Ce texte, appelé règlement européen sur l’intelligence artificielle (ou « AI Act »), fixe un cadre clair pour encadrer les usages de l’IA dans l’Union européenne. Il vise à garantir que les systèmes utilisés par les services publics et les entreprises soient sûrs, éthiques, transparents et respectueux des droits fondamentaux. Il s’appliquera progressivement jusqu’en 2026, avec une première échéance dès août 2025.
En parallèle, un Code de bonnes pratiques pour les modèles d’IA à usage général (GPAI – comme ChatGPT, Mistral ou Gemini) a été publié. Il sert de guide pour les fournisseurs de ces modèles, mais il est aussi essentiel pour les acheteurs publics qui souhaitent utiliser ces outils de manière responsable.
En parallèle, un Code de bonnes pratiques pour les modèles d’IA à usage général (GPAI – comme ChatGPT, Mistral ou Gemini) a été publié. Il sert de guide pour les fournisseurs de ces modèles, mais il est aussi essentiel pour les acheteurs publics qui souhaitent utiliser ces outils de manière responsable.
Pourquoi les collectivités sont directement concernées ?
En tant qu’utilisatrices ou commanditaires de systèmes d’IA, les collectivités deviennent juridiquement responsables de certains aspects de leur déploiement. La loi leur impose des devoirs de vigilance, de transparence, de sécurité et de conformité documentaire.
Plusieurs domaines relevant des politiques publiques sont d’ailleurs explicitement classés comme sensibles ou à haut risque par le règlement : l’éducation, les transports, la sécurité, l’accès aux services sociaux, la gestion des ressources humaines… autant de champs d’intervention fréquents des collectivités.
Plusieurs domaines relevant des politiques publiques sont d’ailleurs explicitement classés comme sensibles ou à haut risque par le règlement : l’éducation, les transports, la sécurité, l’accès aux services sociaux, la gestion des ressources humaines… autant de champs d’intervention fréquents des collectivités.
Les 6 impacts concrets pour vos projets
1. Recenser vos usages d’IA et évaluer les risques.
Première étape obligatoire : réaliser une cartographie complète des outils numériques intégrant de l’IA dans vos services. Il s’agit de classer chaque usage selon le niveau de risque défini par le règlement : minimal, limité, élevé ou inacceptable. Cette classification détermine ensuite vos obligations (documentation, surveillance humaine, registre européen, etc.). Mieux vaut anticiper, car les services sont souvent les premiers à adopter des outils IA sans cadre partagé.
2. Vérifier la conformité des modèles utilisés.
Le règlement impose aux fournisseurs de modèles d’IA dits « généraux » (GPAI) – comme ceux utilisés dans les assistants, moteurs d’analyse ou générateurs de texte – de fournir une fiche technique normalisée (appelée "model card"). Ce document décrit les données utilisées pour l’entraînement, les objectifs visés, les limites techniques et les mesures de sécurité appliquées. Lors de tout achat, intégration ou appel d’offres, les collectivités devront désormais exiger ces informations.
3. S’assurer du respect du droit d’auteur.
Les collectivités devront vérifier que les fournisseurs d’IA ont respecté les règles en matière de propriété intellectuelle, notamment pour les contenus utilisés dans l’entraînement de leurs modèles (images, textes, sons). Le Code GPAI impose de respecter les exclusions explicites (comme les balises « robots.txt ») et de fournir des moyens de retrait en cas de violation. Notamment si la collectivité utilise ces modèles dans des publications, communications ou services publics.
4. Renforcer la cybersécurité autour des systèmes d’IA.
Le règlement invite à intégrer l’IA dans une architecture de cybersécurité plus robuste : identification des interfaces à risque, traçabilité des actions, limitation des accès, surveillance des anomalies, etc. Des engagements clairs sont attendus de vos prestataires, mais vous devrez aussi prévoir des procédures internes de supervision, de signalement et de réaction en cas d’incident.
5. Mettre en place une gouvernance locale de l’IA.
Le règlement européen introduit plusieurs rôles juridiques (fournisseur, distributeur, déployeur…). Dans une collectivité, cela signifie que vous devrez désigner un référent IA, qui centralise les informations sur les systèmes déployés, coordonne la documentation réglementaire et s’assure du respect des obligations. Ce rôle peut être assuré par un DSI, un DPO ou un chargé de mission transversal selon la taille de la collectivité.
6. Intégrer ces critères dans vos appels d’offres et marchés publics.
Tous les outils d’IA que vous achèterez ou ferez développer devront désormais être évalués avec comme référence ces nouvelles obligations. Il faudra adapter vos cahiers des charges, insérer des clauses spécifiques (transparence, sécurité, documentation, droit d’auteur) et pouvoir justifier de vos exigences en cas de contrôle. Des modèles-types sont en cours d’élaboration par la Commission européenne et les associations de collectivités.
Première étape obligatoire : réaliser une cartographie complète des outils numériques intégrant de l’IA dans vos services. Il s’agit de classer chaque usage selon le niveau de risque défini par le règlement : minimal, limité, élevé ou inacceptable. Cette classification détermine ensuite vos obligations (documentation, surveillance humaine, registre européen, etc.). Mieux vaut anticiper, car les services sont souvent les premiers à adopter des outils IA sans cadre partagé.
2. Vérifier la conformité des modèles utilisés.
Le règlement impose aux fournisseurs de modèles d’IA dits « généraux » (GPAI) – comme ceux utilisés dans les assistants, moteurs d’analyse ou générateurs de texte – de fournir une fiche technique normalisée (appelée "model card"). Ce document décrit les données utilisées pour l’entraînement, les objectifs visés, les limites techniques et les mesures de sécurité appliquées. Lors de tout achat, intégration ou appel d’offres, les collectivités devront désormais exiger ces informations.
3. S’assurer du respect du droit d’auteur.
Les collectivités devront vérifier que les fournisseurs d’IA ont respecté les règles en matière de propriété intellectuelle, notamment pour les contenus utilisés dans l’entraînement de leurs modèles (images, textes, sons). Le Code GPAI impose de respecter les exclusions explicites (comme les balises « robots.txt ») et de fournir des moyens de retrait en cas de violation. Notamment si la collectivité utilise ces modèles dans des publications, communications ou services publics.
4. Renforcer la cybersécurité autour des systèmes d’IA.
Le règlement invite à intégrer l’IA dans une architecture de cybersécurité plus robuste : identification des interfaces à risque, traçabilité des actions, limitation des accès, surveillance des anomalies, etc. Des engagements clairs sont attendus de vos prestataires, mais vous devrez aussi prévoir des procédures internes de supervision, de signalement et de réaction en cas d’incident.
5. Mettre en place une gouvernance locale de l’IA.
Le règlement européen introduit plusieurs rôles juridiques (fournisseur, distributeur, déployeur…). Dans une collectivité, cela signifie que vous devrez désigner un référent IA, qui centralise les informations sur les systèmes déployés, coordonne la documentation réglementaire et s’assure du respect des obligations. Ce rôle peut être assuré par un DSI, un DPO ou un chargé de mission transversal selon la taille de la collectivité.
6. Intégrer ces critères dans vos appels d’offres et marchés publics.
Tous les outils d’IA que vous achèterez ou ferez développer devront désormais être évalués avec comme référence ces nouvelles obligations. Il faudra adapter vos cahiers des charges, insérer des clauses spécifiques (transparence, sécurité, documentation, droit d’auteur) et pouvoir justifier de vos exigences en cas de contrôle. Des modèles-types sont en cours d’élaboration par la Commission européenne et les associations de collectivités.
Et si on n’agit pas ?
Le risque juridique est réel : si un système à haut risque est mis en service sans respecter les règles, les autorités nationales pourront ordonner son retrait immédiat, voire prononcer des amendes (jusqu’à 7 % du chiffre d’affaires du fournisseur dans certains cas).
Mais au-delà du risque, c’est aussi une opportunité à saisir : Pour structurer vos usages d’IA de façon responsable, Pour sécuriser vos données et vos administrés, Et pour accéder plus facilement aux financements européens à venir, qui seront souvent conditionnés à une démonstration de conformité.
Mais au-delà du risque, c’est aussi une opportunité à saisir : Pour structurer vos usages d’IA de façon responsable, Pour sécuriser vos données et vos administrés, Et pour accéder plus facilement aux financements européens à venir, qui seront souvent conditionnés à une démonstration de conformité.
Une feuille de route simple pour les 90 prochains jours
Faire l’inventaire de vos outils IA existants. Former vos équipes aux obligations de base du règlement. Nommer un référent IA au sein de votre collectivité. Adapter vos documents de commande publique. Dialoguer avec vos prestataires sur leur conformité au Code GPAI. Candidater aux programmes de soutien européens pour tester des projets IA responsables.
En résumé
Le règlement européen sur l’IA transforme l’intelligence artificielle en enjeu de confiance publique. Il ne s’agit plus seulement d’innover, mais de le faire avec responsabilité, transparence et sécurité. Les collectivités peuvent en tirer un triple bénéfice : protéger les citoyens, renforcer leurs compétences internes et accéder aux ressources stratégiques que l’Europe met à disposition.
En s’emparant de ces sujets dès maintenant, les territoires se placent à l’avant-garde d’une nouvelle génération de services publics numériques, plus éthiques, plus efficaces et plus fiables.
En s’emparant de ces sujets dès maintenant, les territoires se placent à l’avant-garde d’une nouvelle génération de services publics numériques, plus éthiques, plus efficaces et plus fiables.