Intelligence artificielle et collectivités : premières questions juridiques

En quelques mois à peine, l’intelligence artificielle a pris une place considérable dans les réflexions des collectivités territoriales. Il ne se passe plus une semaine sans l’annonce d’un nouveau chatbot d’accueil des usagers, d’un algorithme de gestion des déchets, d’un outil d’aide à la rédaction des délibérations ou d’une solution d’optimisation de la consommation énergétique. L’enthousiasme est compréhensible. Mais derrière la promesse d’efficacité et de modernisation, les questions juridiques s’accumulent — et elles sont, pour la plupart, encore sans réponse définitive.

Pour un élu ou un directeur général des services qui s’apprête à déployer un outil d’IA dans sa collectivité, l’environnement normatif se révèle à la fois complexe, en construction et potentiellement très contraignant. Cet article en expose les principales composantes à l’état du droit applicable en mars 2026.

1. Le règlement européen sur l’IA : un cadre général d’application progressive

Le règlement (UE) 2024/1689, dit AI Act, a été adopté le 13 juin 2024 et publié au Journal officiel de l’Union européenne le 12 juillet 2024. Il est entré en vigueur le 1er août 2024. C’est le premier cadre juridique complet au monde consacré à l’intelligence artificielle. Son application est échelonnée selon un calendrier que toute collectivité doit connaître.

Depuis le 2 février 2025, les interdictions relatives aux systèmes d’IA présentant des risques jugés inacceptables sont pleinement applicables. Ces pratiques interdites comprennent notamment les systèmes de notation comportementale généralisée des citoyens par des autorités publiques, certaines formes d’identification biométrique en temps réel dans des espaces accessibles au public à des fins répressives, et les techniques de manipulation subliminale ou d’exploitation des vulnérabilités. Aucune collectivité ne peut y recourir, quelle que soit la finalité invoquée.

Depuis le 2 août 2025, les règles relatives aux modèles d’IA à usage général — ceux qui alimentent les outils comme les assistants conversationnels ou les générateurs de texte — sont applicables, et chaque État membre devait avoir désigné son autorité nationale compétente. En France, la CNIL, qui revendiquait ce rôle, occupe activement le terrain depuis 2024, en publiant notamment des recommandations dédiées aux services publics au printemps 2025.

La date la plus structurante pour les collectivités est celle du 2 août 2026 : c’est à cette date que s’appliquera la grande majorité des dispositions du règlement, notamment celles relatives aux systèmes d’IA à haut risque. Or, plusieurs usages que les collectivités envisagent ou ont déjà déployés entrent précisément dans cette catégorie.

2. Les systèmes d’IA à haut risque : ce que cela signifie concrètement pour une collectivité

L’AI Act classe les systèmes d’IA selon leur niveau de risque — risque inacceptable (pratiques interdites), haut risque, risque spécifique de transparence, risque minimal. La catégorie du haut risque est celle qui concentre le plus d’obligations et qui touche directement plusieurs usages publics.

Sont classés à haut risque, parmi d’autres, les systèmes d’IA utilisés dans les domaines de la biométrie et de l’identification des personnes, les systèmes intervenant dans la gestion et le fonctionnement des infrastructures critiques, les outils d’évaluation des candidats à un emploi public, les systèmes contribuant à l’accès aux services publics essentiels et à leur personnalisation, ainsi que les outils intervenant dans l’administration de la justice et les processus démocratiques.

Pour une commune qui déploierait, par exemple, un système de vidéosurveillance augmentée avec analyse comportementale automatique, un algorithme de priorisation des demandes de logement social, ou un outil d’aide à la décision dans les procédures disciplinaires des agents, le règlement imposera à partir d’août 2026 des exigences lourdes : évaluation préalable de la conformité, documentation technique complète, mise en place d’un système de gestion des risques, garanties de supervision humaine des décisions, enregistrement dans une base de données européenne des systèmes à haut risque, et information des personnes concernées.

Le respect de ces obligations n’est pas optionnel. Les sanctions prévues par l’AI Act peuvent aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires pour les violations les plus graves concernant les pratiques interdites, et jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires pour les autres infractions — des seuils qui, appliqués à une personne morale publique, pourraient trouver une traduction sous forme d’amendes administratives dont le quantum reste à préciser en droit français.

3. RGPD et IA : deux régimes qui se cumulent sans se remplacer

Un point essentiel souvent mal compris : l’AI Act ne remplace pas le RGPD. Les deux textes sont conçus pour se compléter. Tout système d’IA déployé par une collectivité qui traite des données à caractère personnel — ce qui est systématiquement le cas lorsque l’IA interagit avec des usagers, analyse des comportements ou personnalise un service public — est soumis simultanément aux deux régimes.

Le RGPD impose d’abord de s’interroger sur la licéité du traitement : quelle est la base légale du traitement de données permis par l’outil d’IA ? La mission de service public suffit-elle ? Une collectivité qui déploie un chatbot interagissant avec ses administrés, un outil d’analyse prédictive des impayés de loyers, ou un système de reconnaissance de plaques d’immatriculation dans ses parking doit identifier clairement la base légale applicable pour chaque traitement, sous peine d’illicéité.

Il impose ensuite de réaliser une Analyse d’Impact relative à la Protection des Données (AIPD), obligatoire dès lors que le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes — condition quasi systématiquement remplie avec les systèmes d’IA. L’AIPD identifie les risques, évalue leur gravité, et documente les mesures prises pour les réduire. Son absence constitue une violation directe du RGPD.

S’appliquent en outre les obligations d’information et de transparence envers les personnes dont les données sont traitées, le respect des droits des personnes (accès, rectification, opposition), et les obligations pesant sur le Délégué à la Protection des Données (DPO), dont la désignation est obligatoire pour toutes les autorités publiques. La CNIL a précisé dans ses recommandations de 2025 que le DPO doit être impliqué dès la phase de sélection d’un outil d’IA, non seulement lors de son déploiement.

4. L’achat d’IA comme achat public : les règles de la commande publique s’appliquent

L’acquisition d’un système d’IA par une collectivité territoriale est un achat public comme un autre, soumis au Code de la commande publique et aux principes de liberté d’accès, d’égalité de traitement et de transparence. Cette évidence mérite d’être rappelée, car elle est fréquemment oubliée dans l’enthousiasme des projets numériques.

La définition des besoins constitue le premier enjeu. Un cahier des charges rédigé en termes trop généraux — « un outil d’IA pour moderniser l’accueil » — ou au contraire taillé sur mesure pour un prestataire identifié à l’avance est susceptible d’entacher la procédure d’irrégularité, voire de caractériser le délit de favoritisme. La spécification des exigences fonctionnelles, des obligations de conformité au RGPD et à l’AI Act, des garanties de sécurité et d’interopérabilité des données, et des conditions de réversibilité en fin de contrat doit être menée avec rigueur.

La question de la souveraineté numérique des données se pose avec une acuité particulière lors du choix du fournisseur. Les solutions dominantes du marché — majoritairement proposées par des entreprises américaines ou chinoises — soulèvent des questions de transfert de données hors de l’Union européenne soumises aux règles strictes du RGPD depuis l’arrêt Schrems II de la Cour de justice de l’UE. Certaines collectivités pionnières ont privilégié des solutions hébergées sur des infrastructures certifiées SecNumCloud ou recours à des prestataires européens pour réduire ce risque. Le rapport sénatorial du 13 mars 2025 sur l’IA dans les collectivités souligne ce défi et propose la nomination d’un CDO (Chief Data Officer) dans les collectivités d’une certaine taille pour structurer la gouvernance des données.

5. La question de la décision administrative automatisée

L’un des cas d’usage les plus sensibles concerne l’utilisation de l’IA pour des décisions touchant directement aux droits des administrés. Le droit français pose une règle fondamentale : aucune décision individuelle prise à l’égard d’une personne ne peut être fondée exclusivement sur un traitement automatisé, sans intervention humaine significative. Cette règle, issue du RGPD (art. 22), trouve sa déclinaison dans le droit administratif.

Un algorithme qui classerait automatiquement des demandes de subvention, prioriserait l’attribution de places en crèche, ou déterminerait sans contrôle humain l’instruction d’un dossier d’urbanisme, serait illégal si la décision finale n’impliquait pas une analyse et une validation humaines réelles – non pas une simple signature de validation, mais un véritable examen. Le Conseil d’État et la CNIL ont rappelé à plusieurs reprises que la supervision humaine doit être effective et documentée, et non purement formelle.

L’AI Act renforce cette exigence pour les systèmes à haut risque : ceux-ci doivent être conçus de manière à permettre à un opérateur humain de surveiller, comprendre, contredire et, si nécessaire, remplacer la décision de l’outil. Cette obligation de contrôle humain significatif devra être contractualisée avec le fournisseur et documentée dans les procédures internes de la collectivité.

6. L’IA générative dans le travail quotidien des services : les précautions pratiques

Au-delà des projets formellement structurés, de nombreux agents territoriaux utilisent d’ores et déjà des outils d’IA générative — assistants de rédaction, générateurs de courriers, outils de synthèse de documents — dans leur travail quotidien, parfois sans cadre défini par la collectivité. Cette situation crée des risques juridiques réels que les DGS doivent anticiper.

Le risque de fuite de données confidentielles est le plus immédiat : un agent qui soumet à un outil d’IA générative hébergé sur un serveur étranger un document contenant des données personnelles d’administrés, des informations budgétaires non publiques, ou des pièces d’un dossier contentieux, viole potentiellement le RGPD et les obligations de confidentialité inhérentes à sa fonction.

Le risque d’erreur factuellement non détectée est également significatif : les outils d’IA générative produisent des contenus plausibles mais parfois factuellement inexacts. Un arrêté municipal rédigé avec l’aide d’un outil d’IA et signé sans relecture critique peut contenir des références erronées ou des formulations irrégulières.

L’article L. 422-21 du Code général de la fonction publique couvre l’obligation pour la collectivité de former ses agents aux nouveaux outils numériques, ce qui inclut, selon une lecture raisonnée du texte, la formation aux enjeux juridiques de l’IA générative. La jurisprudence administrative précise par ailleurs que les mesures d’interdiction ou de limitation de l’usage des ressources informatiques dans les collectivités doivent être justifiées et proportionnées — ce qui signifie qu’une interdiction totale des outils d’IA sans justification peut elle-même être contestée.

La bonne pratique est donc d’élaborer une charte d’utilisation des outils d’IA par les agents, définissant les usages autorisés, les catégories de données qui ne peuvent jamais être soumises à ces outils, et les obligations de relecture et de validation humaine. Cette charte doit être adoptée après information du comité social territorial et portée à la connaissance de l’ensemble des agents.

7. Les déficits structurels à combler : gouvernance des données et expertise juridique

Un baromètre du numérique publié par les Interconnectés en juillet 2025 révèle que seulement 36 % des collectivités ont mis en œuvre une gouvernance des données, et moins d’une sur deux valorise effectivement ses données territoriales. Or, les outils d’IA ne peuvent fonctionner correctement que si les données qu’ils ingèrent sont structurées, à jour et conformes à la réglementation. Déployer un outil d’IA sans avoir préalablement mis en ordre sa politique de gestion des données revient à construire une maison sur des fondations instables.

Le rapport sénatorial du 13 mars 2025 sur l’IA et les collectivités souligne que l’évaluation juridique doit intervenir très en amont de tout projet : avant même de contacter des fournisseurs, la collectivité doit avoir vérifié la licéité du traitement envisagé, identifié les données personnelles concernées, déterminé si une AIPD est nécessaire, et s’être assurée que les obligations d’information pourront être respectées. Cette évaluation préalable est la condition pour éviter de s’engager dans des projets qui s’avéreraient non conformes et qui devraient être interrompus — avec les coûts financiers et les contentieux que cela implique.

Conclusion : un droit en construction, une vigilance permanente nécessaire

L’intelligence artificielle dans les collectivités territoriales est une réalité en rapide expansion, sur un terrain juridique qui n’est pas encore entièrement stabilisé. Le règlement européen se déploie progressivement — avec l’échéance charnière d’août 2026 — dans un environnement où l’autorité nationale compétente n’est est pas encore officiellement désignée, où les normes harmonisées sont encore en cours d’élaboration, et où la jurisprudence administrative française n’a pas encore eu à trancher les premières questions de fond.

Cette situation d’incertitude ne justifie pas l’attentisme : les principes du RGPD sont pleinement applicables dès aujourd’hui, les pratiques interdites par l’AI Act le sont depuis février 2025, et les systèmes à haut risque seront soumis à leurs obligations dès août 2026. Les collectivités qui anticipent — en structurant leur gouvernance des données, en impliquant leur DPO dès la conception des projets, en rédigeant des cahiers des charges rigoureux et en formant leurs agents — auront une longueur d’avance décisive sur celles qui attendent que les contentieux leur signalent leurs failles.

Notre cabinet accompagne les collectivités territoriales dans la sécurisation juridique de leurs projets d’intelligence artificielle : analyse de conformité RGPD et AI Act, rédaction des cahiers des charges, assistance à la négociation des contrats avec les fournisseurs, rédaction des chartes d’utilisation, et conseil en gouvernance des données publiques.