EU AI Act et RGPD 2026 : Guide de conformité pour les collectivités et organisations publiques
EU AI Act et RGPD 2026 : Guide de conformité pour les collectivités et organisations publiques
EU AI Act et RGPD 2026 : Guide de conformité pour les collectivités et organisations publiques
Comment les collectivités territoriales et organisations publiques doivent se conformer à l'EU AI Act et au RGPD. Calendrier, obligations, niveaux de risque.
Comment les collectivités territoriales et organisations publiques doivent se conformer à l'EU AI Act et au RGPD. Calendrier, obligations, niveaux de risque.
Comment les collectivités territoriales et organisations publiques doivent se conformer à l'EU AI Act et au RGPD. Calendrier, obligations, niveaux de risque.
7 min
Mis à jour : avril 2026 | Lecture : 7 minutes
En résumé : L'AI Act européen (Règlement UE 2024/1689) entre en application complète le 2 août 2026. Combiné au RGPD, il impose aux collectivités territoriales et organisations publiques un cadre de conformité structuré selon le niveau de risque des systèmes IA utilisés. Ce guide détaille le calendrier, les obligations concrètes par catégorie d'outil, et les étapes prioritaires pour les DSI, DPO et directeurs généraux des services.
Pourquoi l'AI Act change la donne pour les organisations publiques en 2026
Depuis le 1er août 2024, l'AI Act — premier cadre juridique mondial dédié à l'intelligence artificielle — est entré en vigueur dans l'Union européenne. Son application est progressive, mais la majorité de ses obligations entrent en vigueur le 2 août 2026, une échéance qui concerne directement les collectivités territoriales, établissements publics et administrations.
Contrairement à ce qu'on pourrait croire, l'AI Act ne remplace pas le RGPD — il s'y ajoute. Comme le précise la CNIL dans ses recommandations publiées en juillet 2025 : lorsque des données personnelles sont utilisées dans un système d'IA, le RGPD et le règlement sur l'IA s'appliquent tous les deux. Pour les organisations publiques, cela signifie une double grille d'analyse à appliquer à chaque outil IA déployé.
Les amendes potentielles sont significatives. L'AI Act prévoit des sanctions allant jusqu'à 35 millions d'euros ou 7 % du budget annuel pour les violations les plus graves. Le RGPD, de son côté, permet à la CNIL de prononcer des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Le calendrier d'application de l'AI Act : ce qui est déjà applicable en 2026
Comprendre le calendrier est la première étape pour prioriser les actions. L'AI Act s'applique en quatre temps :
2 février 2025 — déjà applicable : interdictions des pratiques IA à risque inacceptable et obligation de AI literacy(formation des équipes à la connaissance des systèmes IA). Les organisations publiques devaient avoir commencé à sensibiliser leurs équipes à cette date.
2 août 2025 — déjà applicable : obligations relatives aux modèles d'IA à usage général (GPAI) et mise en place du cadre de gouvernance européen. Le Bureau européen de l'IA est opérationnel.
2 août 2026 — à venir dans moins de 4 mois : application complète des obligations pour les systèmes à haut risque, dont ceux utilisés par les autorités publiques (article 57 de l'AI Act). Les systèmes d'IA déployés dans les domaines de la biométrie, l'éducation, l'emploi, la justice, les infrastructures critiques et l'accès aux services publics doivent être conformes à cette date.
2 août 2027 : intégration complète pour les systèmes à haut risque incorporés dans des produits réglementés.
Pour les collectivités qui n'ont pas encore commencé leur démarche de conformité IA, l'échéance du 2 août 2026 est imminente.
Les 4 niveaux de risque de l'AI Act : où se situent les outils que vous utilisez ?
L'AI Act classe les systèmes IA en quatre catégories selon le niveau de risque qu'ils présentent pour les droits fondamentaux et la sécurité des personnes.
Risque inacceptable — Interdit depuis février 2025
Ces systèmes sont interdits sur le territoire de l'UE. Ils incluent notamment :
La notation sociale des citoyens par les autorités publiques
Les systèmes de manipulation comportementale à l'insu des personnes
L'identification biométrique à distance en temps réel dans les lieux publics (sauf exceptions encadrées pour les enquêtes pénales graves)
Pour les collectivités : tout projet de vidéosurveillance intelligente avec identification des personnes ou de scoring comportemental des usagers entre dans cette catégorie. Ces usages sont interdits.
Haut risque — Obligations strictes à partir du 2 août 2026
L'Annexe III de l'AI Act liste les systèmes IA à haut risque. Parmi ceux les plus susceptibles d'être utilisés dans les organisations publiques françaises :
Les systèmes IA utilisés dans le recrutement et la gestion des ressources humaines (présélection de candidatures, évaluation des performances)
Les systèmes IA utilisés dans l'accès aux services publics essentiels (éligibilité aux aides sociales, traitement des demandes administratives)
Les systèmes IA utilisés dans l'éducation (évaluation des élèves, orientation)
Les systèmes IA utilisés dans la justice et les procédures judiciaires
Les systèmes IA utilisés dans les infrastructures critiques (eau, énergie, transport)
Pour ces systèmes, les obligations sont strictes :
Documentation technique complète
Système de gestion des risques documenté et mis à jour
Données d'entraînement évaluées pour les biais
Supervision humaine obligatoire avant toute décision
Enregistrement dans la base de données de l'Union européenne
Marquage CE (pour les solutions commerciales)
Risque limité — Obligation de transparence
Les systèmes IA qui interagissent avec les usagers — chatbots sur les sites de mairie, assistants virtuels, systèmes de génération de contenus — sont soumis à une obligation principale : informer les utilisateurs qu'ils interagissent avec une IA.
Les assistants de réunion IA entrent dans cette catégorie. L'obligation est simple : informer les participants d'une réunion que leurs échanges sont enregistrés et traités par un système IA. Cette obligation existait déjà sous l'article 226-1 du Code pénal et le RGPD — l'AI Act la renforce et l'harmonise à l'échelle européenne.
Risque minimal — Peu ou pas d'obligations
Les filtres anti-spam, les outils de correction orthographique, les systèmes de recommandation de contenu non personnalisé entrent dans cette catégorie. Ils ne sont soumis à aucune obligation spécifique de l'AI Act, bien que le RGPD reste applicable dès qu'ils traitent des données personnelles.
RGPD et AI Act : les 6 obligations cumulatives pour les organisations publiques
Lorsqu'un système IA traite des données personnelles — ce qui est le cas de la quasi-totalité des outils déployés dans une organisation publique — les obligations du RGPD et de l'AI Act se cumulent. La CNIL, dans ses 13 fiches pratiques publiées en juillet 2025, a précisé les points de convergence.
1. Identifier une base légale. Avant tout déploiement d'un outil IA, la base légale du traitement doit être documentée. Pour les collectivités, la base légale la plus fréquente est la mission d'intérêt public (article 6.1.e du RGPD). Elle doit être définie en amont du projet, pas après.
2. Réaliser une Analyse d'Impact sur la Protection des Données (AIPD). Dès qu'un traitement IA est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, une AIPD est obligatoire. Pour les outils IA déployés dans les services aux usagers, c'est généralement le cas.
3. Encadrer les sous-traitants IA (article 28 RGPD). L'éditeur d'un outil IA est un sous-traitant au sens du RGPD. Un contrat de traitement des données (DPA) doit être signé avec chaque fournisseur, précisant la localisation des données, les mesures de sécurité, la durée de conservation et les conditions de suppression.
4. Informer les personnes concernées. Toute personne dont les données sont traitées par un système IA doit en être informée — participants d'une réunion enregistrée, usagers interagissant avec un chatbot, agents dont les performances sont analysées.
5. Garantir les droits d'accès, de rectification et d'effacement. Les personnes concernées conservent leurs droits RGPD sur les données traitées par l'IA. L'organisation publique doit être en mesure d'y répondre dans les délais légaux (1 mois).
6. Assurer la supervision humaine. Pour les systèmes à haut risque, l'AI Act exige qu'une personne physique soit en mesure de comprendre, surveiller et, si nécessaire, désactiver le système. Aucune décision importante ne peut être prise exclusivement sur la base d'un traitement automatisé (article 22 RGPD).
Ce que la CNIL surveille spécifiquement dans les collectivités en 2025-2026
La CNIL a annoncé dans son programme de contrôles 2025 qu'elle se concentrerait sur la cybersécurité des collectivités territoriales, une priorité maintenue en 2026. Les contrôles portent sur les mesures de protection des données des usagers et la conformité des outils numériques déployés.
Par ailleurs, la CNIL a indiqué qu'elle publierait des fiches spécifiques aux collectivités locales sur les conditions de déploiement des systèmes IA — une reconnaissance explicite que ce secteur présente des enjeux particuliers.
Deux points de vigilance spécifiques aux collectivités :
Les outils IA de réunion et de transcription. Dès lors qu'une réunion est enregistrée et transcrite par un système IA, les données vocales des participants (agents, élus, administrés) sont traitées. Ces données sont personnelles par nature. L'organisation doit s'assurer que le prestataire est conforme au RGPD (DPA signé), que les données sont hébergées en Europe, et que les participants ont été informés préalablement.
Les transferts de données hors UE. Le Conseil d'État a rappelé dans sa décision du 20 mars 2026 (n° 503159 et 504171) que les transferts vers des infrastructures soumises au droit américain ne sont pas interdits mais exigent des garanties techniques et juridiques robustes et documentées. Pour les collectivités dont les capacités juridiques internes sont limitées, la solution la plus sûre reste de choisir des outils hébergés exclusivement en Europe, non soumis au CLOUD Act.
Plan d'action en 5 étapes pour une collectivité qui démarre sa mise en conformité
Face à l'échéance du 2 août 2026, voici les actions à prioriser pour une collectivité qui n'a pas encore structuré sa démarche.
Étape 1 — Cartographier les outils IA utilisés (2 à 3 semaines) Recenser l'ensemble des outils numériques intégrant de l'IA, y compris ceux adoptés sans validation de la DSI (shadow IA). Pour chaque outil : identifier l'éditeur, la localisation des données, l'existence d'un DPA, et le niveau de risque AI Act.
Étape 2 — Classifier les systèmes selon les 4 niveaux de risque AI Act (1 semaine) Sur la base de la cartographie, déterminer quels outils entrent dans la catégorie haut risque de l'Annexe III. Ce sont ceux qui requièrent la documentation la plus approfondie avant le 2 août 2026.
Étape 3 — Réaliser les AIPD manquantes (3 à 4 semaines) Pour chaque système IA à haut risque ou susceptible de présenter un risque élevé pour les personnes, conduire une Analyse d'Impact sur la Protection des Données. La méthodologie CNIL est disponible en ligne.
Étape 4 — Mettre en conformité les contrats fournisseurs (2 à 3 semaines) Vérifier que chaque fournisseur d'outil IA a signé un DPA conforme à l'article 28 du RGPD. Pour les outils hébergés hors UE, vérifier l'existence de Clauses Contractuelles Types valides. Remplacer ou suspendre les outils dont la conformité ne peut pas être documentée.
Étape 5 — Former les équipes à l'AI literacy (obligatoire depuis février 2025) L'obligation de formation à la connaissance des systèmes IA s'applique depuis le 2 février 2025. Les agents qui utilisent des outils IA dans le cadre de leurs missions doivent comprendre les principes de fonctionnement, les risques et les limites de ces systèmes. Cette formation n'a pas à être technique — elle doit être proportionnée aux usages réels.
Le cas particulier des outils IA de réunion dans les organisations publiques
Les assistants de réunion IA représentent un cas d'usage en forte croissance dans les collectivités et organisations publiques. Ils permettent de réduire le temps consacré à la rédaction de comptes-rendus — une tâche qui mobilise une part significative du temps des agents, en particulier dans les structures qui enchaînent comités de pilotage, conseils municipaux, réunions de service et réunions partenariales.
Du point de vue de la conformité, ces outils appartiennent à la catégorie risque limité de l'AI Act. Les obligations principales sont :
Informer tous les participants avant la réunion que leurs échanges seront enregistrés et traités par IA
Obtenir leur consentement ou s'appuyer sur une base légale documentée
Choisir un prestataire ayant signé un DPA conforme et hébergeant les données en Europe
Vérifier que les enregistrements sont supprimés après traitement, et non conservés indéfiniment
Pour les organisations publiques, le choix d'un outil souverain — hébergé en France, en Suisse ou en Allemagne, sans exposition au CLOUD Act — simplifie considérablement la chaîne de conformité et réduit le risque juridique.
NeoMeet, développé par Neova, a été conçu spécifiquement pour répondre à ces exigences : hébergement exclusivement en Europe (France, Suisse, Allemagne), certifications RGPD, SOC 2 et ISO 27001, suppression des enregistrements immédiatement après traitement, et option on-premise pour les organisations qui requièrent un contrôle total de leur infrastructure.
FAQ — Questions fréquentes sur l'AI Act et le RGPD pour les organisations publiques
Une collectivité territoriale est-elle concernée par l'AI Act même si elle n'utilise que des outils achetés auprès d'éditeurs ? Oui. L'AI Act distingue les fournisseurs (qui développent les systèmes IA) et les déployeurs (qui les utilisent). Une collectivité qui déploie un outil IA — qu'elle l'ait développé elle-même ou acheté auprès d'un éditeur — est un déployeur au sens du règlement et engage sa responsabilité. Elle doit s'assurer que l'outil utilisé est conforme et que son usage respecte les obligations applicables.
Quelle est la différence entre le RGPD et l'AI Act pour une collectivité ? Le RGPD encadre le traitement des données personnelles — toute donnée permettant d'identifier une personne physique. L'AI Act encadre les systèmes IA eux-mêmes — leur conception, leur niveau de risque, leur transparence et leur supervision. Les deux se cumulent dès qu'un système IA traite des données personnelles, ce qui est le cas de la quasi-totalité des outils déployés dans une organisation publique.
Qu'est-ce qu'une AIPD et quand est-elle obligatoire ? L'Analyse d'Impact sur la Protection des Données (AIPD) est une évaluation documentée des risques d'un traitement pour les droits et libertés des personnes. Elle est obligatoire dès qu'un traitement est susceptible d'engendrer un risque élevé, notamment pour les traitements automatisés à grande échelle, les systèmes de surveillance ou les traitements de données sensibles. La CNIL met à disposition une méthode et un outil gratuits (logiciel PIA) pour la réaliser.
Un assistant de réunion IA peut-il être utilisé lors de délibérations de conseil municipal ? Oui, à condition que les participants soient informés préalablement de l'enregistrement et que le traitement repose sur une base légale documentée. Pour les délibérations, la base légale de la mission d'intérêt public peut être mobilisée. Le choix d'un outil dont les données sont hébergées en Europe et supprimées après traitement réduit significativement les risques juridiques et les questions des élus sur la confidentialité.
L'obligation d'AI literacy s'applique-t-elle à tous les agents ? L'obligation s'applique aux agents qui utilisent des systèmes IA dans le cadre de leurs missions. Elle est proportionnée aux usages — un agent qui utilise un assistant de transcription n'a pas besoin d'une formation technique sur les LLM. L'objectif est de s'assurer que les utilisateurs comprennent ce que fait l'outil, ses limites et ses risques potentiels.
L'AI Act prévoit-il des sanctions spécifiques pour les organismes publics ? L'AI Act prévoit que les États membres définissent eux-mêmes le régime de sanctions applicable aux organismes publics. En France, la CNIL, la DGCCRF et l'Arcom ont été désignées comme autorités nationales compétentes. Les amendes administratives maximales prévues par l'AI Act (35 millions d'euros) s'appliquent principalement aux acteurs commerciaux — les organismes publics peuvent faire l'objet de sanctions adaptées selon le régime national. L'enjeu pour les collectivités est davantage la responsabilité civile, la mise en demeure et le risque de contentieux administratif.
Comment vérifier qu'un fournisseur d'IA est conforme à l'AI Act ? Pour les systèmes à haut risque, le fournisseur doit être en mesure de fournir une documentation technique, une déclaration de conformité UE et justifier d'un enregistrement dans la base de données de l'Union européenne. Pour les systèmes à risque limité, vérifier au minimum l'existence d'un DPA conforme au RGPD, la localisation des données et la politique de conservation. Des questions directes au fournisseur sur ces points sont légitimes et recommandées.
Conclusion
L'entrée en application complète de l'AI Act le 2 août 2026 marque un tournant pour les collectivités territoriales et organisations publiques françaises. Pour la première fois, l'utilisation d'outils IA dans le service public est encadrée par un règlement européen contraignant, qui vient compléter les exigences déjà existantes du RGPD.
La bonne nouvelle : les obligations ne sont pas insurmontables. Elles demandent de la méthode — cartographier les outils, classifier les risques, documenter les analyses d'impact, encadrer les contrats fournisseurs, former les équipes. Les organisations qui commencent aujourd'hui ont encore le temps de structurer leur démarche avant l'échéance de l'été 2026.
Pour les outils IA utilisés au quotidien — assistants de réunion, outils de transcription, systèmes d'aide à la décision — le premier geste de conformité est souvent le plus simple : choisir des fournisseurs européens, dont les données restent en Europe et dont les contrats répondent aux exigences du RGPD sans nécessiter de montages juridiques complexes.
Neova accompagne les collectivités et organisations publiques dans leur démarche de conformité IA. Contactez notre équipe pour un premier échange sur vos enjeux spécifiques, ou consultez nos offres pour découvrir comment NeoMeet répond aux exigences du RGPD et de l'AI Act.
Sources :
AI Act — Règlement (UE) 2024/1689 du Parlement européen et du Conseil, 13 juin 2024
RGPD — Règlement (UE) 2016/679, articles 6, 22, 28 et 35
CNIL — Recommandations sur le développement des systèmes d'IA (13 fiches pratiques), juillet 2025
CNIL — Programme de contrôles 2025 : cybersécurité des collectivités territoriales
CNIL — Programme de travail 2025 : fiches sectorielles sur les collectivités locales
Conseil d'État — Décision du 20 mars 2026 (n° 503159 et 504171) — données de santé et RGPD
Commission européenne — Direction générale des Entreprises : Le Règlement européen sur l'IA : publics concernés, dates clés
Vie-publique.fr — AI Act : calendrier et obligations
MDP-Data.com — AI Act 2026 : obligations et mise en conformité des organisations, février 2026
ANSSI — Recommandations sur la cybersécurité des collectivités territoriales
Mis à jour : avril 2026 | Lecture : 7 minutes
En résumé : L'AI Act européen (Règlement UE 2024/1689) entre en application complète le 2 août 2026. Combiné au RGPD, il impose aux collectivités territoriales et organisations publiques un cadre de conformité structuré selon le niveau de risque des systèmes IA utilisés. Ce guide détaille le calendrier, les obligations concrètes par catégorie d'outil, et les étapes prioritaires pour les DSI, DPO et directeurs généraux des services.
Pourquoi l'AI Act change la donne pour les organisations publiques en 2026
Depuis le 1er août 2024, l'AI Act — premier cadre juridique mondial dédié à l'intelligence artificielle — est entré en vigueur dans l'Union européenne. Son application est progressive, mais la majorité de ses obligations entrent en vigueur le 2 août 2026, une échéance qui concerne directement les collectivités territoriales, établissements publics et administrations.
Contrairement à ce qu'on pourrait croire, l'AI Act ne remplace pas le RGPD — il s'y ajoute. Comme le précise la CNIL dans ses recommandations publiées en juillet 2025 : lorsque des données personnelles sont utilisées dans un système d'IA, le RGPD et le règlement sur l'IA s'appliquent tous les deux. Pour les organisations publiques, cela signifie une double grille d'analyse à appliquer à chaque outil IA déployé.
Les amendes potentielles sont significatives. L'AI Act prévoit des sanctions allant jusqu'à 35 millions d'euros ou 7 % du budget annuel pour les violations les plus graves. Le RGPD, de son côté, permet à la CNIL de prononcer des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Le calendrier d'application de l'AI Act : ce qui est déjà applicable en 2026
Comprendre le calendrier est la première étape pour prioriser les actions. L'AI Act s'applique en quatre temps :
2 février 2025 — déjà applicable : interdictions des pratiques IA à risque inacceptable et obligation de AI literacy(formation des équipes à la connaissance des systèmes IA). Les organisations publiques devaient avoir commencé à sensibiliser leurs équipes à cette date.
2 août 2025 — déjà applicable : obligations relatives aux modèles d'IA à usage général (GPAI) et mise en place du cadre de gouvernance européen. Le Bureau européen de l'IA est opérationnel.
2 août 2026 — à venir dans moins de 4 mois : application complète des obligations pour les systèmes à haut risque, dont ceux utilisés par les autorités publiques (article 57 de l'AI Act). Les systèmes d'IA déployés dans les domaines de la biométrie, l'éducation, l'emploi, la justice, les infrastructures critiques et l'accès aux services publics doivent être conformes à cette date.
2 août 2027 : intégration complète pour les systèmes à haut risque incorporés dans des produits réglementés.
Pour les collectivités qui n'ont pas encore commencé leur démarche de conformité IA, l'échéance du 2 août 2026 est imminente.
Les 4 niveaux de risque de l'AI Act : où se situent les outils que vous utilisez ?
L'AI Act classe les systèmes IA en quatre catégories selon le niveau de risque qu'ils présentent pour les droits fondamentaux et la sécurité des personnes.
Risque inacceptable — Interdit depuis février 2025
Ces systèmes sont interdits sur le territoire de l'UE. Ils incluent notamment :
La notation sociale des citoyens par les autorités publiques
Les systèmes de manipulation comportementale à l'insu des personnes
L'identification biométrique à distance en temps réel dans les lieux publics (sauf exceptions encadrées pour les enquêtes pénales graves)
Pour les collectivités : tout projet de vidéosurveillance intelligente avec identification des personnes ou de scoring comportemental des usagers entre dans cette catégorie. Ces usages sont interdits.
Haut risque — Obligations strictes à partir du 2 août 2026
L'Annexe III de l'AI Act liste les systèmes IA à haut risque. Parmi ceux les plus susceptibles d'être utilisés dans les organisations publiques françaises :
Les systèmes IA utilisés dans le recrutement et la gestion des ressources humaines (présélection de candidatures, évaluation des performances)
Les systèmes IA utilisés dans l'accès aux services publics essentiels (éligibilité aux aides sociales, traitement des demandes administratives)
Les systèmes IA utilisés dans l'éducation (évaluation des élèves, orientation)
Les systèmes IA utilisés dans la justice et les procédures judiciaires
Les systèmes IA utilisés dans les infrastructures critiques (eau, énergie, transport)
Pour ces systèmes, les obligations sont strictes :
Documentation technique complète
Système de gestion des risques documenté et mis à jour
Données d'entraînement évaluées pour les biais
Supervision humaine obligatoire avant toute décision
Enregistrement dans la base de données de l'Union européenne
Marquage CE (pour les solutions commerciales)
Risque limité — Obligation de transparence
Les systèmes IA qui interagissent avec les usagers — chatbots sur les sites de mairie, assistants virtuels, systèmes de génération de contenus — sont soumis à une obligation principale : informer les utilisateurs qu'ils interagissent avec une IA.
Les assistants de réunion IA entrent dans cette catégorie. L'obligation est simple : informer les participants d'une réunion que leurs échanges sont enregistrés et traités par un système IA. Cette obligation existait déjà sous l'article 226-1 du Code pénal et le RGPD — l'AI Act la renforce et l'harmonise à l'échelle européenne.
Risque minimal — Peu ou pas d'obligations
Les filtres anti-spam, les outils de correction orthographique, les systèmes de recommandation de contenu non personnalisé entrent dans cette catégorie. Ils ne sont soumis à aucune obligation spécifique de l'AI Act, bien que le RGPD reste applicable dès qu'ils traitent des données personnelles.
RGPD et AI Act : les 6 obligations cumulatives pour les organisations publiques
Lorsqu'un système IA traite des données personnelles — ce qui est le cas de la quasi-totalité des outils déployés dans une organisation publique — les obligations du RGPD et de l'AI Act se cumulent. La CNIL, dans ses 13 fiches pratiques publiées en juillet 2025, a précisé les points de convergence.
1. Identifier une base légale. Avant tout déploiement d'un outil IA, la base légale du traitement doit être documentée. Pour les collectivités, la base légale la plus fréquente est la mission d'intérêt public (article 6.1.e du RGPD). Elle doit être définie en amont du projet, pas après.
2. Réaliser une Analyse d'Impact sur la Protection des Données (AIPD). Dès qu'un traitement IA est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, une AIPD est obligatoire. Pour les outils IA déployés dans les services aux usagers, c'est généralement le cas.
3. Encadrer les sous-traitants IA (article 28 RGPD). L'éditeur d'un outil IA est un sous-traitant au sens du RGPD. Un contrat de traitement des données (DPA) doit être signé avec chaque fournisseur, précisant la localisation des données, les mesures de sécurité, la durée de conservation et les conditions de suppression.
4. Informer les personnes concernées. Toute personne dont les données sont traitées par un système IA doit en être informée — participants d'une réunion enregistrée, usagers interagissant avec un chatbot, agents dont les performances sont analysées.
5. Garantir les droits d'accès, de rectification et d'effacement. Les personnes concernées conservent leurs droits RGPD sur les données traitées par l'IA. L'organisation publique doit être en mesure d'y répondre dans les délais légaux (1 mois).
6. Assurer la supervision humaine. Pour les systèmes à haut risque, l'AI Act exige qu'une personne physique soit en mesure de comprendre, surveiller et, si nécessaire, désactiver le système. Aucune décision importante ne peut être prise exclusivement sur la base d'un traitement automatisé (article 22 RGPD).
Ce que la CNIL surveille spécifiquement dans les collectivités en 2025-2026
La CNIL a annoncé dans son programme de contrôles 2025 qu'elle se concentrerait sur la cybersécurité des collectivités territoriales, une priorité maintenue en 2026. Les contrôles portent sur les mesures de protection des données des usagers et la conformité des outils numériques déployés.
Par ailleurs, la CNIL a indiqué qu'elle publierait des fiches spécifiques aux collectivités locales sur les conditions de déploiement des systèmes IA — une reconnaissance explicite que ce secteur présente des enjeux particuliers.
Deux points de vigilance spécifiques aux collectivités :
Les outils IA de réunion et de transcription. Dès lors qu'une réunion est enregistrée et transcrite par un système IA, les données vocales des participants (agents, élus, administrés) sont traitées. Ces données sont personnelles par nature. L'organisation doit s'assurer que le prestataire est conforme au RGPD (DPA signé), que les données sont hébergées en Europe, et que les participants ont été informés préalablement.
Les transferts de données hors UE. Le Conseil d'État a rappelé dans sa décision du 20 mars 2026 (n° 503159 et 504171) que les transferts vers des infrastructures soumises au droit américain ne sont pas interdits mais exigent des garanties techniques et juridiques robustes et documentées. Pour les collectivités dont les capacités juridiques internes sont limitées, la solution la plus sûre reste de choisir des outils hébergés exclusivement en Europe, non soumis au CLOUD Act.
Plan d'action en 5 étapes pour une collectivité qui démarre sa mise en conformité
Face à l'échéance du 2 août 2026, voici les actions à prioriser pour une collectivité qui n'a pas encore structuré sa démarche.
Étape 1 — Cartographier les outils IA utilisés (2 à 3 semaines) Recenser l'ensemble des outils numériques intégrant de l'IA, y compris ceux adoptés sans validation de la DSI (shadow IA). Pour chaque outil : identifier l'éditeur, la localisation des données, l'existence d'un DPA, et le niveau de risque AI Act.
Étape 2 — Classifier les systèmes selon les 4 niveaux de risque AI Act (1 semaine) Sur la base de la cartographie, déterminer quels outils entrent dans la catégorie haut risque de l'Annexe III. Ce sont ceux qui requièrent la documentation la plus approfondie avant le 2 août 2026.
Étape 3 — Réaliser les AIPD manquantes (3 à 4 semaines) Pour chaque système IA à haut risque ou susceptible de présenter un risque élevé pour les personnes, conduire une Analyse d'Impact sur la Protection des Données. La méthodologie CNIL est disponible en ligne.
Étape 4 — Mettre en conformité les contrats fournisseurs (2 à 3 semaines) Vérifier que chaque fournisseur d'outil IA a signé un DPA conforme à l'article 28 du RGPD. Pour les outils hébergés hors UE, vérifier l'existence de Clauses Contractuelles Types valides. Remplacer ou suspendre les outils dont la conformité ne peut pas être documentée.
Étape 5 — Former les équipes à l'AI literacy (obligatoire depuis février 2025) L'obligation de formation à la connaissance des systèmes IA s'applique depuis le 2 février 2025. Les agents qui utilisent des outils IA dans le cadre de leurs missions doivent comprendre les principes de fonctionnement, les risques et les limites de ces systèmes. Cette formation n'a pas à être technique — elle doit être proportionnée aux usages réels.
Le cas particulier des outils IA de réunion dans les organisations publiques
Les assistants de réunion IA représentent un cas d'usage en forte croissance dans les collectivités et organisations publiques. Ils permettent de réduire le temps consacré à la rédaction de comptes-rendus — une tâche qui mobilise une part significative du temps des agents, en particulier dans les structures qui enchaînent comités de pilotage, conseils municipaux, réunions de service et réunions partenariales.
Du point de vue de la conformité, ces outils appartiennent à la catégorie risque limité de l'AI Act. Les obligations principales sont :
Informer tous les participants avant la réunion que leurs échanges seront enregistrés et traités par IA
Obtenir leur consentement ou s'appuyer sur une base légale documentée
Choisir un prestataire ayant signé un DPA conforme et hébergeant les données en Europe
Vérifier que les enregistrements sont supprimés après traitement, et non conservés indéfiniment
Pour les organisations publiques, le choix d'un outil souverain — hébergé en France, en Suisse ou en Allemagne, sans exposition au CLOUD Act — simplifie considérablement la chaîne de conformité et réduit le risque juridique.
NeoMeet, développé par Neova, a été conçu spécifiquement pour répondre à ces exigences : hébergement exclusivement en Europe (France, Suisse, Allemagne), certifications RGPD, SOC 2 et ISO 27001, suppression des enregistrements immédiatement après traitement, et option on-premise pour les organisations qui requièrent un contrôle total de leur infrastructure.
FAQ — Questions fréquentes sur l'AI Act et le RGPD pour les organisations publiques
Une collectivité territoriale est-elle concernée par l'AI Act même si elle n'utilise que des outils achetés auprès d'éditeurs ? Oui. L'AI Act distingue les fournisseurs (qui développent les systèmes IA) et les déployeurs (qui les utilisent). Une collectivité qui déploie un outil IA — qu'elle l'ait développé elle-même ou acheté auprès d'un éditeur — est un déployeur au sens du règlement et engage sa responsabilité. Elle doit s'assurer que l'outil utilisé est conforme et que son usage respecte les obligations applicables.
Quelle est la différence entre le RGPD et l'AI Act pour une collectivité ? Le RGPD encadre le traitement des données personnelles — toute donnée permettant d'identifier une personne physique. L'AI Act encadre les systèmes IA eux-mêmes — leur conception, leur niveau de risque, leur transparence et leur supervision. Les deux se cumulent dès qu'un système IA traite des données personnelles, ce qui est le cas de la quasi-totalité des outils déployés dans une organisation publique.
Qu'est-ce qu'une AIPD et quand est-elle obligatoire ? L'Analyse d'Impact sur la Protection des Données (AIPD) est une évaluation documentée des risques d'un traitement pour les droits et libertés des personnes. Elle est obligatoire dès qu'un traitement est susceptible d'engendrer un risque élevé, notamment pour les traitements automatisés à grande échelle, les systèmes de surveillance ou les traitements de données sensibles. La CNIL met à disposition une méthode et un outil gratuits (logiciel PIA) pour la réaliser.
Un assistant de réunion IA peut-il être utilisé lors de délibérations de conseil municipal ? Oui, à condition que les participants soient informés préalablement de l'enregistrement et que le traitement repose sur une base légale documentée. Pour les délibérations, la base légale de la mission d'intérêt public peut être mobilisée. Le choix d'un outil dont les données sont hébergées en Europe et supprimées après traitement réduit significativement les risques juridiques et les questions des élus sur la confidentialité.
L'obligation d'AI literacy s'applique-t-elle à tous les agents ? L'obligation s'applique aux agents qui utilisent des systèmes IA dans le cadre de leurs missions. Elle est proportionnée aux usages — un agent qui utilise un assistant de transcription n'a pas besoin d'une formation technique sur les LLM. L'objectif est de s'assurer que les utilisateurs comprennent ce que fait l'outil, ses limites et ses risques potentiels.
L'AI Act prévoit-il des sanctions spécifiques pour les organismes publics ? L'AI Act prévoit que les États membres définissent eux-mêmes le régime de sanctions applicable aux organismes publics. En France, la CNIL, la DGCCRF et l'Arcom ont été désignées comme autorités nationales compétentes. Les amendes administratives maximales prévues par l'AI Act (35 millions d'euros) s'appliquent principalement aux acteurs commerciaux — les organismes publics peuvent faire l'objet de sanctions adaptées selon le régime national. L'enjeu pour les collectivités est davantage la responsabilité civile, la mise en demeure et le risque de contentieux administratif.
Comment vérifier qu'un fournisseur d'IA est conforme à l'AI Act ? Pour les systèmes à haut risque, le fournisseur doit être en mesure de fournir une documentation technique, une déclaration de conformité UE et justifier d'un enregistrement dans la base de données de l'Union européenne. Pour les systèmes à risque limité, vérifier au minimum l'existence d'un DPA conforme au RGPD, la localisation des données et la politique de conservation. Des questions directes au fournisseur sur ces points sont légitimes et recommandées.
Conclusion
L'entrée en application complète de l'AI Act le 2 août 2026 marque un tournant pour les collectivités territoriales et organisations publiques françaises. Pour la première fois, l'utilisation d'outils IA dans le service public est encadrée par un règlement européen contraignant, qui vient compléter les exigences déjà existantes du RGPD.
La bonne nouvelle : les obligations ne sont pas insurmontables. Elles demandent de la méthode — cartographier les outils, classifier les risques, documenter les analyses d'impact, encadrer les contrats fournisseurs, former les équipes. Les organisations qui commencent aujourd'hui ont encore le temps de structurer leur démarche avant l'échéance de l'été 2026.
Pour les outils IA utilisés au quotidien — assistants de réunion, outils de transcription, systèmes d'aide à la décision — le premier geste de conformité est souvent le plus simple : choisir des fournisseurs européens, dont les données restent en Europe et dont les contrats répondent aux exigences du RGPD sans nécessiter de montages juridiques complexes.
Neova accompagne les collectivités et organisations publiques dans leur démarche de conformité IA. Contactez notre équipe pour un premier échange sur vos enjeux spécifiques, ou consultez nos offres pour découvrir comment NeoMeet répond aux exigences du RGPD et de l'AI Act.
Sources :
AI Act — Règlement (UE) 2024/1689 du Parlement européen et du Conseil, 13 juin 2024
RGPD — Règlement (UE) 2016/679, articles 6, 22, 28 et 35
CNIL — Recommandations sur le développement des systèmes d'IA (13 fiches pratiques), juillet 2025
CNIL — Programme de contrôles 2025 : cybersécurité des collectivités territoriales
CNIL — Programme de travail 2025 : fiches sectorielles sur les collectivités locales
Conseil d'État — Décision du 20 mars 2026 (n° 503159 et 504171) — données de santé et RGPD
Commission européenne — Direction générale des Entreprises : Le Règlement européen sur l'IA : publics concernés, dates clés
Vie-publique.fr — AI Act : calendrier et obligations
MDP-Data.com — AI Act 2026 : obligations et mise en conformité des organisations, février 2026
ANSSI — Recommandations sur la cybersécurité des collectivités territoriales