AI Act et collectivités territoriales : quelles obligations de conformité ?

Le règlement (UE) 2024/1689, dit « AI Act », s'applique directement aux collectivités territoriales depuis février 2025. Alors que l'échéance du 2 août 2026 approche pour les systèmes à haut risque, la majorité des acteurs publics n'ont engagé aucune démarche de mise en conformité. Obligations, sanctions, recommandations : le point complet.

Un règlement européen qui vise directement les acteurs publics

Le règlement (UE) 2024/1689 du 13 juin 2024 est le premier cadre juridique mondial de régulation de l'intelligence artificielle. D'application directe dans les vingt-sept États membres, il s'impose aux acteurs publics comme privés sans transposition préalable.

Son article 2 vise tout « déployeur » de système d'IA sans distinguer selon la nature publique ou privée de l'entité. Une collectivité qui utilise un outil d'IA pour trier des demandes d'urbanisme, analyser des candidatures à un marché public ou détecter des infractions de stationnement est un « déployeur » au sens de l'article 3, paragraphe 4, du règlement.

L'architecture normative repose sur une classification par niveau de risque. L'article 5 énumère les pratiques interdites — notation sociale, manipulation subliminale, reconnaissance faciale en temps réel sauf exceptions — applicables depuis le 2 février 2025. L'annexe III définit les systèmes « à haut risque » dans huit domaines dont plusieurs concernent directement les collectivités : gestion des infrastructures critiques, éducation, emploi, accès aux services publics, activités répressives.

Des obligations concrètes et un calendrier serré

Depuis le 2 février 2025, l'article 4 impose à tout déployeur — y compris public — de garantir un niveau suffisant de compétences en matière d'IA parmi son personnel. C'est l'obligation de « maîtrise de l'IA » (AI literacy). À la même date, les pratiques interdites de l'article 5 sont sanctionnables.

L'échéance critique est le 2 août 2026 : application complète des obligations pour les systèmes à haut risque. Les collectivités devront démontrer la conformité de leurs systèmes d'IA en matière de documentation technique, de transparence, de surveillance humaine et d'évaluation d'impact sur les droits fondamentaux (article 27).

En France, la CNIL sera l'autorité de surveillance, avec le concours de la DGCCRF et de l'Arcom. Les premiers contrôles pourront intervenir dès août 2026. Les sanctions prévues par l'article 99 atteignent 35 millions d'euros ou 7 % du chiffre d'affaires pour les pratiques interdites, et 15 millions d'euros ou 3 % pour les autres manquements.

Le risque principal pour les collectivités est celui de l'annulation contentieuse : une décision administrative prise avec l'aide d'un système d'IA non conforme pourra être contestée devant le juge administratif. Le Conseil d'État a déjà posé le cadre en exigeant la transparence des algorithmes dans les décisions administratives (CE, 27 novembre 2019, n° 422556).

Ce que Cabinet XXI recommande

Les collectivités territoriales doivent engager trois actions prioritaires.

Premièrement, cartographier leurs usages d'IA pour identifier ceux qui relèvent de l'annexe III et préparer la conformité avant août 2026. Cela inclut les usages individuels non encadrés — ChatGPT, Copilot — qui exposent déjà la collectivité à un risque de non-conformité à l'article 4.

Deuxièmement, désigner un référent « maîtrise de l'IA » et mettre en place un plan de formation adapté aux différents niveaux — élus, cadres dirigeants, agents utilisateurs, référents numériques.

Troisièmement, intégrer des clauses de conformité AI Act dans les cahiers des charges des marchés publics informatiques, pour transférer la charge de conformité vers les prestataires fournisseurs de systèmes d'IA.

L'enjeu dépasse la conformité réglementaire. Les collectivités qui anticipent bénéficieront d'un avantage en termes de confiance citoyenne et de maîtrise des risques numériques.

L'essentiel en 5 points

• Le règlement AI Act s'applique directement aux collectivités territoriales comme « déployeurs » de systèmes d'IA, sans transposition nécessaire.

• L'obligation de maîtrise de l'IA (article 4) et les interdictions (article 5) sont en vigueur depuis le 2 février 2025.

• Les obligations pour les systèmes à haut risque entrent en application le 2 août 2026, avec des sanctions pouvant atteindre 35 millions d'euros.

• La CNIL sera l'autorité de surveillance nationale et pourra conduire des contrôles dès août 2026.

• Cabinet XXI recommande d'engager immédiatement un audit des usages d'IA, de désigner un référent et d'insérer des clauses AI Act dans les marchés publics.