches CNIL sur l'IA, les démonstrateurs DIAT financés par la Banque des Territoires, l'appui méthodologique du PEReN et de l'ANSSI. Côté privé, des cabinets spécialisés en audit AI Act et des intégrateurs souverains accompagnent les déploiements on-premise. Les GIP régionaux (ADULLACT, DECLIC) mutualisent les retours d'expérience.

Quels sont les coûts associés à la mise en conformité ?

Selon la taille de la collectivité, l'investissement initial se situe entre 30 000 € et 120 000 € pour l'audit, la classification, la formation et la doctrine. Le coût récurrent annuel (mise à jour documentaire, supervision humaine, formation continue) représente typiquement 0,5 à 1 % du budget SI. Ces montants doivent être pondérés par les financements mobilisables auprès de Bpifrance, de la Banque des Territoires et des programmes européens.

Comment encourager la transparence et la confiance dans l'usage de l'IA ?

Trois leviers : publier une doctrine IA locale (à l'image de Nantes Métropole), informer systématiquement les usagers lorsqu'ils interagissent avec une IA (article 50), et organiser une consultation citoyenne avant tout déploiement d'envergure. La labellisation des contenus générés et la journalisation des décisions assistées par IA complètent le dispositif.

Quels exemples concrets de projets en conformité ?

Le projet IA.rbre de la métropole de Lyon (détection de zones plantables), Predict AI'r à Paris-Ouest La Défense (qualité de l'air via données mobiles), Urba IA à Saclay (révision de PLU) illustrent des déploiements compatibles AI Act, soutenus par l'appel à projets DIAT. Tous combinent frugalité, supervision humaine et documentation technique structurée.

Quel est le rôle de la CNIL et de la DGCCRF dans la supervision ?

La DGCCRF coordonne l'ensemble des autorités de surveillance du marché et joue le rôle de point de contact unique (article 70.2). La CNIL contrôle les systèmes biométriques, les usages en éducation et en emploi, les usages répressifs, les processus démocratiques (conjointement avec l'Arcom), et les obligations de transparence sur la reconnaissance d'émotions. L'ACPR couvre la solvabilité, l'Arcom les contenus générés.

Comment réduire les obstacles liés au manque de compétences ?

L'article 4 du Règlement impose un niveau suffisant d'« AI literacy ». Plan de formation différencié (agents utilisateurs, encadrants décisionnaires, élus, équipes SI), recours aux MOOC publics (Pix, Class'Code), partenariats avec les universités régionales, et appui sur les GIP mutualisés. Externaliser temporairement l'audit à un cabinet spécialisé est souvent rentable la première année.

Quels bénéfices à long terme de la conformité ?

Réduction structurelle du risque contentieux, professionnalisation des achats SI, lisibilité démocratique des décisions algorithmiques, et gains de productivité documentés (jusqu'à plusieurs ETP libérés sur les tâches répétitives). À horizon 2027, la conformité AI Act deviendra un prérequis pour candidater à plusieurs financements européens et nationaux liés au numérique public.

Quels défis majeurs de l'adoption de l'IA dans les collectivités ?

Le baromètre Data Publica 2024 identifie trois obstacles principaux : le manque de compétences (63 %), le manque de confiance dans les systèmes (47 %), et l'accès aux données de qualité (38 % chez les collectivités déjà engagées). À ces freins s'ajoutent les contraintes budgétaires, la dépendance à des fournisseurs souvent extra-européens, et la difficulté à articuler AI Act, RGPD et droit de la commande publique.

Pour aller plus loin avec IAPRO

IAPRO accompagne les collectivités territoriales sur trois volets complémentaires : audit AI Act et inventaire des systèmes d'IA (cartographie, classification, plan de conformité), installation souveraine on-premise (Mistral, Llama 3, Qwen via Ollama/OpenWebUI, RAG sur documentation interne), et formation des agents et des élus (AI literacy, doctrine locale, atelier de gouvernance). Pour un diagnostic gratuit de 30 minutes adapté à votre collectivité, prenez rendez-vous via notre page contact ou consultez la formule audit AI Act.

Liens utiles